В разделе Site to Site VPN поддерживаются следующие топологии:
· “звезда” (Hub and Spoke VPN)
· “точка-точка” (Point to Point VPN)
· “каждый с каждым” (Full Mesh VPN).
В топологии Hub and Spoke VPN не поддерживается вариант конфигурации с резервированием шлюза.
В IPSec Technology допускается только Regular IPSec (GRE не поддерживается).
Существуют некоторые ограничения в подразделах раздела Site to Site VPN. Чтобы увидеть эти подразделы надо нажать кнопку Edit VPN Policies.
Подраздел IKE Proposal
· IKE Proposal допускается задавать с использованием Authentication Certificate или Preshared Key
· чтобы использовать алгоритмы ГОСТ Р 34.11.94 и ГОСТ 28147-89 следует указать следующие алгоритмы: Hash – MD5, Encryption – DES
· если есть необходимость использовать в Modulus Group алгоритм VKO, надо скорректировать файл настроек конвертора cs_conv.ini, расположенный в каталоге /opt/VPNagent/bin/ продукта S-Terra Gate:
· выбрать неиспользуемую в IKE Diffie-Hellman группу.
Рекомендуется выбирать минимальную неиспользуемую группу:
Для полностью новой инфраструктуры – группу 1. Если в существующей инфраструктуре группа 1 уже используется, то группа 2 и т.п.
· для выбранной группы в файле cs_conv.ini прописать конвертирование в алгоритм VKO_1B:
ike-group-vko = VKO_1B
ike-group-1 = VKO_1B
ike-group-2 = MODP_1024
ike-group-5 = MODP_1536.
Подраздел IPSec Proposal
· для использования алгоритмов ГОСТ в IPSec Transform Sets следует использовать следующие алгоритмы: ESP Hash и AH Hash – MD5, ESP Encryption – DES
· не поддерживается компрессия, поэтому флажок Compression должен быть снят
· если установлен флаг Enable Perfect Forward Secrecy и есть необходимость использовать в Modulus Group алгоритм VKO, надо скорректировать файл настроек конвертора cs_conv.ini, расположенный в каталоге /opt/VPNagent/bin/ продукта S-Terra Gate:
· выбрать неиспользуемую в PFS Diffie-Hellman группу.
Для простоты рекомендуется выбрать ту же самую группу, что и для IKE
· для выбранной группы в файле cs_conv.ini прописать конвертирование в алгоритм VKO_1B:
pfs-group-vko = VKO_1B
pfs-group-group1 = VKO_1B
pfs-group-group2 = MODP_1024
pfs-group-group5 = MODP_1536.
· поддерживается Reverse Route
Подраздел Public Key Infrastructure
· получение СА сертификата по SCEP протоколу не поддерживается
· не поддерживается enrollment, поэтому любые введенные значения будут игнорироваться. Однако, их следует заполнить, чтобы не спровоцировать ошибку в CSM
· при использовании Authentication Certificate допускаются варианты Revocation Check Support: Checking Not Performed,CRL Check Required,CRL Check Attempted.
OSCP Check не поддерживается.
Подраздел VPN Global Settings
Подраздел ISAKMP Settings/IPSec Settings
В ISAKMP Settings допускается:
· устанавливать/сбрасывать флаг Enable Keepalive и настраивать параметры Interval и Retry, флаг Periodic (Router except 7600) устанавливать не рекомендуется
· настраивать Identity
· настройки остальных параметров менять не следует.
В IPSec Settings допускается:
· устанавливать/сбрасывать флаг Enable Lifetime и настраивать параметры Lifetime sec. и Lifetime Kbytes
· настройки остальных параметров менять не следует.
Подраздел NAT Settings не поддерживается
Подраздел General Settings/Fragmentation Settings
· допускается настройка DF Bit
· независимо от установки флага Enable Fragmentation before Encryption драйвером VPN будет самостоятельно принято решение фрагментировать пакет или нет, и такая фрагментация осуществляется только после IPsec инкапсуляции. Команды в конфигурации, порождаемые CSM установкой или отсутствием указанного флага, будут проигнорированы
· остальные настройки данной вкладки не следует менять.