Задание действия в правиле

В области Action задается действие, которое будет применено к пакету, если пакет подпадает под действие данного правила (Рисунок 25). Из выпадающего списка выбирается одно из действий:

· Pass – пропускать трафик без обработки.

· Drop – не пропускать трафик.

· Protect using IPsec – защищать трафик с использованием протоколов IPsec (алгоритмы протоколов AH и ESP задаются во вкладке IPsec). Трафик между хостом c локальным IP-адресом и адресом партнера защищается на интервале между локальным IP-адресом и туннельным IPsec адресом партнера (это может быть адрес интерфейса шлюза безопасности, защищающего подсеть, в которой находится партнер). В результате этого строится защищенное IPsec соединение – IPsec SA (туннель) (Рисунок 25).

Рисунок 25

Для указания туннельного IPsec адреса партнера нажмите кнопку Add в области Action и в открывшемся окне Add Gate Address (Рисунок 26) укажите IP-адрес интерфейса или DNS-имя, до которого будет построен туннель от локального IP-адреса клиента. Адрес не может быть нулевым.

Рисунок 26

Примечание: если в качестве туннельного IPsec адреса партнера используется DNS-имя, то вместо автоматически формируемых индивидуальных фильтров IPsec autopass для каждого адреса, записывается один общий, без ограничения по IP-адресу.

Можно указать список адресов, до которых возможно построить туннель. Адреса в списке надо расположить в порядке убывания приоритета – первый в списке имеет самый высокий приоритет. Если не удалось построить туннель до интерфейса с первым указанным адресом, производится попытка построить туннель со вторым адресом и т.д. Кнопки Up и Down предназначены для изменения приоритета адресов в списке (Рисунок 27).

Рисунок 27

Используя кнопки Add, Edit и Delete, можно добавлять, редактировать и удалять адреса из списка.

Use random IP Address order – при установке этого флажка IPsec-адрес партнера будет выбираться из списка случайным образом. При неудачной попытке построить туннель с этим адресом, следующий туннельный адрес будет выбираться также случайным образом.

Request IKECFG address – установка этого флажка позволяет клиенту запрашивать адрес у IKECFG-сервера при построении защищенного соединения по данному правилу. Поэтому в этом правиле обязательно нужно указать туннельный адрес партнера, у которого и будет запрошен IKECFG-адрес (Рисунок 28). Интерфейс, с присвоенным ему IKECFG-адресом, будем называть виртуальным интерфейсом.

Существует ограничение в применении Продукта S-Terra Client, когда запрашивается адрес из IKECFG-пула:

Можно задать только одно правило с запросом IKECFG-адреса, причем в этом правиле нельзя задать фильтрацию по локальным адресам, протоколам и портам (сервисам) (положение переключателя Custom недоступно). Это связано с атрибутом PersistentConnection=TRUE в структуре IPsecAction.

Созданная политика безопасности будет неработоспособна, если весь трафик защищается по протоколу IPsec (трафик между любым локальным IP-адресом и любыми адресами партнеров, указанными в областях Local IP Addresses и Partner IP Addresses).

Политика безопасности не будет работать, если туннельный IPsec адрес партнера (Tunnel IP Addresses of IPsec partner) совпадает с IP-адресом, или подсетью партнера (Partner IP Addresses), на которые распространяется правило фильтрации.

Рисунок 28

+More settings – при нажатии на кнопку +More settings (Рисунок 28) появляется окно (Рисунок 29) для дополнительных настроек.

Рисунок 29

· Reroute packet – при установке этого флажка исходящий пакет, после обработки IPsec драйвером, будет передан ОС для повторной маршрутизации. В правилах фильтрации это надо учитывать. Установка флажка может потребоваться для сценария с вложенным IPsec. При использовании IKECFG-интерфейса, устанавливать флажок не требуется, так как после обработки исходящего пакета на IKECFG-интерфейсе, пакет в любом случае будет передан ОС для повторной маршрутизации.

· IPsec MTU – в этом поле можно задать значение MTU для IPsec SA, построенному по данному правилу. Допустимые значения MTU – от 0 до 65535. Значение по умолчанию – 0, при этом MTU будет определяться автоматически, и в LSP в структуре IPsecAction значение MTU не указывается.

· TCP encapsulation – установка флага со стороны инициатора SA вызывает заворачивание IKE и IPsec в TCP. В режиме ответчика данный флаг не используется: если партнер предлагает построить SA в режиме TCP-инкапсуляции, то локальное устройство всегда соглашается на построение такого SA.

Включать TCP-инкапсуляцию нужно, если канал между Шлюзом и Клиентом не пропускает IKE и IPsec пакеты, так как операция TCP-инкапсуляции может значительно влиять на производительность Шлюза. Количество Клиентов с TCP-инкапсуляцией, подключаемых к одному Шлюзу, рекомендуется выставлять на уровне 10% от общего числа подключаемых Клиентов.

В случае построения SA с использованием TCP-инкапсуляции значение флага Reroute packet игнорируется.

Примечание 1: дополнительно необходимо создать отдельное правило, пропускающее TCP-пакеты: в области Services and Protocol выберите TCP encapsulation client, в области Action выберите действие Pass. Созданое правило по приоритету должно быть выше, чем правило с IPsec.

Такие же разрешающие правила фильтрации создайте во вкладке Firewall Rules для входящего трафика (Inbound filter) и для исходящего трафика (Outbound filter).

Примечание 2: если используется режим TCP-инкапсуляции, то нельзя применять алгоритмы проверки целостности пакета по протоколу АН во вкладке IPsec.

Примечание 3: для успешного создания TCP-соединения, у партнеров по соединению должны совпадать параметры, задающие TCP-порт в файле vpnproxy.ini:

параметр LocalPort задает TCP-порт для прослушивания внешних HTTP-запросов и создания новых TCP соединений в режиме ответчика (сервера);
параметр DefaultTCPPort задает TCP-порт партнёра для создания новых TCP соединений в режиме инициатора (клиента).