Настройка CheckPoint UTM-1 EDGE подключение через Интернет с помощью IRZ ER75iX GPRS router


Схема подключения

Настройка ER75iX GPRS Router.
Включаем ER75iX GPRS Router. Подключаем к нему компьютер.
На компьютере администратора, с которого будет производиться настройка устройства, следует поставить режим автоматического получения IP адреса в свойствах сетевого подключения.

Через браузер Internet Explorer по протоколу http подключаемся к центру управления ER75iX GPRS Router.
Для этого вводим адрес http://192.168.1.1, где 192.168.1.1 - шлюз по умолчанию полученный через DHCP (проверяем шлюз по умолчанию в выводе команды ipconfig)


В приглашении вводим логин root и пароль по умолчанию root.
Входим в меню Configuration -> GPRS

В поля APN, UserName, Password, вводим информацию, полученную от оператора сотовой связи. Нажимаем Apply.
После внесения изменений в настройки маршрутизатора появляется окно

Нажимаем Return и продолжаем конфигурирование маршрутизатора.
Все настройки применяются после перезагрузки маршрутизатора.
Маршрутизатор надо перезагрузить после изменения всех настроек.
Входим в меню Configuration -> LAN

Изменяем IP адрес на интерфейсе LAN.
В поле IP Address вводим новый IP адрес 192.168.8.1
Убираем флажок в режиме DHCP server. Нажимаем Apply.
Входим в меню Configuration -> NAT

В поле Server IP address вводим IP адрес 192.168.8.2. Нажимаем Apply.
Входим в меню Administration -> Change Password

В этом меню производим смену пароля по умолчанию, для пользователя root.
При выборе нового пароля пользуемся Порядком обращения с паролями, введенный приказом №64-кт от 30.10.2000 г.
Нажимаем Apply.
Все настройки применяются после перезагрузки маршрутизатора. Перезагрузка маршрутизатора осуществляется из меню Administration -> Reboot.
После перезагрузки маршрутизатора, маршрутизатор будет доступен по IP адресу 192.168.8.1
Настройка оборудования CheckPoint UTM-1 Edge.
Подготовка оборудования.
Включаем Checkpoint UTM-1 Edge. Подключаем к нему компьютер, с которого мы будем производить настройку устройства, в один из 4ех интерфейсов LAN.
На компьютере администратора, с которого будет производиться настройка устройства, следует поставить режим автоматического получения IP адреса в свойствах сетевого подключения.

Через браузер Internet Explorer по протоколу http подключаемся к центру управления UTM-1 Edge.
Для этого вводим адрес http://192.168.10.1, где 192.168.10.1 - шлюз по умолчанию полученный через DHCP (проверяем шлюз по умолчанию в выводе команды ipconfig)

При первом подключение к центру управление UTM-1 Edge, необходимо задать пароль администратора (login admin). При выборе нового пароля пользуемся Порядком обращения с паролями, введенный приказом №64-кт от 30.10.2000 г.. В дальнейшем для доступа к центру управления UTM-1 Edge необходимо использовать протокол https, в этом случае в Internet Explorer необходимо вводить адрес https://192.168.10.1
На экране появляется предупреждение системы безопасности:

Нажимаем на «Да» и вводим логин admin и пароль администратора.
После ввода логина и пароля, попадаем в центр управления UTM-1

Настройка сетевых интерфейсов
Щелкаем по пункту меню Network и попадаем в окно настройки внешнего сетевого интерфейса (Вкладка Internet)

Здесь щелкаем на Edit и настраиваем параметры внешнего интерфейса.

Port выбираем – WAN
Connection Type – LAN
Obtain IP address automatically – Режим автоматического получения IP адреса по DHCP. Следует снять флажок и указать сетевой адрес в явном виде.
Use the following configuration
IP address – Внешний IP адрес
Subnet Mask – Сетевая маска
Default Gateway – Шлюз по умолчанию
Вводим информацию, полученную от провайдера предоставляющего канал связи в Интернет для подключения банкомата.
Name Servers
Primary DNS Server – Первичный DNS сервер, который обязательно необходимо указать. (Например IP адрес сетевого интерфейса)
Secondary DNS Server – Вторичный DNS сервер (поле оставляем пустым)
WINS Server – Сервер WINS (поле оставляем пустым)
После ввода параметров, нажимаем на apply внизу экрана. Если все правильно, то после перезагрузки страницы, мы увидим следующую надпись Saved Successfully.

Далее производим настройку внутреннего интерфейса. Для этого щелкаем по вкладке My Network и выбираем Edit на интерфейсе LAN.


В появившемся окне, вводим IP адрес устройства для внутренней сети, сетевую маску.
Выключаем опции Hide NAT (ставим Disabled) и DHCP Server (ставим Disabled). Дальше нажимаем на Apply, соглашаемся с предупреждением.
Дальше необходимо перенастроить сетевой интерфейс на компьютере администратора, с которого производиться настройка устройства UTM-1 Edge.
Следует явно задать IP адреса в свойствах сетевого подключения из сетевого диапазона выделенного для подключения банкомата 10.128+№.(252-255).(0,8,16,24..)/29, где № – номер филиала (1…).
В нашем случае это выглядит так:

После перенастройки сетевого интерфейс, необходимо перезайти в центр управления UTM-1 Edge (В нашем случае это https://10.129.254.1)
Настройка параметров межсетевого экрана

Выбираем кнопку Security и на вкладке Firewall ставим ползунок в положение Block All.

Выбираем кнопку Network и во вкладке Network Services добавляем сервис протокола https (Этот сервис можно использовать в настройках Security Rules).


Далее заходим на вкладку Rules, где указываем правила доступа для сетевого трафика.
а) Разрешаем трафик из подсети, выделенной для подключения банкомата, до сети процессингового центра.
Нажимаем на Add Rule.

Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.

Во втором окошке указываем Any Service.
Нажимаем на Next.

Здесь в поле источника указываем LAN , а в поле назначения – Specified Range (10.100.11.1-10.100.11.254).
Нажимаем Next.


В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.

Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
Создаем такое же правило для сети назначения 10.100.19.0:
Нажимаем на Add Rule.

Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.

Во втором окошке указываем Any Service.
Нажимаем на Next.

Здесь в поле источника указываем LAN , а в поле назначения – Specified Range (10.100.19.1-10.100.19.254).
Нажимаем Next.


В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.

Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
б) Разрешаем трафик, необходимый для мониторинга банкоматов, из сети процессингового центра до подсети, выделенной для подключения банкомата.
Нажимаем на Add Rule.

Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.

Во втором окошке указываем Custom Service (UDP Port Range: 161-162).
Нажимаем на Next.

Здесь в поле источника указываем Specified Range (10.100.11.1-10.100.11.254) , а в поле назначения – LAN, нажимаем Next.

В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.

Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
Создаем такое же правило для сети 10.100.19.0:
Нажимаем на Add Rule.

Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.

Во втором окошке указываем Custom Service (UDP Port Range: 161-162).
Нажимаем на Next.

Здесь в поле источника указываем Specified Range (10.100.19.1-10.100.19.254) , а в поле назначения – LAN, нажимаем Next.

В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.

Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
в) Разрешение трафика (ICMP) для мониторинга доступности устройства.
Нажимаем на Add Rule.

Появляется окошко, в котором выбираем Allow (разрешить) и нажимаем на Next.

Во втором окошке указываем Custom Service (Protocol ICMP).
Нажимаем на Next.

Здесь в поле источника указываем ANY , а в поле назначения – This Gateway.
Нажимаем Next.

В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.

Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
г) Разрешение трафика удаленного управления устройства.
Нажимаем на Add Rule.

Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.

Во втором окошке указываем Standard Service (Protocol HTTPS).
Нажимаем на Next.

Здесь в поле источника Specified IP указываем IP адрес филиального маршрутизатора из IP VPN (внешний адрес маршрутизатора) в нашем примере 192.168.1.1, а в поле назначения – This Gateway.
Нажимаем Next.

В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.

Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
д) Разрешаем трафик, необходимый для обновления банкоматов, из сети процессингового центра до подсети, выделенной для подключения банкомата.
Нажимаем на Add Rule.

Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.

Во втором окошке указываем Custom Service (TCP Port Range: 4105-4105).
Нажимаем на Next.

Здесь в поле источника указываем Specified Range (10.100.11.1-10.100.11.254) , а в поле назначения – LAN, нажимаем Next.

В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.

Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
Создаем такое же правило для сети 10.100.19.0:
Нажимаем на Add Rule.

Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.

Во втором окошке указываем Custom Service (TCP Port Range: 4105-4105).
Нажимаем на Next.

Здесь в поле источника указываем Specified Range (10.100.19.1-10.100.19.254) , а в поле назначения – LAN, нажимаем Next.

В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.

Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
e) Разрешаем трафик, необходимый для обновления банкоматов, из сети процессингового центра до подсети, выделенной для подключения банкомата.
Нажимаем на Add Rule.

Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.

Во втором окошке указываем Custom Service (TCP Port Range: 4728-4728).
Нажимаем на Next.

Здесь в поле источника указываем Specified Range (10.100.11.1-10.100.11.254) , а в поле назначения – LAN, нажимаем Next.

В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.

Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
Создаем такое же правило для сети 10.100.19.0:
Нажимаем на Add Rule.

Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.

Во втором окошке указываем Custom Service (TCP Port Range: 4728-4728).
Нажимаем на Next.

Здесь в поле источника указываем Specified Range (10.100.19.1-10.100.19.254) , а в поле назначения – LAN, нажимаем Next.

В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.

Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
ж) Разрешаем трафик, необходимый для обновления банкоматов, из сети процессингового центра до подсети, выделенной для подключения банкомата.
Нажимаем на Add Rule.

Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.

Во втором окошке указываем Custom Service (UDP Port Range: 4104-4104).
Нажимаем на Next.

Здесь в поле источника указываем Specified Range (10.100.11.1-10.100.11.254) , а в поле назначения – LAN, нажимаем Next.

В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.

Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
Создаем такое же правило для сети 10.100.19.0:
Нажимаем на Add Rule.

Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.

Во втором окошке указываем Custom Service (UDP Port Range: 4104-4104).
Нажимаем на Next.

Здесь в поле источника указываем Specified Range (10.100.19.1-10.100.19.254) , а в поле назначения – LAN, нажимаем Next.

В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.

Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
Настройка VPN туннеля
Нажимаем кнопку VPN и вкладку VPN Sites

Дальше нажимаем на New Site

В появившемся окне выбираем Site-to-Site VPN.
Нажимаем на Next.

В поле VPN Gateway вводим внешний IP адрес филиального межсетевого экрана, с которым нужно организовать защищенный канал связи.
Убираем флажок Bypass NAT и флажок Bypass default firewall policy.
Нажимаем на Next.

Здесь ставим точку на Specify Configuration (Указать конфигурацию).
Нажимаем на Next.

В этом меню указываем сети назначения трафика, в которые необходимо осуществлять шифрование. Для нас это 10.100.11.0/24 и 10.100.19.0/24
Нажимаем на Next.

Оставляем это поле пустым
Нажимаем на Next.


Здесь указываем метод аутентификации Shared Secret (совместно используемых ключей) и в следующем окне вводим ключ шифрования (первые 31 символа сгенерированные программой генерацией КК).
Нажимаем на Next.

В этом окне нажимаем на Show Advanced Settings и задаем параметры шифрования данных.

Ставим флажок Try to Connect to the VPN Gateway. (После нажатия на Next устройство попробует связаться с удаленным концом и установить VPN соединение.)
Нажимаем на Next.

Вводим название подключения, убираем флажок на Keep this site alive, нажимаем Next и затем Finish.
Если VPN соединение установить не получилось, то видим следующее сообщение:

В этом случае внимательно проверяем все параметры, указанные в конфигурации UTM-1 Edge и Cisco ASA.
В первую очередь следует проверить
a) Сетевую связанность между UTM-1 Edge и Cisco ASA
б) Списки контроля доступа на Cisco ASA
в) Параметры IPSEC и ISAKMP
Настройка удаленного управления
Выбираем кнопку Setup, вкладку Management

В поле HTTPS и SSH указываем Internal Networks + IP Range, дальше вводим внешний ip адрес межсетевого экрана регионального филиала. В нашем примере (200.0.0.1 – 200.0.0.1)
Просмотр событий
Всю информацию о текущем состоянии и лог устройства можно посмотреть, нажав на кнопку Reports.
Вкладка Event Log показывает все события, происходящие с устройством Checkpoint.

Закладка VPN Tunnels показывает существующие на данный момент туннели. При успешном соединении картинка будет следующей:

На устройствах Cisco ASA наличие туннеля можно посмотреть, введя следующие команды:
show crypto ipsec sa
show crypto isakmp sa
Настройка Cisco ASA.
Добавление сетевых объектов.
Для настройки трансляции адресов для прохождения трафика от банкоматов до процессингового центра необходимо добавить следующие строчки:
object-group network NET_PLCARD
network-object 10.100.11.0 255.255.255.0
network-object 10.100.19.0 255.255.255.0
object-group network ATM_INTERNET
network-object 10.128+F.252.0 255.255.252.0
//где F – номер филиала
object-group network SERVER_ATM_UPDATE
network-object host 10.100.11.96
network-object host 10.100.19.96
Настройка Cisco ASA при подключении банкомата.
а) Пример настройки Cisco ASA при подключении банкомата через Интернет со статическими внешним IP. (Рекомендованная конфигурация)
Перед началом работы сохраните на tftp сервер текущую конфигурацию Cisco ASA.
crypto isakmp enable outside
crypto isakmp policy 10 // Если номер 10 для политики isakmp уже используется,
authentication pre-share // необходимо выбрать следующий свободный номер
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ipsec transform-set ESP-AES-SHA esp-aes-256 esp-sha-hmac
crypto isakmp nat-traversal
same-security-traffic permit intra-interface
access-list crypto_acl_atm_1 extended permit ip 10.100.11.0 255.255.255.0 10.129.254.0 255.255.255.248
access-list crypto_acl_atm_1 extended permit ip 10.100.19.0 255.255.255.0 10.129.254.0 255.255.255.248
// вместо 10.129.254.0 255.255.255.248 указываем сетевой диапазон
// выделенный для подключения банкомата
tunnel-group 200.0.0.2 type ipsec-l2l // вместо 200.0.0.2 указываем внешний IP адрес
tunnel-group 200.0.0.2 ipsec-attributes // настроенный на UTM-1 Edge
pre-shared-key // после pre-shared-key вводим первые 31 символа
// сгенерированные программой генерацией КК
crypto map SECMAP 1 match address crypto_acl_atm_1
crypto map SECMAP 1 set peer 200.0.0.2 // вместо 200.0.0.2 указывается внешний IP адрес
crypto map SECMAP 1 set transform-set ESP-AES-SHA // настроенный на UTM-1 Edge
crypto map SECMAP 1 set security-association lifetime seconds 3600
crypto map SECMAP interface outside
// Если номер 1 для политики crypto map уже используется, необходимо выбрать следующий свободный номер
Настройка трансляции адресов для прохождения трафика от банкоматов до процессингового центра
access-list NO_NAT_RT extended permit ip object-group NET_PLCARD object-group ATM_INTERNET
nat (rt) 0 access-list NO_NAT_RT, где rt - интерфейс Ростелекома.
Настройка маршрутизации до сети, выделенной для подключения банкоматов через Интернет
route outside 10.128+№.252.0 255.255.252.0 200.0.0.100, где 200.0.0.100 - шлюз провайдера, №- номер филиала.
Разрешения в списках доступа (access-list) на интерфейсах outside и rt, для прохождения продуктивного трафика банкоматов и трафика мониторинга между выделенной сетью для подключения банкоматов через Интернет и сетью процессингового центра.
Например для интерфейса outside:
Access-list ACL_OUTSIDE_IN extended permit ip object-group ATM_INTERNET object-group NET_PLCARD
Например для интерфейса rt:
Access-list ACL_RT_IN extended permit udp object-group NET_PLCARD object-group ATM_INTERNET range 161 162
access-group ACL_RT_IN in interface rt
б) Пример настройки Cisco ASA при подключении банкомата через Интернет с динамическим внешним IP.
Перед началом работы сохраните на tftp сервер текущую конфигурацию Cisco ASA.
crypto isakmp enable outside
crypto isakmp policy 10 // Если номер 10 для политики isakmp уже используется,
authentication pre-share // необходимо выбрать следующий свободный номер
encryption aes-256
hash sha
group 2
lifetime 86400
crypto ipsec transform-set ESP-AES-SHA esp-aes-256 esp-sha-hmac
crypto isakmp nat-traversal
same-security-traffic permit intra-interface
access-list crypto_acl_atm_1 extended permit ip 10.100.11.0 255.255.255.0 10.129.254.0 255.255.255.248
access-list crypto_acl_atm_1 extended permit ip 10.100.19.0 255.255.255.0 10.129.254.0 255.255.255.248
// вместо 10.129.254.0 255.255.255.248 указываем сетевой диапазон
// выделенный для подключения банкомата
tunnel-group DefaultL2LGroup ipsec-attributes
pre-shared-key // после pre-shared-key вводим первые 31 символа
// сгенерированные программой генерацией КК
crypto dynamic-map SECDYNMAP 1 match address crypto_acl_atm_1
crypto dynamic-map SECDYNMAP 1 set transform-set ESP-AES-SHA
crypto dynamic-map SECDYNMAP 1 set security-association lifetime seconds 3600
crypto map SECMAP 65535 ipsec-isakmp dynamic SECDYNMAP
crypto map SECMAP interface outside
Настройка трансляции адресов для прохождения трафика от банкоматов до процессингового центра
access-list NO_NAT_RT extended permit ip object-group NET_PLCARD object-group ATM_INTERNET
nat (rt) 0 access-list NO_NAT_RT, где rt - интерфейс Ростелекома.
Настройка маршрутизации до сети, выделенной для подключения банкоматов через Интернет
route outside 10.128+№.252.0 255.255.252.0 200.0.0.100, где 200.0.0.100 - шлюз провайдера, №- номер филиала.
Разрешения в списках доступа (access-list) на интерфейсах outside и rt, для прохождения продуктивного трафика банкоматов и трафика мониторинга между выделенной сетью для подключения банкоматов через Интернет и сетью процессингового центра.
Например для интерфейса outside:
Access-list ACL_OUTSIDE_IN extended permit ip object-group ATM_INTERNET object-group NET_PLCARD
Например для интерфейса rt:
Access-list ACL_RT_IN extended permit udp object-group NET_PLCARD object-group ATM_INTERNET range 161 162
access-group ACL_RT_IN in interface rt
3. Обновление банкоматов
На интерфейсы выделенных каналов связи и интернета, необходимо добавить следующие строчки
Список доступа, привязанный к интерфейсу Ростелекома
access-list ACL_RT_IN line 1 extended permit udp object-group SERVER_ATM_UPDATE object-group ATM_INTERNET eq 4104
access-list ACL_RT_IN line 2 extended permit tcp object-group SERVER_ATM_UPDATE object-group ATM_INTERNET eq 4728
access-list ACL_RT_IN line 3 extended permit tcp object-group SERVER_ATM_UPDATE object-group ATM_INTERNET eq 4105
Список доступа, привязанный к интерфейсу Интернета
access-list ACL_OUTSIDE_IN line 1 extended permit udp object-group SERVER_ATM_UPDATE object-group ATM_INTERNET eq 4104
access-list ACL_OUTSIDE_IN line 2 extended permit tcp object-group SERVER_ATM_UPDATE object-group ATM_INTERNET eq 4105
access-list ACL_OUTSIDE_IN line 3 extended permit tcp object-group SERVER_ATM_UPDATE object-group ATM_INTERNET eq 4728
access-list ACL_OUTSIDE_IN line 4 extended permit udp object-group ATM_INTERNET object-group SERVER_ATM_UPDATE eq 4104
access-list ACL_OUTSIDE_IN line 5 extended permit tcp object-group ATM_INTERNET object-group SERVER_ATM_UPDATE eq 4105
access-list ACL_OUTSIDE_IN line 6 extended permit tcp object-group ATM_INTERNET object-group SERVER_ATM_UPDATE eq 4728

Приложенные файлы

  • docx 6075383
    Размер файла: 2 MB Загрузок: 0

Добавить комментарий