Данный документ состоит из основной части и приложений. В основной части описаны примеры различных узлов конфигурации с комментариями по настройке. В приложениях приведены полные листинги конфигурации устройств.
Список приложений:
Приложение А – конфигурация устройства edge-dc1-fw – основной ПАК Numa Edge VPN в ЦОД;
Приложение Б – конфигурация устройства edge-dc2-fw– резервный ПАК Numa Edge VPN в ЦОД;
Приложение В – конфигурация устройства edge-filial1-fw– ПАК Numa Edge в Филиале №1;
Приложение Г– конфигурация устройства edge-filial1-fw –ПАК Numa Edge в Филиале №2;
Приложение Д – конфигурация устройства client1 – клиентское устройство (приведена конфигурация только для МагПро OpenVPN).
В этом сценарии использования ПАК Numa Edge VPN будет рассмотрена особенность построения отказоустойчивой конфигурации для объединения территориально удаленных филиалов в единую корпоративную сеть. Под отказоустойчивостью понимается способность системы функционировать при выходе из строя отдельных компонентов. Концептуально отказоустойчивость в этом примере реализуется через избыточность, путем резервирования между собой ПАК Numa Edge, расположенных в ЦОД. Особенность реализации канальной схемы подключения в ЦОД не рассматривается.
Используемые технологии для решения данного сценария:
Для обеспечения отказоустойчивой конфигурации будет использован VRRP кластер, настроенный между двумя устройствами, расположенными в ЦОД. Эти устройства будут работать параллельно и предполагается, что каждое из них может стабильно работать с обрабатываемым объемом трафика (Руководство администратора раздел «VRRP»).
Для обеспечения криптографической защиты передаваемого трафика используется СКЗИ «МагПро КриптоПакет» 4.0, который интегрирован в ПАК Numa Edge VPN. (Руководство администратора OpenVPN).
По одному ПАК Numa Edge VPN установлено в каждом из филиалов.
Устройства ПАК Numa Edge VPN, расположенные в ЦОД получают от провайдера статический внешний статический IP-адрес, устройства в филиалах - динамический IP-адрес по DCHP из локального диапазона провайдера.
В каждой из защищаемых подсетей организации настроено устройство с IP-адресом 192.168.N.100 между которыми будет проверяться сетевая связность.
На устройствах ПАК Numa Edge VPN, расположенных в филиалах, настраивается VPN соединение на статический IP-aдрес устройств в ЦОД. Защищенное соединение между устройствами ПАК Numa Edge VPN настраивается в режиме site-to-site.
Конфигурация устройств server1-dc, APM1 и AРM2 в этом примере не представляет интереса, поскольку общая связанность между ними осуществляется через ПАК Numa Edge VPN. На этих устройствах должен быть настроен IP-адрес из защищаемой подсети, и в качестве шлюза по умолчанию и DNS-сервера указан IP-адрес соответствующего ПАК Numa Edge VPN.
На устройстве client1 устанавливается защищенное соединение напрямую с ПАК Numa Edge VPN в ЦОД в режиме client-server.
В этом примере для адресации частных подсетей используются диапазоны согласно RFC 1918 из списка приватных подсетей:
10.0.0.0/24 - для адресации туннельных интерфейсов между устройствами ПАК Numa Edge VPN, подключаемых в режиме site-to-site;
172.16.10.0/24, 172.16.20.0/24 - для адресации провайдерских подсетей в филиалах;
192.16.0.0/24, 192.168.10.0/24, 192.168.20.0/24, 192.168.100.100/24 - для адресации защищаемых корпоративных подсетей организации.
Для адресации подсети в ЦОД, которая считается внешней подсетью используется диапазон 203.0.113.0/24 (TEST-NET-3) согласно RFC 5737, используемый для документации.
Для loopback интерфейсов и значений router-id используются адреса из подсети 100.64.0.0/10, согласно RFC 6598 используемых в качестве общего адресного пространства (Shared Address Space).
Детальное описание используемых подсетей и их соответствия интерфейсам в этом сценарии использования приведено в таблице ниже.
Таблица – Таблица адресации и соответствия интерфейсов
IP-адрес
Устройство Numa Edge
Интерфейс
Примечание
10.0.0.0/24
Диапазон для туннельных интерфейсов для адреса 203.0.113.1
10.0.0.1
edge-dc1-fw,edge-dc2-fw
vtun1
10.0.0.2
edge-filial1-fw
vtun0
10.0.0.3
edge-dc1-fw,edge-dc2-fw
vtun2
10.0.0.4
edge-filial2-fw
vtun0
100.64.0.1/32
edge-dc1-fw
lo
loopback интерфейс, используемый для соответствия параметру ospf router-id
100.64.0.2/32
edge-dc2-fw
lo
loopback интерфейс, используемый для соответствия параметру ospf router-id
100.64.1.1/32
edge-filial1-fw
lo
loopback интерфейс, используемый для соответствия параметру ospf router-id
100.64.1.2/32
edge-filial2-fw
lo
loopback интерфейс, используемый для соответствия параметру ospf router-id
Выбор активного Numa Edge, на котором терминируются туннельные подключения, осуществляется с помощью VRRP: МЭ edge-dc1-fw настраивается в качестве владельца VIP-адресов для протокола VRRP на всех интерфейсах, которые объединяются в синхронную группу. Таким образом реализуется кластер Active/Passive. В стандартном сценарии работы edge-dc1-fw находится в состоянии Virtual Router Master, а edge-dc2-fw - в состоянии Virtual Router Backup. Router Master информирует Router Backup о своем состоянии посредством отправки сообщения ADVERTISEMENT через установленный интервал (advertise-interval). Когда Router Backup перестает получать эти сообщения хотя бы на одном из интерфейсов, то он переходит в состояние Router Master. После этого туннельные интерфейсы включаются на резервном устройстве и происходит переключение всех защищенных соединений.
После включения и перед началом настройки к устройству ПАК Numa Edge VPN возможно осуществить подключение к интерфейсу командной строки (CLI) следующими способами:
через последовательный порт, с помощью консольного кабеля, поставляемого в комплекте;
с помощью протокола SSH при подключении Ethernet кабеля к управляющему интерфейсу и получению IP-адреса по DHCP;
c помощью веб-интерфейса при подключении Ethernet кабеля к управляющему интерфейсу и получению IP-адреса по DHCP.
Важно
После конфигурации первого интерфейса МагПро OpenVPN будет произведено создание файла инициализации программного датчика случайных чисел с помощью программы mkseed.
Согласно документу «Программа генерации файла инициализации программного ДСЧ mkseed. Руководство по использованию» СЕИУ.00009-05 34 10, программа mkseed не должна запускаться в ssh-сессии. Данное утверждение справедливо и для веб-интерфейса.
В связи с этим все настройки производятся в CLI через последовательный порт.
Перед вводом в эксплуатацию ПАК Numa Edge в обязательном порядке необходимо изменить стандартный пароль для пользователя admin, согласно требованиям к сложности пароля, описанными в разделе «Команды управления пользователями» документа «Руководство администратора».
set protocols static route 0.0.0.0/0 next-hop '203.0.113.254'
В этой схеме используются DNS-сервер провайдера, однако в реальном применении может потребоваться настройка локального DNS-сервера, но описание данного примера выходит за рамки документа.
set interfaces ethernet eth2 address '192.168.0.254/24'
set interfaces ethernet eth2 description LAN
На интерфейсе eth1 настраивается саб-интерфейс VRRP с идентификатором виртуального маршрутизатора (VRID) равным 1. В этом VRID назначается VIP-адрес равный IP-адресу на интерфейсе eth1. Таким образом, созданный саб-интерфейс eth1v1 является владельцем VIP-адреса, и имеет наибольший приоритет.
set interfaces ethernet eth1 vrrp 1 virtual-address '203.0.113.1'
Примечание
Интерфейс, на котором настроенный IP-адрес совпадает с параметром virtual-address называется владельцем VIP (VIP owner). VIP owner имеет наибольший приоритет, который равен 255, и не может быть настроен вручную (допустимый диапазон 1-254). На интерфейсах, не являющихся VIP owner, приоритет равен 100.
Вручную изменить приоритет можно командой:
interfaces <интерфейс> vrrp <идентификатор> priority <приоритет>
Более подробно принцип работы VRRP описан в документе «Руководство администратора», раздел «Обзор VRRP».
set interfaces ethernet eth2 vrrp 2 description LAN#vrid2
set interfaces ethernet eth2 vrrp 2 virtual-address '192.168.0.254'
set interfaces ethernet eth2 vrrp 2 sync-group 'SYNC'
Примечание
В этом примере используется active/passive кластер, когда одно из составляющих устройств является основным, а второе – резервным. Таким образом, после отключения и последующего восстановления основного устройства, VIP-адрес должен возвращаться на это устройство. За такое поведение отвечает параметр preempt, значением по умолчанию которого является true. Если VIP адрес не должен возвращаться на устройство с большим приоритетом, используйте значение false.
Резервный Numa Edge не имеет настроенного IP-адреса на интерфейсах, обращенных в сторону провайдера. Вместо этого, на каждом из этих интерфейсов настраивается параметр hello-source-address с IP-адресом основного устройства. Параметр hello-source-address используется для указания того, с какого IP-адреса источника ожидать ADVERTISEMET сообщения.
set interfaces ethernet eth1 vrrp 1 hello-source-address '203.0.113.1'
Примечание
Стандартным значением hello-source-address является настроенный IP-адрес на интерфейсе.
Другой особенностью является то, что поскольку на этом интерфейсе отсутствует IP-адрес, необходимо включить разрешение на прием пакетов с адресом источника, отличающегося от IP-адреса интерфейса. Это делается командой accept-mode 'true'.
set interfaces ethernet eth1 vrrp 1 description WAN#vrid1
set interfaces ethernet eth1 vrrp 1 virtual-address '203.0.113.1'
set interfaces ethernet eth1 vrrp 1 sync-group 'SYNC'
Настройка интерфейса eth2 принципиально не отличается от настройки на eth1, кроме указания IP-адреса, согласно таблице 1 в качестве параметров для hello-source-address и virtual-address.
Еще одной особенностью конфигурации интерфейса без IP-адреса является то, что дополнительно будет необходимо создать статический маршрут для подсети в которой находится VIP-адрес. Это необходимо сделать, поскольку VIP адрес создается с маской /32.
Состояние интерфейсов после настройки и отключении устройства edge-dc1-fw:
admin@edge-dc2-fw:~$ show interfaces
Interface IP Address State Link Description
eth0 - down down
eth1 - up up WAN
eth1v1 203.0.113.1/32 up up WAN#vrid1
eth2 - up up LAN
eth2v2 192.168.0.254/32 up up LAN#vrid2
...
Поэтому необходимо создать статические маршруты до подсети провайдера через дополнительный интерфейс VRRP.
На устройствах, расположенных в филиалах IP-адрес на интерфейсе в сторону провайдера получается по DHCP. Так же по DHCP назначается маршрут по умолчанию и DNS-сервер. Поэтому для обеспечения IP-связности необходимо указать параметр address 'dhcp', на интерфейсе в сторону провайдера.
Инфраструктура открытых ключей (PKI) используется для построения защищенного соединения с использованием СКЗИ «МагПро КриптоПакет» 4.0. Генерация сертификатов и закрытых ключей осуществляется на УЦ, сертифицированном по классу не ниже уровня защиты СКЗИ. Для их последующего импорта в ПАК Numa Edge VPN необходимо подготовить архив формата tar.gz, tar.bz2 или zip, внутри которого будут содержаться следующие файлы: корневой сертификат CA, список отзыва сертификатов (CRL), сертификат и закрытый ключ сертификата, либо файл сертификата в формате PKCS12. При распределении полученных архивов, содержащих ключевую информацию на клиентские АРМ и ПАК Numa Edge необходимо руководствоваться требованиями к работе с ключевой информацией документа СЕИУ.СЕИУ.00009–05 94 «Правила пользования».
Важно
В этом примере уже используется готовая инфраструктура открытых ключей, сгенерированная на отдельном УЦ. В примерах описаны команды только для ее импорта на устройства.
Импорт сертификата производится в эксплуатационном режиме с ключевого носителя, подключенного в USB-порт при помощи следующей команды:
1) Произойдет монтирование подключенного ключевого носителя.
2) Будут импортированы файлы сертификатов, ключи и списки отзыва из корневого каталога.
3) Ключевой носитель будет отмонтирован.
На каждый ПАК Numa Edge VPN требуется импортировать его собственный закрытый ключ и сертификат, а также сертификат УЦ и его список отзыва сертификатов. При использовании цепочки доверия УЦ, необходимо также импортировать сертификаты всех промежуточных УЦ и их списки отзыва сертификатов. При этом конечные сертификаты других участников защищенного соединения не импортируются.
После успешного импорта, информацию о сертификатах можно посмотреть в конфигурационном режиме c помощью команды:
Для данного примера цепочка доверия будет иметь следующую схему:
Схема PKI
В этой схеме корневой УЦ c названием ROOT_CA имеет два подчиненных УЦ. Промежуточный УЦ SUB_LVL1_CA имеет в подчинении УЦ SUB_LVL2_CA, на котором выпускаются конечные сертификаты, используемые для TLS-аутентификации для СКЗИ «МагПро КриптоПакет».
На узле edge-dc1-fw вывод команды show pki после импорта сертификатов будет следующий:
admin@edge-dc1-fw$ show pki
ca ROOT_CA {
cn ROOT_CA
expires-on "Sat Aug 10 15:32:00 2030"
key-type gost2012
}
ca SUB_LVL1_CA {
cn SUB_LVL1_CA
expires-on "Sat Aug 10 15:32:00 2030"
issuer ROOT_CA
key-type gost2012
}
ca SUB_LVL2_CA {
certificate edgedc1-cert {
cn edgedc1-cert
expires-on "Fri Aug 13 13:13:00 2021"
key-type gost2012
usage {
server true
}
}
cn SUB_LVL2_CA
expires-on "Sat Aug 10 15:32:00 2030"
issuer SUB_LVL1_CA
key-type gost2012
}
[edit]
Каждый из подчиненных УЦ будет иметь поле issuer, в котором указывается CN (Common Name) издателя данного сертификата. Более подробную информацию о работе с PKI можно получить в разделе «Инфраструктура открытых ключей» документа «Руководство администратора».
Примечание
Команды эксплуатационного режима, начинающиеся с set используются для изменения текущих параметров системы. При этом изменение импортированных сертификатов, а равно и предварительно сгенерированных в ПАК Numa Edge, невозможно, и при попытке их изменения в конфигурационном режиме будет отображено соответствующее предупреждение. Для удаления сертификатов при проведении регламентных работ используйте команды, начинающиеся с delete.
Использование СКЗИ «МагПро КриптоПакет» версия 4.0.#
В Numa Edge имеется возможность использования СКЗИ «МагПро КриптоПакет» версия 4.0 (СЕИУ.00009-05) в исполнении «OpenVPN-ГОСТ» (исполнение 7).
«МагПро КриптоПакет» 4.0 в исполнении «OpenVPN-ГОСТ» реализует следующие функции:
создание и проверку электронной подписи в соответствии с ГОСТ Р 34.10 для файлов и данных, содержащихся в областях оперативной памяти;
зашифрование и расшифрование в соответствии с ГОСТ Р 34.12-2015, ГОСТ Р 34.13-2015 и ГОСТ 28147-89 (только для взаимодействия с ПО, не поддерживающим ГОСТ Р 34.12-2015) файлов и данных, содержащихся в областях оперативной памяти;
имитозащиту в соответствии с ГОСТ Р 34.13-2015, HMAC на основе ГОСТ Р 34.11-2012, а также ГОСТ 28147-89 (только для взаимодействия с ПО, не поддерживающим ГОСТ Р 34.13-2015) файлов и данных, содержащихся в областях оперативной памяти;
вычисление ключа парной связи по алгоритму VKO с использованием как эфемерных, так и долговременных пар закрытых и открытых ключей, созданных в соответствии с ГОСТ Р 34.10;
вычисление значения хэш-функции в соответствии с ГОСТ Р 34.11 для фалов и данных, содержащихся в областях оперативной памяти;
выработку случайного числа заданной длины;
вычисление открытых и закрытых ключей проверки подписи в соответствии с ГОСТ Р 34.10;
формирование производного сеансового ключа;
импорт криптографических ключей в СКЗИ и их экспорт из СКЗИ;
реализацию протокола TLS с использованием российских криптонаборов, определенных реализациями ТК26.
При использовании Numa Edge c СКЗИ «МагПро КриптоПакет» должны соблюдаться требования следующих документов:
СЕИУ.00009-05 30. Формуляр;
СЕИУ.00009–05 94. Правила пользования.
Конфигурирование виртуальной частной сети «OpenVPN-ГОСТ» (СКЗИ «МагПро КриптоПакет») осуществляется через стандартную систему конфигурирования Numa Edge и в целом не отличается от использования OpenVPN с общемировыми алгоритмами. Применение СКЗИ «МагПро КриптоПакет» 4.0 осуществляется при выборе специальных алгоритмов шифрования в блоке конфигурирования интерфейса OpenVPN interfaces openvpn <vtunx> encryption <algo>. Алгоритмы (), при которых для построения VPN будет использоваться непосредственно СКЗИ «МагПро КриптоПакет», отмечены суффиксом "-сс" (например, magma-mgm-cc. За более подробным описанием обратитесь к документации соответствующего узла конфигурации).
В ПАК Numa Edge VPN предустановлена серверная лицензия СКЗИ «МагПро КриптоПакет» 4.0, которая позволяет настраивать защищенные соединения между другими устройствами ПАК Numa Edge VPN используя режим работы site-to-site, а также выступать сервером для подключения удаленных клиентов используя режим работы client-server. В этом примере будет приведен пример конфигурации каждого режима работы.
В данном примере будет реализована топология site-to-site между устройствами ПАК Numa Edge VPN.
set interfaces openvpn vtun1 local-host '203.0.113.1'
Поскольку на одном адресе будут приниматься подключения каждого из филиалов, необходимо указать уникальный порт для каждого туннельного подключения. Для примера будет использоваться диапазон 7748-7776 из списка незарегистрированных пользовательских портов IANA (Internet Assigned Numbers Authority — «Администрация адресного пространства Интернет»). Порт 7748 будет использоваться на всех туннельных интерфейсах для подключения филиала 1.
Следующие два параметра являются обязательными при использовании топологии site-to-site.
Для этого режима работы требуется указание локального и удаленного туннельного адреса. Согласно таблице 1 для адреса 203.0.113.1 назначена подсеть 10.0.0.0/24. Нечетные адреса в этой сети используются для устройств в ЦОД, а четные – для филиалов.
set interfaces openvpn vtun1 local-address '10.0.0.1'
После указания удаленного туннельного адреса, в системе будет создан статический маршрут с маской /32, где в качестве next-hop-interface будет указан данный туннельный интерфейс.
set interfaces openvpn vtun1 remote-address '10.0.0.2'
Параметр tcp-passive указывает, что данный интерфейс ожидает установления соединения. Применение данного параметра возможно, поскольку ранее был сконфигурирован параметр local-host. На туннельных интерфейсах в филиалах используется параметр tcp-active.
set interfaces openvpn vtun1 protocol 'tcp-passive'
Также указывается ожидание установления соединения для TLS. Обратите внимание, что режим работы данного параметра должен соответствовать режиму работы TCP из предыдущей конфигурации.
set interfaces openvpn vtun1 tls x509-cert 'edge-dc1-fw-cert'
После применения настроек и перед первым запуском туннеля «МагПро КриптоПакет» 4.0 произойдет вызов программного ДСЧ для генерации файла инициализации. Для его генерации будет необходимо ввести требуемого количество символов с клавиатуры. По умолчанию необходимо ввести 40 символов. При ошибочном вводе количество попыток будет увеличено. По окончании ввода произойдет попытка запуска туннельного интерфейса.
Используется ДСЧ PROGRAM
Инициализирующая последовательность программного ДСЧ будет записана в файл:
/home/root/.magprocryptopack/random_seed
Требуется инициализация программного ДСЧ.
Для этого требуется последовательно нажимать указанные
клавиши на клавиатуре, соблюдая регистр (заглавные-строчные).
Для отмены нажмите клавишу ESC.
Недопустимо выполнять инициализацию в ssh-сессии.
( 0/40) Введите строку 035 819 707
Файл инициализации создается только один раз при запуске первого туннельного интерфейса «МагПро КриптоПакет» 4.0, и после настройки последующих интерфейсов вызов программного ДСЧ производится не будет.
Туннельный интерфейс vtun1 также ожидает подключения на IP-адресе 203.0.113.1, но на порту 7749, который используется для всех туннельных подключений Филиала 2. Локальный и удаленный адрес туннельного интерфейса назначается согласно таблице 1. Остальные настройки идентичны конфигурации туннельного интерфейса vtun0.
Дополнительно настраивается туннельный интерфейс vtun100 в режиме работы server.
set interfaces openvpn vtun100 description remote-access-vpn
Для режима работы server вместо параметров local-address/remote-address должен настраиваться параметр subnet для указания подсети, из которой будут назначаться адреса для клиентов. Подсеть настраивается согласно таблице 1. У подключенных клиентов будет создан статический маршрут на туннельный интерфейс для данной подсети.
set interfaces openvpn vtun100 server subnet '192.168.100.0/24'
Параметр server topology регулирует то, как будут взаимодействовать между собой подключаемые клиенты. Необходимо установить значение subnet для того, чтобы удаленные клиенты были доступны друг для друга. Если такое поведение нежелательно, необходимо использовать значение point-to-point.
set interfaces openvpn vtun100 server topology 'subnet'
В следующем разделе рассматривается конфигурация протокола динамической маршрутизации OSPF для обеспечения сетевой связности между филиалами. Поскольку клиенты подключаются напрямую к устройству в ЦОД, для них необходимо создать статические маршруты для подсетей в филиалах.
set interfaces openvpn vtun100 server push-route 192.168.0.0/24
set interfaces openvpn vtun100 server push-route 192.168.10.0/24
set interfaces openvpn vtun100 server push-route 192.168.20.0/24
Остальные параметры конфигурации аналогичны туннельным интерфейсам vtun0 и vtun1, за исключением параметра local-port. Для клиентских подключений используется порт 7750.
Конфигурация туннельных интерфейсов на edge-dc2-fw полностью соответствует настройкам edge-dc1-fw. Единственным отличием является использование своего сертификата для всех туннельных подключений.
Настройка туннельных интерфейсов в филиалах по сути являются зеркальной конфигурацией соответствующего туннельного интерфейса в ЦОД. Интерфейс vtun0 соответствует интерфейсу vtun1 на устройствах edge-dc1-fw и edge-dc2-fw.
Параметр remote-host является зеркальным параметром local-host, настроенном на устройствах в ЦОД.
Поскольку устройства, к которым создается защищенное соединение, будут изменяться и могут быть либо edge-dc1-fw, либо edge-dc2-fw – указывается следующее описание интерфейса.
Использование протокола динамической маршрутизации в данном сценарии применения обусловлено более гибкой возможностью к масштабированию по сравнению со статической маршрутизацией. Таким образом на каждом из территориальных объектов организации на устройствах ПАК Numa Edge VPN необходимо настроить анонсирование только локальных подсетей. Общая взаимосвязность между объектами осуществляется с помощью объединения всех подсетей в общую зону OSPF (OSPF area). Поскольку в этом сценарии использования присутствуют только два филиала, используется единственная магистральная зона area 0 или backbone area. В дальнейшем, при расширении организации, рекомендуется отказаться от единой магистральной сети в пользу объединения нескольких территориальных объектов в отдельные зоны и последующим присоединением к магистральной зоне. Данная рекомендация связана с тем, что при перестроении топологии OSPF внутри магистральной зоны пересылается вся маршрутная информация, и данное поведение будет сказываться на общей сходимости сети большого масштаба. Подробнее о конфигурации протокола динамической маршрутизации OSPF написано в разделе «Настройка OSFP» документа «Руководство администратора».
Первоначально на каждом из устройств ПАК Numa Edge VPN, объединяемых в домен маршрутизации, настраивается уникальный IP-адрес, на loopback интерфейсе. Этот адрес будет использоваться в качестве параметра router-id. Помимо этого, возможно использование данного адреса для обеспечения мониторинга устройств. Этот адрес, а точнее подсеть с маской /32, будет также анонсироваться по протоколу OSPF.
set protocols ospf parameters router-id 100.64.0.1
Теперь создается магистральная зона OSFP, на интерфейсах, адреса которой соответствуют подсети 10.0.0.0/24. Из этой подсети, согласно таблице 1, назначаются адреса туннельных интерфейсов для режима работы site-to-site.
Для указания подсетей, которые будут использоваться для анонса другим маршрутизаторам, необходимо создать prefix-list с номером 1. В нем указываются в отдельных правилах подсети, которые будут разрешены для анонса. Данный prefix-list будет использоваться в дальнейшем для создания политики route-map, в которой будут запрещены все подсети, кроме подсетей в prefix-list. Данная подсеть будет применена для перераспределения connected маршрутов в протокол OSPF. Описание работы prefix-list и route-map довольно обширно и выходит за рамки данного документа. Более подробно ознакомится с ними можно в разделе «Политики фильтрации маршрутов» документа «Руководство администратора».
Первоначально создается описание для префикс-листа с порядковым номером 1.
Настройка протокола OSPF для данного устройства отличается только указанием IP-адреса 100.64.0.1/32 на интерфейсе lo в соответствии с таблицей 1, и последующее его назначение в качестве router-id. Эту же подсеть необходимо добавить в prefix-list для анонса по OSPF.
Помимо изменения адреса lo и значения router-id, необходимо изменить prefix-list, где указать подсеть 192.168.10.0/24 и ранее добавленную подсеть /32 на lo интерфейс для данного устройства.
В общем случае для фильтрации трафика в ПАК Numa Edge необходимо:
1) Определить правило для фильтрации трафика.
Сами фильтры осуществляют фильтрацию, т.е не разрешают и не запрещают, а только определяют к какому трафику будут в дальнейшем применены политики.
set policy firewall <политика МЭ> default-action [allow | drop]
3) Привязать созданную политику к сетевым интерфейсам. При этом политика фильтрации может применяться к входящему транзитному трафику (in), исходящему на интерфейсе транзитному трафику (out), входящему локальному трафику (трафику, предназначенному самому межсетевому экрану - local)
Для каждого правила фильтрации, а также правила политики межсетевого экранирования возможна настройка регистрации событий о попадании трафика под определенное правило.
В общем случае, команда:
set filter SRC_ADDR rule 10 source address 10.10.10.10
set filter SRC_ADDR rule 10 log enable
set policy firewall LOG_SRC_ADDR rule 10 match filter SRC_ADDR
set policy firewall LOG_SRC_ADDR rule 10 action accept
set policy firewall LOG_SRC_ADDR default-action accept
set interfaces ethernet ethX policy in firewall LOG_SRC_ADDR
Просмотреть системный журнал можно следующими командами (в эксплуатационном режиме):
show log - посмотреть журнал полностью.
show log date YYYY.MM.DD - посмотреть журнал за соответствующую дату.
show log date YYYY.MM.DD | grep SRC_ADDR - посмотреть журнал за соответствующую дату и выбрать события, связанные с только что созданным набором правил межсетевого экранирования.
Также допускается и использование фильтрации для конкретного адреса
Запись будет иметь следующий вид, где [SRC_ADDR-10] - тип фильтра и номер правила, через дефис.
Для политики префикс будет выглядеть несколько иначе [f-LOG_SRC_ADDR-10-AC], где f - метка политики firewall, название фильтра - LOG_SRC_ADDR, номер правила - 10 и AC - метка действия, в данном случае означает – accept.
Более подробно метки для политик сетевого экранирования описаны в разделе «Команды межсетевого экрана IPv4» документа «Руководство администратора».
Настройка правил фильтрации будет включать в себя решение следующих задач:
Маркировка ICMP-трафика
Маркировка удаленного подключения через SSH только с определенного списка IP-адресов
Маркировка поключения по OpenVPN с любого IP-адреса
Маркировка на создание нового соединения только из локальных подсетей за МЭ
Маркировка поврежденных/неккоректных пакетов
Маркировка служебных VRRP-сообщений
Для промаркированного трафика будут применятся определенные действия (регистрация, разрешение, запрет и т.д.) в правилах межсетевого экранирования.
Примечание
В реальном применении межсетевой экран необходимо настраивать в соответствии с корпоративной политикой по ИБ. Дополнительно рекомендуется периодический проводить пересмотр правил на предмет оптимизации путем анализа логов межсетевого экрана и последующего пересмотра правил в соответствии с используемыми интернет-сервисами в компании.
set filter ICMP-REQUEST rule 10 icmp type 'echo-request'
Для удобства прочтения конфигурации рекомендуется задавать описание правила. Возможно создания описания на русском языке.
Примечание
Правила применяются согласно их порядкового номера по возрастанию, таким образом для возможности последующей модификации не рекомендуется начинать нумерацию с правила со значения 1. Также между правилами рекомендуется делать шаг, отличный от 1. Стандартной рекомендацией является начало нумерации с 10 с шагом 10 между правилами. Данная рекомендация работает и для политик межсетевого экранирования.
Для фильтрации удаленных подключений с помощью МагПро КриптоПакет 4.0 будет использоваться группа портов, которые используются для каждого защищенного соединения.
set groups address-group VIP description "Адреса, с которых отправляются VRRP-объявления"
Эта группа указывается в качестве адреса источника передаваемых пакетов, в качестве адреса назначения используется адрес 224.0.0.18. Дополнительно добавляется описание фильтра
set filter STATE-GOOD rule 10 state related 'enable'
set filter STATE-GOOD rule 10 state established 'enable'
set filter STATE-GOOD rule 10 description 'Установленное либо связанное с установленным соединение'
Последний фильтр описывает некорректные состояния. Под этот фильтр попадают все соединения, для которых не удалось определить состояние.
После настройки фильтров трафика, использовать для политик межсетевого экранирования. Будет создано 6 политик:
FIREWALL-LOCAL-IN – используется для фильтрации входящего трафика, предназначенного для МЭ.
FIREWALL-WAN-IN – используется для фильтрации входящего трафика, поступающего из внешнего сегмента сети.
FIREWALL-LAN-IN – используется для фильтрации входящего трафика, поступающего из внутреннего сегмента сети.
Данные политики МЭ будут применятся отдельно для каждого интерфейса МЭ. Альтернативным методом межсетевого экранирования является настройка политики МЭ на основе зон, который описан в разделе «Межсетевой экран на основе зон» документа «Руководство администратора».
Для данного метода межсетевого экранирования, весь трафик проходящий через Numa Edge будет подвержен двум этапам фильтрации. Первый раз, после получения на сетевом интерфейсе с настроенной политикой фильтрации входящего трафика, а затем перед отправкой на интерфейсе с настроенной политикой исходящего трафика. Более подробно алгоритм работы служб маршрутизации и трансляции сетевых адресов вместе с политикой МЭ описан в разделе «Взаимодействие между межсетевым экраном, NAT и маршрутизацией» документа «Руководство администратора».
Политика межсетевого экранирования состоит из набора правил, имеющих нумерацию в диапазоне 1-65535. Правила МЭ применяются по порядку, аналогично фильтрам, начиная с наименьшего номера. Таким образом, для обеспечения наибольшего быстродействия, самые часто используемые правила лучше указывать с меньшими номерами, относительно редко используемых правил. После всех нумерованных правил применяется стандартное правило, описываемое с помощью default-action для определенной политики. В данном примере конфигурация производится по принципу «запрещено все, что не разрешено», поэтому аргумент для параметра default-action в каждой из политик будет drop.
Каждая политика состоит из определенного набора правил, которые включают в себя применение действий для трафика, попадающего под фильтр.
Для входящего локального трафика применяются все описанные ранее фильтры. Для трафика протокола OpenVPN также настроена регистрация трафика в системном журнале. В процессе конфигурации рекомендуется включать регистрацию всего запрещаемого трафика, для последующей тонкой настройки в случае блокировки «полезного трафика». В этом примере регистрируется только трафик, попадаемый под фильтры VPN и SSH.
Политика межсетевого экранирования входящего трафика, предназначенного для МЭ#
Создается политика FIREWALL-LOCAL-IN, для которой добавляется описание
set policy firewall FIREWALL-LOCAL-IN description "Политика МЭ для трафика, предназначенного ПАК Numa Edge VPN"
Самым первым правилом для данной политики будет разрешение трафика для уже установленных соединений, поскольку данный тип трафика будет чаще всего проходить через МЭ.
set policy firewall FIREWALL-LOCAL-IN rule 10 action 'accept'
set policy firewall FIREWALL-LOCAL-IN rule 10 match filter 'STATE-GOOD'
Следующим правилом указывается запрет прохождения трафика, для которого не удалось определить состояние соединения. Для этого правила дополнительно включено журналирование.
Настройка политик МЭ для edge-dc2-fw полностью соответствует настройкам edge-dc1-fw, поэтому ниже приведен только список команд для конфигурации. Пример конфигурации описан в Приложении Б.
Настройка правил межсетевого экранирования в edge-filial1-fw будет соответствовать предыдущему примеру. Исключением является указание подсети локальной сети 192.168.10.0/24 в качестве разрешения источника установления соединений, а также отсутствие фильтров VRRP и VPN, поскольку они не используются в филиалах.
Конфигурация правил межсетевого экранирования для устройства edge-filial2-fw полностью соответствует конфигурации edge-filial1-fw, за исключением указания подсети 192.168.20.0/24 в фильтре STATE-NEW.
set system host-name edge-dc1-fw
commit
set interfaces ethernet eth1 description WAN
set interfaces ethernet eth1 address 203.0.113.1/24
set interfaces ethernet eth1 vrrp 1 description WAN#vrid1
set interfaces ethernet eth1 vrrp 1 virtual-address 203.0.113.1
set interfaces ethernet eth1 vrrp 1 sync-group SYNC
commit
set interfaces ethernet eth2 description LAN
set interfaces ethernet eth2 address 192.168.0.254/24
set interfaces ethernet eth2 vrrp 2 description LAN#vrid2
set interfaces ethernet eth2 vrrp 2 virtual-address 192.168.0.254
set interfaces ethernet eth2 vrrp 2 sync-group SYNC
commit
set protocols static route 0.0.0.0/0 next-hop 203.0.113.254
set system dns name-server 203.0.113.254
commit
set interfaces openvpn vtun1 description edge-filial1-fw
set interfaces openvpn vtun1 encryption magma-mgm-cc
set interfaces openvpn vtun1 hash magma-mgm
set interfaces openvpn vtun1 local-address 10.0.0.1
set interfaces openvpn vtun1 local-host 203.0.113.1
set interfaces openvpn vtun1 local-port 7748
set interfaces openvpn vtun1 mode site-to-site
set interfaces openvpn vtun1 protocol tcp-passive
set interfaces openvpn vtun1 remote-address 10.0.0.2
set interfaces openvpn vtun1 tls dh-param-numbits 2048
set interfaces openvpn vtun1 tls role passive
set interfaces openvpn vtun1 tls verify crl
set interfaces openvpn vtun1 tls x509-cert edgedc1-cert
commit
set interfaces openvpn vtun2 description edge-filial2-fw
set interfaces openvpn vtun2 encryption magma-mgm-cc
set interfaces openvpn vtun2 hash magma-mgm
set interfaces openvpn vtun2 local-address 10.0.0.3
set interfaces openvpn vtun2 local-host 203.0.113.1
set interfaces openvpn vtun2 local-port 7749
set interfaces openvpn vtun2 mode site-to-site
set interfaces openvpn vtun2 protocol tcp-passive
set interfaces openvpn vtun2 remote-address 10.0.0.4
set interfaces openvpn vtun2 tls dh-param-numbits 2048
set interfaces openvpn vtun2 tls role passive
set interfaces openvpn vtun2 tls verify crl
set interfaces openvpn vtun2 tls x509-cert edgedc1-cert
commit
set interfaces openvpn vtun100 description remote-access-vpn
set interfaces openvpn vtun100 encryption magma-mgm-cc
set interfaces openvpn vtun100 hash magma-mgm
set interfaces openvpn vtun100 local-host 203.0.113.1
set interfaces openvpn vtun100 local-port 7750
set interfaces openvpn vtun100 mode server
set interfaces openvpn vtun100 protocol tcp-passive
set interfaces openvpn vtun100 server push-route 192.168.0.0/24
set interfaces openvpn vtun100 server push-route 192.168.10.0/24
set interfaces openvpn vtun100 server push-route 192.168.20.0/24
set interfaces openvpn vtun100 server subnet 192.168.100.0/24
set interfaces openvpn vtun100 server topology subnet
set interfaces openvpn vtun100 tls dh-param-numbits 2048
set interfaces openvpn vtun100 tls verify crl
set interfaces openvpn vtun100 tls x509-cert edgedc1-cert
commit
set policy prefix-list 1 description "Connected маршруты, используемые для перераспределения в протокол OSPF"
set policy prefix-list 1 rule 10 description "Локальная сеть в ЦОД"
set policy prefix-list 1 rule 10 action permit
set policy prefix-list 1 rule 10 prefix 192.168.0.0/24
set policy prefix-list 1 rule 20 description "Подсеть для подключения удаленных клиентов"
set policy prefix-list 1 rule 20 action permit
set policy prefix-list 1 rule 20 prefix 192.168.100.0/24
set policy prefix-list 1 rule 30 description "Loopback адрес"
set policy prefix-list 1 rule 30 action permit
set policy prefix-list 1 rule 30 prefix 100.64.0.2/32
commit
set policy route-map DC rule 10 description "Разрешенные подсети"
set policy route-map DC rule 10 action permit
set policy route-map DC rule 10 match ip address prefix-list 1
set policy route-map DC rule 900 description "Запрет остальных подсетей"
set policy route-map DC rule 900 action deny
commit
set interfaces loopback lo address 100.64.0.1/32
set protocols ospf parameters router-id 100.64.0.1
set protocols ospf area 0 network 10.0.0.0/24
set protocols ospf redistribute connected route-map DC
commit
set filter ICMP-REQUEST description "Разрешение ICPM запросов"
set filter ICMP-REQUEST rule 10 icmp type echo-request
set filter ICMP-REQUEST rule 10 protocol icmp
set filter STATE-BAD rule 10 description "Некорректное соединение"
set filter STATE-BAD rule 10 state invalid enable
set filter STATE-GOOD rule 10 description "Установленное либо связанное с установленным соединение"
set filter STATE-GOOD rule 10 state established enable
set filter STATE-GOOD rule 10 state related enable
set filter STATE-NEW description "Установление соединения"
set filter STATE-NEW rule 10 source address 192.168.0.0/24
set filter STATE-NEW rule 10 state new enable
commit
set groups port-group VPN-PORTS description "Порты МагПро КриптоПакет 4.0"
set groups port-group VPN-PORTS port 7748
set groups port-group VPN-PORTS port 7749
set groups port-group VPN-PORTS port 7750
set filter VPN rule 10 description "Подключение с помощью МагПро КриптоПакет 4.0"
set filter VPN rule 10 destination port-group VPN-PORTS
set filter VPN rule 10 protocol tcp
commit
set groups address-group VIP description "Адреса, с которых отправляются VRRP-объявления"
set groups address-group VIP address 192.168.0.254
set groups address-group VIP address 203.0.113.1
set filter VRRP description ADVERTISEMENT сообщения, отправлемые Master-маршрутизатором
set filter VRRP rule 10 destination address 224.0.0.18
set filter VRRP rule 10 protocol vrrp
set filter VRRP rule 10 source address-group VIP
commit
set policy firewall FIREWALL-LAN-IN description "Политика МЭ для входящего локального трафика"
set policy firewall FIREWALL-LAN-IN rule 10 action accept
set policy firewall FIREWALL-LAN-IN rule 10 match filter STATE-NEW
set policy firewall FIREWALL-LAN-IN rule 20 action accept
set policy firewall FIREWALL-LAN-IN rule 20 match filter STATE-GOOD
set policy firewall FIREWALL-LAN-IN default-action drop
commit
set policy firewall FIREWALL-LOCAL-IN description "Политика МЭ для трафика, предназначенного ПАК Numa Edge VPN"
set policy firewall FIREWALL-LOCAL-IN rule 10 action accept
set policy firewall FIREWALL-LOCAL-IN rule 10 log enable
set policy firewall FIREWALL-LOCAL-IN rule 10 match filter STATE-GOOD
set policy firewall FIREWALL-LOCAL-IN rule 20 action drop
set policy firewall FIREWALL-LOCAL-IN rule 20 log enable
set policy firewall FIREWALL-LOCAL-IN rule 20 match filter STATE-BAD
set policy firewall FIREWALL-LOCAL-IN rule 30 action accept
set policy firewall FIREWALL-LOCAL-IN rule 30 log enable
set policy firewall FIREWALL-LOCAL-IN rule 30 match filter VPN
set policy firewall FIREWALL-LOCAL-IN rule 40 action accept
set policy firewall FIREWALL-LOCAL-IN rule 40 match filter ICMP-REQUEST
set policy firewall FIREWALL-LOCAL-IN rule 50 action accept
set policy firewall FIREWALL-LOCAL-IN rule 50 match filter VRRP
set policy firewall FIREWALL-LOCAL-IN default-action drop
set policy firewall FIREWALL-LOCAL-IN enable-default-log
commit
set policy firewall FIREWALL-WAN-IN description "Политика МЭ для входящего внешнего трафика"
set policy firewall FIREWALL-WAN-IN rule 10 action accept
set policy firewall FIREWALL-WAN-IN rule 10 match filter STATE-GOOD
set policy firewall FIREWALL-WAN-IN default-action drop
set policy firewall FIREWALL-WAN-IN enable-default-log
commit
set interfaces ethernet eth1 policy in firewall FIREWALL-WAN-IN
set interfaces ethernet eth1 policy local firewall FIREWALL-LOCAL-IN
set interfaces ethernet eth2 policy in firewall FIREWALL-LAN-IN
set interfaces ethernet eth2 policy local firewall FIREWALL-LOCAL-IN
set system host-name edge-dc2-fw
commit
set interfaces ethernet eth1 description WAN
set interfaces ethernet eth1 vrrp 1 description WAN#vrid1
set interfaces ethernet eth1 vrrp 1 virtual-address 203.0.113.1
set interfaces ethernet eth1 vrrp 1 accept-mode true
set interfaces ethernet eth1 vrrp 1 hello-source-address 203.0.113.1
set interfaces ethernet eth1 vrrp 1 sync-group SYNC
commit
set interfaces ethernet eth2 description LAN
set interfaces ethernet eth2 vrrp 2 description LAN#vrid2
set interfaces ethernet eth2 vrrp 2 virtual-address 192.168.0.254
set interfaces ethernet eth2 vrrp 2 accept-mode true
set interfaces ethernet eth2 vrrp 2 hello-source-address 192.168.0.254
set interfaces ethernet eth2 vrrp 2 sync-group SYNC
commit
set protocols static interface-route 192.168.0.0/24 next-hop-interface eth2v2
set protocols static interface-route 203.0.113.0/24 next-hop-interface eth1v1
set protocols static route 0.0.0.0/0 next-hop 203.0.113.254
set system dns name-server 203.0.113.254
commit
set interfaces openvpn vtun1 description edge-filial1-fw
set interfaces openvpn vtun1 encryption magma-mgm-cc
set interfaces openvpn vtun1 hash magma-mgm
set interfaces openvpn vtun1 local-address 10.0.0.1
set interfaces openvpn vtun1 local-host 203.0.113.1
set interfaces openvpn vtun1 local-port 7748
set interfaces openvpn vtun1 mode site-to-site
set interfaces openvpn vtun1 protocol tcp-passive
set interfaces openvpn vtun1 remote-address 10.0.0.2
set interfaces openvpn vtun1 tls dh-param-numbits 2048
set interfaces openvpn vtun1 tls role passive
set interfaces openvpn vtun1 tls verify crl
set interfaces openvpn vtun1 tls x509-cert edgedc2-cert
commit
set interfaces openvpn vtun2 description edge-filial2-fw
set interfaces openvpn vtun2 encryption magma-mgm-cc
set interfaces openvpn vtun2 hash magma-mgm
set interfaces openvpn vtun2 local-address 10.0.0.3
set interfaces openvpn vtun2 local-host 203.0.113.1
set interfaces openvpn vtun2 local-port 7749
set interfaces openvpn vtun2 mode site-to-site
set interfaces openvpn vtun2 protocol tcp-passive
set interfaces openvpn vtun2 remote-address 10.0.0.4
set interfaces openvpn vtun2 tls dh-param-numbits 2048
set interfaces openvpn vtun2 tls role passive
set interfaces openvpn vtun2 tls verify crl
set interfaces openvpn vtun2 tls x509-cert edgedc2-cert
commit
set interfaces openvpn vtun100 description remote-access-vpn
set interfaces openvpn vtun100 encryption magma-mgm-cc
set interfaces openvpn vtun100 hash magma-mgm
set interfaces openvpn vtun100 local-port 7750
set interfaces openvpn vtun100 mode server
set interfaces openvpn vtun100 protocol tcp-passive
set interfaces openvpn vtun100 server push-route 192.168.10.0/24
set interfaces openvpn vtun100 server push-route 192.168.0.0/24
set interfaces openvpn vtun100 server push-route 192.168.20.0/24
set interfaces openvpn vtun100 server subnet 192.168.100.0/24
set interfaces openvpn vtun100 server topology subnet
set interfaces openvpn vtun100 tls dh-param-numbits 2048
set interfaces openvpn vtun100 tls verify crl
set interfaces openvpn vtun100 tls x509-cert edgedc2-cert
commit
set policy prefix-list 1 description "Connected маршруты, используемые для перераспределения в протокол OSPF"
set policy prefix-list 1 rule 10 description "Локальная сеть в ЦОД"
set policy prefix-list 1 rule 10 action permit
set policy prefix-list 1 rule 10 prefix 192.168.0.0/24
set policy prefix-list 1 rule 20 description "Подсеть для подключения удаленных клиентов"
set policy prefix-list 1 rule 20 action permit
set policy prefix-list 1 rule 20 prefix 192.168.100.0/24
set policy prefix-list 1 rule 30 description "Loopback адрес"
set policy prefix-list 1 rule 30 action permit
set policy prefix-list 1 rule 30 prefix 100.64.0.2/32
commit
set policy route-map DC description "Политика фильтрации перераспределяемых маршрутов для протокола OSPF"
set policy route-map DC rule 10 description "Разрешенные подсети"
set policy route-map DC rule 10 action permit
set policy route-map DC rule 10 match ip address prefix-list 1
set policy route-map DC rule 900 description "Запрет остальных подсетей"
set policy route-map DC rule 900 action deny
commit
set interfaces loopback lo address 100.64.0.2/32
set protocols ospf parameters router-id 100.64.0.2
set protocols ospf area 0 network 10.0.0.0/24
set protocols ospf redistribute connected route-map DC
commit
set filter ICMP-REQUEST description "Разрешение ICPM запросов"
set filter ICMP-REQUEST rule 10 icmp type echo-request
set filter ICMP-REQUEST rule 10 protocol icmp
set filter STATE-BAD rule 10 description "Некорректное соединение"
set filter STATE-BAD rule 10 state invalid enable
set filter STATE-GOOD rule 10 description "Установленное либо связанное с установленным соединение"
set filter STATE-GOOD rule 10 state established enable
set filter STATE-GOOD rule 10 state related enable
set filter STATE-NEW description "Установление соединения"
set filter STATE-NEW rule 10 source address 192.168.0.0/24
set filter STATE-NEW rule 10 state new enable
commit
set groups port-group VPN-PORTS description "Порты МагПро КриптоПакет 4.0"
set groups port-group VPN-PORTS port 7748
set groups port-group VPN-PORTS port 7749
set groups port-group VPN-PORTS port 7750
set filter VPN rule 10 description "Подключение с помощью МагПро КриптоПакет 4.0"
set filter VPN rule 10 destination port-group VPN-PORTS
set filter VPN rule 10 protocol tcp
commit
set groups address-group VIP description "Адреса, с которых отправляются VRRP-объявления"
set groups address-group VIP address 192.168.0.254
set groups address-group VIP address 203.0.113.1
set filter VRRP description "ADVERTISEMENT сообщения, отправлемые Master-маршрутизатором"
set filter VRRP rule 10 destination address 224.0.0.18
set filter VRRP rule 10 protocol vrrp
set filter VRRP rule 10 source address-group VIP
commit
set policy firewall FIREWALL-LAN-IN description "Политика МЭ для входящего локального трафика"
set policy firewall FIREWALL-LAN-IN rule 10 action accept
set policy firewall FIREWALL-LAN-IN rule 10 match filter STATE-NEW
set policy firewall FIREWALL-LAN-IN rule 20 action accept
set policy firewall FIREWALL-LAN-IN rule 20 match filter STATE-GOOD
set policy firewall FIREWALL-LAN-IN default-action drop
commit
set policy firewall FIREWALL-LOCAL-IN description "Политика МЭ для трафика, предназначенного ПАК Numa Edge VPN"
set policy firewall FIREWALL-LOCAL-IN rule 10 action accept
set policy firewall FIREWALL-LOCAL-IN rule 10 log enable
set policy firewall FIREWALL-LOCAL-IN rule 10 match filter STATE-GOOD
set policy firewall FIREWALL-LOCAL-IN rule 20 action drop
set policy firewall FIREWALL-LOCAL-IN rule 20 log enable
set policy firewall FIREWALL-LOCAL-IN rule 20 match filter STATE-BAD
set policy firewall FIREWALL-LOCAL-IN rule 30 action accept
set policy firewall FIREWALL-LOCAL-IN rule 30 log enable
set policy firewall FIREWALL-LOCAL-IN rule 30 match filter VPN
set policy firewall FIREWALL-LOCAL-IN rule 40 action accept
set policy firewall FIREWALL-LOCAL-IN rule 40 match filter ICMP-REQUEST
set policy firewall FIREWALL-LOCAL-IN rule 50 action accept
set policy firewall FIREWALL-LOCAL-IN rule 50 match filter VRRP
set policy firewall FIREWALL-LOCAL-IN default-action drop
set policy firewall FIREWALL-LOCAL-IN enable-default-log
commit
set policy firewall FIREWALL-WAN-IN description "Политика МЭ для входящего внешнего трафика"
set policy firewall FIREWALL-WAN-IN rule 10 action accept
set policy firewall FIREWALL-WAN-IN rule 10 match filter STATE-GOOD
set policy firewall FIREWALL-WAN-IN default-action drop
set policy firewall FIREWALL-WAN-IN enable-default-log
commit
set interfaces ethernet eth1 policy in firewall FIREWALL-WAN-IN
set interfaces ethernet eth1 policy local firewall FIREWALL-LOCAL-IN
set interfaces ethernet eth2 policy in firewall FIREWALL-LAN-IN
set interfaces ethernet eth2 policy local firewall FIREWALL-LOCAL-IN
set system host-name edge-filial1-fw
commit
set interfaces ethernet eth1 description WAN
set interfaces ethernet eth1 address dhcp
set interfaces ethernet eth2 description LAN
set interfaces ethernet eth2 address 192.168.10.254/24
commit
set interfaces openvpn vtun0 description edge-dc-fw
set interfaces openvpn vtun0 remote-host 203.0.113.1
set interfaces openvpn vtun0 encryption magma-mgm-cc
set interfaces openvpn vtun0 hash magma-mgm
set interfaces openvpn vtun0 local-address 10.0.0.2
set interfaces openvpn vtun0 mode site-to-site
set interfaces openvpn vtun0 protocol tcp-active
set interfaces openvpn vtun0 remote-address 10.0.0.1
set interfaces openvpn vtun0 remote-port 7748
set interfaces openvpn vtun0 tls dh-param-numbits 2048
set interfaces openvpn vtun0 tls role active
set interfaces openvpn vtun0 tls verify crl
set interfaces openvpn vtun0 tls x509-cert filial1-cert
commit
set policy prefix-list 1 description "Connected маршруты, используемые для перераспределения в протокол OSPF"
set policy prefix-list 1 rule 10 description "Локальная сеть в филиале 1"
set policy prefix-list 1 rule 10 action permit
set policy prefix-list 1 rule 10 prefix 192.168.10.0/24
set policy prefix-list 1 rule 20 description "Loopback адрес"
set policy prefix-list 1 rule 20 action permit
set policy prefix-list 1 rule 20 prefix 100.64.1.1/32
commit
set policy route-map filal1 description "Политика фильтрации перераспределяемых маршрутов для протокола OSPF"
set policy route-map filal1 rule 10 description "Разрешенные подсети"
set policy route-map filal1 rule 10 action permit
set policy route-map filal1 rule 10 match ip address prefix-list 1
set policy route-map filal1 rule 900 description "Запрет остальных подсетей"
set policy route-map filal1 rule 900 action deny
commit
set interfaces loopback lo address 100.64.1.1/32
set protocols ospf parameters router-id 100.64.1.1
set protocols ospf area 0 network 10.0.0.0/24
set protocols ospf redistribute connected route-map filal1
commit
set filter ICMP-REQUEST description "Разрешение ICPM запросов"
set filter ICMP-REQUEST rule 10 icmp type echo-request
set filter ICMP-REQUEST rule 10 protocol icmp
set filter STATE-BAD rule 10 description "Некорректное соединение"
set filter STATE-BAD rule 10 state invalid enable
set filter STATE-GOOD rule 10 description "Установленное либо связанное с установленным соединение"
set filter STATE-GOOD rule 10 state established enable
set filter STATE-GOOD rule 10 state related enable
set filter STATE-NEW rule 10 source address 192.168.10.0/24
set filter STATE-NEW rule 10 state new enable
set filter STATE-NEW description "Установление соединения"
commit
set policy firewall FIREWALL-LAN-IN description "Политика МЭ для входящего локального трафика"
set policy firewall FIREWALL-LAN-IN rule 10 action accept
set policy firewall FIREWALL-LAN-IN rule 10 match filter STATE-NEW
set policy firewall FIREWALL-LAN-IN rule 20 action accept
set policy firewall FIREWALL-LAN-IN rule 20 match filter STATE-GOOD
set policy firewall FIREWALL-LAN-IN default-action drop
commit
set policy firewall FIREWALL-LOCAL-IN description "Политика МЭ для трафика, предназначенного ПАК Numa Edge VPN"
set policy firewall FIREWALL-LOCAL-IN rule 10 action accept
set policy firewall FIREWALL-LOCAL-IN rule 10 log enable
set policy firewall FIREWALL-LOCAL-IN rule 10 match filter STATE-GOOD
set policy firewall FIREWALL-LOCAL-IN rule 20 action drop
set policy firewall FIREWALL-LOCAL-IN rule 20 log enable
set policy firewall FIREWALL-LOCAL-IN rule 20 match filter STATE-BAD
set policy firewall FIREWALL-LOCAL-IN rule 30 action accept
set policy firewall FIREWALL-LOCAL-IN rule 30 match filter ICMP-REQUEST
set policy firewall FIREWALL-LOCAL-IN default-action drop
set policy firewall FIREWALL-LOCAL-IN enable-default-log
commit
set policy firewall FIREWALL-WAN-IN description "Политика МЭ для входящего внешнего трафика"
set policy firewall FIREWALL-WAN-IN rule 10 action accept
set policy firewall FIREWALL-WAN-IN rule 10 match filter STATE-GOOD
set policy firewall FIREWALL-WAN-IN default-action drop
set policy firewall FIREWALL-WAN-IN enable-default-log
commit
set interfaces ethernet eth1 policy in firewall FIREWALL-WAN-IN
set interfaces ethernet eth1 policy local firewall FIREWALL-LOCAL-IN
set interfaces ethernet eth2 policy in firewall FIREWALL-LAN-IN
set interfaces ethernet eth2 policy local firewall FIREWALL-LOCAL-IN
commit
set system host-name edge-filial2-fw
commit
set interfaces ethernet eth1 description WAN
set interfaces ethernet eth1 address dhcp
set interfaces ethernet eth2 description LAN
set interfaces ethernet eth2 address 192.168.20.254/24
commit
set interfaces openvpn vtun0 description edge-dc-fw
set interfaces openvpn vtun0 remote-host 203.0.113.1
set interfaces openvpn vtun0 encryption magma-mgm-cc
set interfaces openvpn vtun0 hash magma-mgm
set interfaces openvpn vtun0 local-address 10.0.0.4
set interfaces openvpn vtun0 mode site-to-site
set interfaces openvpn vtun0 protocol tcp-active
set interfaces openvpn vtun0 remote-address 10.0.0.3
set interfaces openvpn vtun0 remote-port 7749
set interfaces openvpn vtun0 tls dh-param-numbits 2048
set interfaces openvpn vtun0 tls role active
set interfaces openvpn vtun0 tls verify crl
set interfaces openvpn vtun0 tls x509-cert filial2-cert
commit
set policy prefix-list 1 description "Connected маршруты, используемые для перераспределения в протокол OSPF"
set policy prefix-list 1 rule 10 description "Локальная сеть в филиале 2"
set policy prefix-list 1 rule 10 action permit
set policy prefix-list 1 rule 10 prefix 192.168.20.0/24
set policy prefix-list 1 rule 20 description "Loopback адрес"
set policy prefix-list 1 rule 20 action permit
set policy prefix-list 1 rule 20 prefix 100.64.1.2/32
commit
set policy route-map filal2 description "Политика фильтрации перераспределяемых маршрутов для протокола OSPF"
set policy route-map filal2 rule 10 description "Разрешенные подсети"
set policy route-map filal2 rule 10 action permit
set policy route-map filal2 rule 10 match ip address prefix-list 1
set policy route-map filal2 rule 900 description "Запрет остальных подсетей"
set policy route-map filal2 rule 900 action deny
commit
set interfaces loopback lo address 100.64.1.2/32
set protocols ospf parameters router-id 100.64.1.2
set protocols ospf area 0 network 10.0.0.0/24
set protocols ospf redistribute connected route-map filal2
commit
set filter ICMP-REQUEST description "Разрешение ICPM запросов"
set filter ICMP-REQUEST rule 10 icmp type echo-request
set filter ICMP-REQUEST rule 10 protocol icmp
set filter STATE-BAD rule 10 description "Некорректное соединение"
set filter STATE-BAD rule 10 state invalid enable
set filter STATE-GOOD rule 10 description "Установленное либо связанное с установленным соединение"
set filter STATE-GOOD rule 10 state established enable
set filter STATE-GOOD rule 10 state related enable
set filter STATE-NEW description "Установление соединения"
set filter STATE-NEW rule 10 source address 192.168.20.0/24
set filter STATE-NEW rule 10 state new enable
commit
set policy firewall FIREWALL-LAN-IN description "Политика МЭ для входящего локального трафика"
set policy firewall FIREWALL-LAN-IN rule 10 action accept
set policy firewall FIREWALL-LAN-IN rule 10 match filter STATE-NEW
set policy firewall FIREWALL-LAN-IN rule 20 action accept
set policy firewall FIREWALL-LAN-IN rule 20 match filter STATE-GOOD
set policy firewall FIREWALL-LAN-IN default-action drop
commit
set policy firewall FIREWALL-LOCAL-IN description "Политика МЭ для трафика, предназначенного ПАК Numa Edge VPN"
set policy firewall FIREWALL-LOCAL-IN rule 10 action accept
set policy firewall FIREWALL-LOCAL-IN rule 10 log enable
set policy firewall FIREWALL-LOCAL-IN rule 10 match filter STATE-GOOD
set policy firewall FIREWALL-LOCAL-IN rule 20 action drop
set policy firewall FIREWALL-LOCAL-IN rule 20 log enable
set policy firewall FIREWALL-LOCAL-IN rule 20 match filter STATE-BAD
set policy firewall FIREWALL-LOCAL-IN rule 30 action accept
set policy firewall FIREWALL-LOCAL-IN rule 30 match filter ICMP-REQUEST
set policy firewall FIREWALL-LOCAL-IN default-action drop
set policy firewall FIREWALL-LOCAL-IN enable-default-log
commit
set policy firewall FIREWALL-WAN-IN description "Политика МЭ для входящего внешнего трафика"
set policy firewall FIREWALL-WAN-IN rule 10 action accept
set policy firewall FIREWALL-WAN-IN rule 10 match filter STATE-GOOD
set policy firewall FIREWALL-WAN-IN default-action drop
set policy firewall FIREWALL-WAN-IN enable-default-log
commit
set interfaces ethernet eth2 policy in firewall FIREWALL-LAN-IN
set interfaces ethernet eth2 policy local firewall FIREWALL-LOCAL-IN
set interfaces ethernet eth1 policy in firewall FIREWALL-WAN-IN
set interfaces ethernet eth1 policy local firewall FIREWALL-LOCAL-IN
commit
# tap or tun
dev tun
# tcp or udp. If GOST - TCP only
proto tcp
# Log-file
log /var/log/openvpn-gost.log
# Verbosity 0-11
verb 3
# Ping every 10 seconds, assume that remote peer
# # is down if no ping received during a 120 second
# # time period.
keepalive 10 120
#comp-lzo yes
persist-key
persist-tun
# Client mode
client
# Address and port of OpenVPN-GOST server
remote 203.0.113.1 7750
# Server must present a certificate for TSL server authentication
remote-cert-tls server
# Algorithms and key files
engine cryptocom
ncp-disable
cipher magma-mgm
tls-cipher GOST2012-MAGMA-MAGMAOMAC
tls-ciphersuites TLS_GOSTR341112_256_WITH_MAGMA_MGM_L
tls-groups GC256A:GC256B:GC256C:GC256D:GC512A:GC512B:GC512C
ca /etc/openvpn-gost/certs/ROOT_CA.crt
cert /etc/openvpn-gost/certs/client1-cert.crt
key /etc/openvpn-gost/certs/client1-cert.pem
crl-verify /etc/openvpn-gost/certs/SUB_LVL2_CA.pem
dh /etc/openvpn-gost/certs/dh2048.pem
