Site-to-Site VPN - настройка на шлюзе Check Point

Как настроить Site-to-Site VPN на шлюзе Check Point

Введение

Этот документ описывает, как настроить VPN соединение между шлюзом Check Point и совместимым устройством.

Site-to-Site VPN3 основных раздела :

  1. Новая конфигурация VPN Check Point Gateway.
  2. Совместимость устройств и конфигурация VPN сообщества.
  3. Определение основных правил Firewall Rule Base.

 

Содержание

  1. Настройка Check Point Security Gateway с VPN.
  2. Настройка взаимодействующего устройства с VPN.
  3. Определение домена шифрования VPN для совместимого устройства.
  4. Создание правила для трафика.
  5. Завершение процедуры.
  6. Исправление ошибок.
  7. Связанные решения и документация.

Настройка Check Point Security Gateway и VPN

Примечание: если ваш шлюз безопасности Check Point был недавно установлен, а также он определяется как сервер управления безопасностью и предназначен для использования в качестве VPN шлюза, начинайте с пункта 6.

В большинстве случаев такой шлюз имеет значок  и назван «gw- < число>» .

Создание Check Point Security Gateway:

  1. В сети нажмите правой кнопкой мыши на «Check Point» и «Security Gateway / Management».

1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Нажмите «Wizard Mode».

2

 

 

 

 

 

 

 

 

 

3. Введите:

  1. название шлюза;
  2. платформу шлюза;
  3. IPv4 адрес.

3

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4. Нажмите кнопку («Next») («Далее») и введите одноразовый пароль для запуска установки шлюза безопасности Check Point.

4

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5. Нажмите «Next » («Далее») после установления надёжной связи, нажмите кнопку «Finish» («Готово»).

5

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6. В окне «General Properties» («Общие свойства») вашего шлюза безопасности убедитесь, что выбран флажок «IPSec VPN».

6

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

7. Определите VPN домен шифрования вашего шлюза. Убедитесь, что у вас есть по крайней мере один внутренний и один внешний интерфейсы. VPN домен шифрования будет определен для всех сетей во внутреннем интерфейсе.

7

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

8. Нажмите «Принять» («Accept»).

8

 

 

 

 

 

 

 

 

 

 

 

 

9. Нажмите «OK» и закройте диалог «Gateway».

9

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  1. Щелкните правой кнопкой мыши на белом поле в «Network Objects» и выберите: New -> Others -> Interoperable Device (Создать — > Другие — > Совместимость устройств).

10

 

 

 

 

 

 

 

 

 

 

 

2. Присвойте шлюзу имя, IP-адрес и (необязательно) описание в диалоговом окне свойств, которое отображается, и нажмите кнопку «ОК».
11

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. На вкладке «SmartDashboard IPSec VPN, щелкните правой кнопкой мыши на  пустом пространстве верхней панели и выберите: New -> Meshed Community.

12

 

 

 

 

 

 

4. Всплывает диалоговое окно «Meshed Community Properties». В главном меню введите название вашего VPN сообщества:

13

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5. В меню «Participating Gateways» кликните: «Add» («Добавить»), выберите оба шлюза, нажмите ОК.

14

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6. В меню «Encryption» вы можете изменить свойства Фазы 1 и Фазы 2. Вы можете также определить, какая версия IKE должна быть использована. IKEv1 установлена по умолчанию, вы можете выбрать IKEv2.

Примечание: запишите выбранные значения для того, чтобы сопоставить их.

15

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

7. В меню «Tunnel Management» можно определить, как настроить туннель.

Примечание: рекомендуется соотносить один VPN туннель с двумя подсетями (по умолчанию) .
Это позволит распределить вашу сеть по обе стороны VPN и сгладит работу Фазы 2 (Phase 2). Это также позволит использовать меньшее количество туннелей для построения VPN .

Если вам необходимо ограничить доступ к VPN, вы можете сделать это позже с помощью базовых правил безопасности (Rule Base).

 

8. Для лучшей аутентификации, выберите дополнительные настройки меню («Advanced Settings») и нажмите «Shared Secret» («общий секретный ключ»).
Выберите флажок «Use only Shared Secret for all External members» («использовать только общий ключ для всех внешних пользователей»).
Выберите другие шлюзы в записях в списке ниже и нажмите «Edit» для изменения общего пароля.
Примечание: запомните новый пароль, так как он понадобится для настройки VPN на других устройствах.

16

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

9. Раскройте меню «Advanced Settings» («дополнительные настройки») и выберите: «Advanced VPN Properties» («дополнительные настройки VPN»). Здесь Вы можете изменить дополнительные параметры, касающиеся 1 и 2ой фаз.

Примечание: следует запомнить установленные значения. Также советуем выбрать: «Disable NAT» («Отключение NAT») внутри «VPN community», так вы можете получить доступ к ресурсам шлюзов с использованием их реальных IP-адресов, и наоборот.

 

10. Нажмите «OK» в окне «VPN community» для возврата в SmartDashboard.
Вы также можете увидеть следующее сообщение:

17

 

 

 

 

 

 

11. Мы вернёмся к установке домена VPN в следующем разделе, поэтому нажмите «Yes«, чтобы продолжить .

Теперь вы можете увидеть, как определяется ваше VPN сообщество:

18

 

 

 

 

 

 

Определение домена шифрования VPN для совместимых устройств

Теперь нужно определить VPN домены шифрования. Если вы еще не сделали это, создайте сетевые объекты для представления ваших локальных и других сетей, с которыми вы будете работать.

Что нужно для определения VPN доменов шифрования:

  1. В меню «Network Objects» («Сетевые объекты»), нажмите правой кнопкой мыши на «Networks» («сеть») и выберите «Network» для определения новой сети. На следующем рисунке описано создание сети для представления внутренний сети нашему партнёру, которая будет распространяться на Check Point VPN шлюз:

19

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Если вы или ваш коллега распределяет более одной сети посредством туннеля, создайте группу для представления VPN домена каждой из сторон. Зайдите в меню «Network Objects» («сетевые объекты»), нажмите правой кнопкой мыши на «Groups» («группы»), выберите «Groups», а затем «Simple Group».

В этом примере только одна сеть является общей, так что в данную группу будет входить только один объект, но вы можете поместить в группу любое количество сетей.

Примечание: важно не добавлять целые группы в другую группу, так как это может повлиять на производительность.

Дайте вашей группе название, например: Local_VPN_Domain.
Нажмите кнопку «ОК», как только вы добавили все ваши локальные сети, затем повторить процедуру, чтобы создать группу для представления общей сети.

 

3. Откройте свойства совместимых шлюзов и выберите группу/сеть , которая представляет этот VPN домен:

20

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4. Нажмите «ОК» для окончания настройки конфигурации совместимых шлюзов.

 

Создание правил для трафика

Теперь у вас есть оба объекта, установленных для VPN, и вы уже определили свое сообщество. Теперь осталось только создать правило для трафика.

Здесь вы должны ограничить доступ, если это необходимо .

 

Создание правила для трафика:

  1. Чтобы допустить VPN трафик, вы должны добавить соответствующие правила в базы правил брандмауэра:
    Rule Base, Firewall -> Policy

26

 

 

 

 

 

2. Определите, где в вашей базе правил необходимо добавить правило доступа к VPN и щелкните правой кнопкой мыши по номеру правила выше того места, где вы хотите его поместить и выберите: Add Rule -> Below (Добавить Правило — > ниже).

3. Вы должны установить VPN сообщество в столбце VPN в созданном ранее правиле.
В столбце VPN щелкните правой кнопкой мыши на значок «Any Traffic» («любой трафик») и выберите «Edit Cell».

21

 

 

 

 

Выберите опцию «Only connections encrypted in specific VPN Communities» и нажмите кнопку «Add» («Добавить»).

Выберите созданное только что VPN сообщество и нажмите кнопку «ОК» дважды.

22

 

 

 

 

 

 

 

 

 

 

 

4. В этом примере, мы оставили допуск для любого сервиса / любого хост к туннелю в обоих направлениях. Ваше правило должно теперь показать VPN сообщество в столбце VPN.

23

 

 

 

 

Завершение процесса

  1. Установите политики на локальном шлюзе Check Point.
  2. Когда на другой стороне настроен VPN, убедитесь в безопасности связи с сайтом.

Исправление ошибок

Проблема 1: Трафик шлюза снизился на треть, и основные настройки IP были определены для внутреннего IP-адреса шлюза Check Point.

Как правило, рекомендуется установить основной IP-адрес шлюза в качестве внешнего IP (в «Check Point Gateway – General Properties»). В некоторых случаях, например, в случае автономного шлюза, администратор задаёт основной IP-адрес в качестве внутреннего IP для управления из внутренней сети.В этом случае выбор линии связи VPN должен быть изменен.

Откройте  диалоговое окно свойств шлюза Check Point выберите «IPSec VPN» — > «Link Selection» и нажмите «Source IP address». В открывшемся диалоговом окне выберите «Selected address» в таблице и выберите соответствующий внешний IP-адрес, используемый удаленным узлом.

24_1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Проблема 2: IKE ключи были успешно созданы, но трафик IPsec отсутствует (относится только к IKEv2).

В некоторых случаях выбирают NAT-T encapsulation (инкапсуляцию), но шлюз Check Point отправляет трафик без инкапсуляции. В результате, на удалённое устройство падает трафик IPsec, в то время как ожидается NAT-T.

Есть два доступных решения этой проблемы:

  1. Если IKEv2 требуется удаленному узлу, NAT-T следует отключить.

Чтобы сделать это, откройте диалоговое окно свойств шлюза Check Point, выберите IPSec VPN — > VPN Advanced и уберите флажок «Support NAT traversal» (относится к удалённому доступу и соединению между сайтами).

25

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Примечание: это решение не подходит для шлюзов, участвующих в сообществе удаленного доступа.

B. Если IKEv2 не требуется, в SmartDashboard перейдите в раздел «Community -> Encryption»; изменените конфигурацию на IKEv1 .

 

 

ID решения sk53980
Продукт IPSec VPN
Версия Все
Платформа/ модель Все
Дата основания 13-сен-2010
Последнее изменение 27-дек-2015

Связанные решения и документация

  1. sk16452 — Information on IPSec Interoperability between Check Point VPN-1 and third party VPN vendors. (3rd parties)
  2. sk108600 — VPN Site-to-Site with 3rd party
  3. sk36968 — S2S VPN between Check Point Security gateway and Cisco DAIP

Для дополнительной информации о Check Point VPN, обратитесь к R77 versions VPN Administration Guide.

________________________________________________

Читайте также: Как настроить VPN между Check Point и Cisco?