1. В меню Accounts консоли С-Терра КП выберите предложение Create (Рисунок 138).
Рисунок 138
Появившееся окно Create new account (Рисунок 139) создания новой учетной записи управляемого VPN устройства имеет следующие поля:
• KP Client ID - уникальный идентификатор Клиента управления, может состоять из любых символов, за исключением следующих: <ПРЯМОЙ СЛЕШ>, <ОБРАТНЫЙ СЛЕШ>, <ДВОЕТОЧИЕ>, <ЗВЕЗДОЧКА>, <СИМВОЛ ВОПРОСА>, <ДВОЙНЫЕ КАВЫЧКИ>, <ЗНАК МЕНЬШЕ>, <ЗНАК БОЛЬШЕ>, <ВЕРТИКАЛЬНАЯ ЧЕРТА>, <ТАБУЛЯЦИЯ>. Идентификатор не должен начинаться или заканчиваться символами <ПРОБЕЛ> или <ТОЧКА>, и не должен быть равен “NUL” или “CON”, или “PRN”, или “AUX”, или “COMx”, где xÎ[1..9], или “LPTx”, где xÎ[1..9]
• VPN
device
profile
- файл .vpd, содержащий настройки VPN продукта, установленного на
управляемом VPN устройстве. Файл создается с помощью окна VPN data maker,
вызываемого кнопкой 
.
• Кнопка
- вызывает окно VPN data maker
(Рисунок 141) для задания настроек VPN продукта и среды его функционирования;
• Кнопка
- открывает окно удаленного
файлового хранилища Сервера управления для выбора готового профиля
устройства (файла .vpd);
• Кнопка
- удаляет введенные в поле
значения.
• KP Client settings - путь до файла csettings.txt, содержащего настройки Клиента управления. Задан по умолчанию (см. главу «Настройки Клиента управления»)
• Кнопка
- открывает окно удаленного
файлового хранилища Сервера управления для указания пути до файла
csettings.txt;
• Кнопка
- удаляет введенные в поле
значения.
Рисунок 139
2. В поле KP Client ID введите идентификатор Клиента управления, например, gate0.
3. В
поле KP Client
settings путь по
умолчанию - /storage/COMMON/csettings.txt.
Если требуется изменить значение - нажмите кнопку 
,
выберите необходимый файл и нажмите ОК
(Рисунок 140).
Рисунок 140
4. В поле VPN device
profile нажмите
кнопку , появится окно VPN
data maker (Рисунок 141).
Рисунок 141
5. В окне VPN data maker выберите Продукт С-Терра Шлюз 4.3/4.2/4.1/CSP VPN Gate 3.11/3.1 и криптобиблиотеку, S-Terra или CryptoPro (Рисунок 141).
6. Далее
нужно задать настройки VPN Продукта и среды его функционирования.
Сложную политику можно задать во вкладке LSP
в виде LSP или cisco-like конфигурации, или загрузить из файла, предварительно
создав его. А остальные настройки ввести в других вкладках.
Для создания несложной политики можно использовать окна мастера, нажав
кнопку Run Wizard в окне VPN data maker, появится окно для
выбора метода аутентификации шлюза при взаимодействии со своими партнерами
(Рисунок 142). Интерфейс этого окна описан в разделе «Задание
политики и настроек с использованием мастера».
Рисунок 142
7. Выполните п.п. 1-4 предыдущего раздела «Получение локальных сертификатов при помощи инструмента CA tools».
8. В области Trusted certificates первого окна мастера нажмите кнопку Add from CA… и выберите СА сертификат, которым подписаны созданные ранее локальные сертификаты (Рисунок 143). Нажмите кнопку ОК.
Рисунок 143
9. В области Local certificates нажмите кнопку Add from CA… и выберите локальный сертификат для центрального шлюза (Рисунок 144).
Рисунок 144
10. В окне Certificate description укажите имя контейнера на управляемом VPN устройстве, в котором будет располагаться контейнер с закрытым ключом. Имя может быть создано автоматически путем нажатия кнопки Generate name. Назначьте новый пароль для контейнера, или оставьте это поле пустым и нажмите кнопку ОК (Рисунок 145).
Рисунок 145
11. Указанные сертификаты добавятся в профиль, нажмите кнопку Next (Рисунок 146).
Рисунок 146
12.В следующем окне задайте правила обработки трафика, согласно которым центральный шлюз будет пропускать трафик от управляемых VPN устройств к Серверу управления и обратно. При этом трафик между управляемыми VPN устройствами и центральным шлюзом должен быть защищен (Рисунок 147). Для создания правила обработки трафика нажмите кнопку Add.
Рисунок 147
Рисунок 148
13.Создаваемое правило привяжите к интерфейсу шлюза с логическим именем FastEthernet0/0, который смотрит во внешнюю сеть. В области Local IP Addresses (Рисунок 148) нажмите кнопку Add… и укажите адрес защищаемой подсети - 10.0.0.0/16 (Рисунок 149). Шлюз должен взаимодействовать с любыми партнерами, поэтому в области Remote IP Addresses поставьте переключатель в положение Any. В области Action - выберите из выпадающего списка предложение Protect using IPsec, не указывая адрес IPsec партнера (адрес может быть любым).
Внимание! |
Весь остальной
трафик, не попадающий под правило, на данном интерфейсе будет
автоматически запрещен
(drop). |
Рисунок 149
14.В результате для интерфейса FastEthernet0/0 получим:
SRC: 10.0.0.0/16 - DST: any; action Protect using IPsec
SRC: any - DST: any; action DROP
Можно задать правила обработки сетевого трафика общие для всех интерфейсов, для этого поле Network interface alias остается пустым. Такие правила применяются к интерфейсам, к которым не привязаны другие правила. Например, правило по умолчанию (SRC: any - DST: any; action PASS) действует на все остальные интерфейсы и не ограничивает прохождение сетевого трафика (pass) - Рисунок 147.
15.После нажатия кнопки ОК появится предупреждение (Рисунок 150). Нажмите кнопку Yes.
Рисунок 150
16.Увеличьте приоритет созданного правила обработки трафика (Рисунок 151), нажав кнопку Up.
Рисунок 151
Рисунок 152
17. Нажмите кнопку Next (Рисунок 152).
18. Введите данные лицензии на Продукт С-Терра Шлюз /CSP VPN Gate, а также серийный номер лицензии на Продукт «КриптоПро CSP». Если на шлюзе лицензия на КриптоПро CSP уже задана и не требуется ее замена, то поле Serial number оставьте пустым. При использовании криптобиблиотеки S-Terra поле Serial number недоступно (Рисунок 153).
Рисунок 153
19.Сохраните введенные данные в окнах мастера, нажав кнопку Save…(Рисунок 153), и укажите имя DSC-проекта в любом созданной вами директории в файловом хранилище. Нажмите кнопку ОК (Рисунок 154).
Рисунок 154
20.В окне мастера нажмите кнопку Finish (Рисунок 153). Все введенные данные будут отражены во вкладках окна VPN data maker (Рисунок 155), за исключением вкладки Interfaces.
Рисунок 155
21.Перейдите во вкладку Interfaces и задайте соответствие между логическими и физическими именами интерфейсов шлюза безопасности. Для получения имен интерфейсов используйте:
• утилиту /opt/VPNagent/bin/if_mgr show - для CSP VPN Gate 3.1, 3.11, С-Терра Шлюз 4.2, С-Терра Шлюз 4.3.
• утилиту /opt/VPNagent/bin/if_show - для С-Терра Шлюз 4.1.
Во вкладке Interfaces установите флажок Network interface aliases, нажмите кнопку Add и в окне Network interface alias введите логическое и физическое имена интерфейсов (Рисунок 156).
Рисунок 156
Внимание! |
Адреса сетевых интерфейсов шлюза, заданные через cisco-like консоль, игнорируются Сервером управления. Для корректного задания адресов рекомендуется пользоваться либо средствами операционной системы, либо вкладкой Interfaces консоли С-Терра КП. |
22.Для задания интерфейсам шлюза адресов установите флажок Network interface description и, воспользовавшись кнопкой Add, назначьте интерфейсам с физическими именами адреса (Рисунок 157 ). Нажмите кнопку ОК дважды.
Рисунок 157
23.Во вкладке Interfaces нажмите кнопку ОК, появится окно с настройками новой учетной записи управляемого VPN устройства (Рисунок 158), нажмите кнопку Create.
Рисунок 158
24.В консоли С-Терра КП в таблице учетных записей управляемых VPN устройств появилась новая учетная запись gate0. Переведите её в активное состояние, выбрав в контекстном меню предложение Enable (Рисунок 159).
Рисунок 159
25.Для установки Клиента управления и обновления настроек С-Терра Шлюз /CSP VPN Gate следует подготовить два инициализационных скрипта. Для учетной записи gate0 выберите предложение Get packages в контекстном меню (Рисунок 160).
Рисунок 160
26.Откроется
окно Get packages, в котором необходимо
прописать директорию для сохранения скриптов в поле Folder
for saving. Для этого нажмите кнопку 
(Рисунок
161).
Рисунок 161
27.В открывшемся окне укажите директорию для сохранения скриптов в файловой системе Сервера управления (либо на подключенный заранее USB-флеш), например, E:\gate0 (Рисунок 162).
Рисунок 162
28.В
поле KP Client ID нажмите кнопку
и в открывшемся окне файлового
хранилища выберите путь до файла csettings.txt
по умолчанию (Рисунок 163). Нажмите кнопку ОК.
Рисунок 163
29.Далее в поле Containers окна Get packages нажмите кнопку Add и выберите из выпадающего списка имя созданного контейнера в файловой системе Сервера управления (Source container name). При этом в поле Destination container name автоматически подставляется указанное ранее имя нового контейнера на управляемом VPN устройстве (было указано в окне Certificate description, см. п. 5). Укажитке пароли для контейнеров, если они были заданы (Рисунок 164). Нажмите кнопку ОК.
Рисунок 164
Внимание! |
Поля Destination container name и Destination container password должны быть заполнены следующим образом: • Если в пункте 5 задан пароль на ключевой контейнер, то Destination container name должен совпадать с именем контейнера, используемым в п.5, а Destination container password должен совпадать или отсутствовать. • Если в пункте 5 не задан пароль на ключевой контейнер, то Destination container name может быть любым, а Destination container password должен отсутствовать. |
30.Нажмите кнопку Save в окне Get packages (Рисунок 165).
Рисунок 165
В указанную директорию будут сохранены два файла (Рисунок 166):
• setup_upagent.sh - скрипт для инициализации Клиента управления
• setup_product.sh - скрипт для настройки продукта С-Терра Шлюз /CSP VPN Gate, содержащий контейнер с ключевой парой
Рисунок 166