После регистрации сертификатов необходимо создать политику безопасности для шлюза. Создавать политику рекомендуется в интерфейсе командной строки. Для входа в консоль перейдите в директорию /opt/VPNagent/bin/ и запустите cs_console.
root@sterragate:~# cs_console
sterragate>en
Password:
Пароль по умолчанию: csp.
1. Перейдите в режим настройки:
sterragate#conf t
Enter configuration commands, one per line. End with CNTL/Z.
2. Смените пароль по умолчанию:
sterragate(config)#username cscons password <пароль>
3. Смените название шлюза:
sterragate(config)#hostname GW1
4. В настройках интерфейсов задайте ip-адреса:
GW1(config)#interface GigabitEthernet 0/0
GW1(config-if)#ip address 192.168.1.1 255.255.255.0
GW1(config-if)#no shutdown
GW1(config-if)#exit
GW1(config)#interface GigabitEthernet 0/1
GW1(config-if)#ip address 192.168.100.1 255.255.255.0
GW1(config-if)#no shutdown
GW1(config-if)#exit
5. Задайте адрес шлюза по умолчанию:
GW1(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.2
6. Задайте тип идентификации:
GW1(config)#crypto isakmp identity dn
7. Задайте параметры для IKE:
GW1(config)#crypto isakmp policy 1
GW1(config-isakmp)#hash gost
GW1(config-isakmp)#encryption gost
GW1(config-isakmp)#authentication gost-sig
GW1(config-isakmp)#group vko
GW1(config-isakmp)#exit
8. Создайте набор преобразований для IPsec:
GW1(config)#crypto ipsec transform-set TSET esp-gost28147-4m-imit
GW1(cfg-crypto-trans)#mode tunnel
GW1(cfg-crypto-trans)#exit
9. Опишите трафик, который планируется защищать. Для этого создайте расширенный список доступа. В списке доступа разрешите ssh трафик:
GW1(config)#ip access-list extended LIST
GW1(config-ext-nacl)#permit tcp host 192.168.100.1 eq 22 any
GW1(config-ext-nacl)#exit
10. Создайте список доступа, в котором будет запрещено прохождение любого трафика, кроме ssh:
GW1(config)#ip access-list extended LIST2
GW1(config-ext-nacl)#permit tcp host 192.168.100.1 eq 22 any
GW1(config-ext-nacl)#permit udp host 192.168.100.1 eq 4500 any
GW1(config-ext-nacl)#permit udp host 192.168.100.1 eq 500 any
GW1(config-ext-nacl)#deny ip any any
GW1(config-ext-nacl)#exit
11. Опишите требования, которым должен удовлетворять сертификат партнера (администратора):
GW1(config)#crypto identity my_admin
GW1(config-crypto-identity)#dn C=RU,L=Moscow,O=S-Terra CSP,OU=Research,CN=adminhost
GW1(config-crypto-identity)#exit
Команда crypto identity my_admin в данном случае описывает сертификат электронной подписи пользователя, только с которым будет возможно установление соединения для обработки трафика, описанного в листе доступа LIST.
12. Создайте динамическую крипто-карту:
GW1(config)#crypto dynamic-map DMAP 1
GW1(config-crypto-map)#match address LIST
GW1(config-crypto-map)#set transform-set TSET
GW1(config-crypto-map)#set pfs vko
GW1(config-crypto-map)#set identity my_admin
GW1(config-crypto-map)#reverse-route
GW1(config-crypto-map)#exit
13. Привяжите динамическую карту к статической:
GW1(config)#crypto map CMAP 1 ipsec-isakmp dynamic DMAP
14. Привяжите крипто-карту к интерфейсу, на котором будет туннель. Так же привяжите к интерфейсу список доступа, который запрещает остальной трафик:
GW1(config)#interface GigabitEthernet 0/1
GW1(config-if)#crypto map CMAP
GW1(config-if)#ip access-group LIST2 out
GW1(config-if)#exit
15. Отключите обработку списка отозванных сертификатов (CRL):
GW1(config)#crypto pki trustpoint s-terra_technological_trustpoint
GW1(ca-trustpoint)#revocation-check none
GW1(ca-trustpoint)#exit
16. Настройка устройства GW1 завершена. При выходе из конфигурационного режима происходит загрузка конфигурации.
GW1(config)#end
GW1#exit
В Приложении представлен текст cisco-like конфигурации и текст LSP для шлюза GW1.