Лучшие практики для подключения IPsec

Одной из наиболее распространённых проблем при настройке соединения IPsec является неправильная конфигурация настроек IPsec. Ключевым элементом при настройке туннеля IPsec является обеспечение 100% совпадения настроек для обоих узлов соединения. Если настройки конфигурации не совпадут для обеих сторон соединения, могут возникнуть проблемы с подключением и маршрутизацией. В некоторых случаях туннель может установить соединение, но если маршрутизация не настроена должным образом, трафик не может быть отправлен через туннель.

Поэтому настоятельно рекомендуем вам проверить настройки IPsec на вашем пограничном устройстве (маршрутизатор, файервол, VM и т. д.) перед тем, как настраивать параметры соединения IPsec Cato. Затем используйте точно такие же настройки для конфигурации узла IPsec.

Одной из наиболее распространённых ошибок конфигурации является использование несовместимой группы Diffie-Helman (DH). Группа DH определяет уровень прочности ключей, используемых для сообщений Auth и Init между узлами соединения. Если группы DH не совпадают с обеих сторон, туннель не удается подключить. Поэтому вы должны выбрать группу DH, которая совпадает с обоих сторон соединения IPsec. Настройте параметр группы DH в Приложении Управления Cato, который соответствует конфигурации вашего пограничного устройства.

Другая важная рекомендация — для конфигураций, которые используют идеальную прямую секретность (PFS) для обновления ключа. Когда параметр группы DH установлен на Нет, PFS отключен. Поэтому, если вы включаете PFS, проверьте, чтобы группа DH была настроена в разделе Параметры сообщения аутентификации.

На следующем скриншоте показан пример параметров сообщения аутентификации и опций группы DH:

Мы рекомендуем избегать использования слабых настроек шифрования, если это возможно, и использовать более высокую группу DH для обеспечения более высокого уровня безопасности.

Когда вы настраиваете сайт в Приложении Управления Cato, если для IKEv2 в Параметры сообщения аутентификации не настроена группа DH, она все равно может появиться в Параметры сообщения инициализации для ассоциации защиты для дочерних элементов (SA). Это связано с тем, что первый SA всегда создается в начальном обмене IKE_AUTH и использует тот же самый ключевой материал, что и IKE SA. IKE SA использует группу DH, которая настроена в разделе Параметры сообщения инициализации. В IKE_AUTH нет обмена группой DH.

Если группа DH настроена в разделе Параметры сообщения аутентификации, она используется только во время обменов CREATE_CHILD_SA, которые либо создают дополнительные дочерние SA, либо обновляют существующие.

Стоит обратить внимание на несовпадение групп DH, настроенных в Приложении Управления Cato и в узле IKEv2. В этой ситуации туннель первоначально устанавливается после обмена IKE_AUTH, но не удается обновить ключ с использованием обмена CREATE_CHILD_SA. Может произойти кратковременное прерывание, пока обмены IKE_SA_INIT и IKE_AUTH не восстановят туннель.

Очень важно использовать один и тот же алгоритм шифрования для обоих соединительных узлов. Иногда пользователи включают несколько алгоритмов шифрования на своих конечных устройствах вместо выбора одного алгоритма. Включение слишком большого количества алгоритмов приводит к тому, что устройству требуется больше времени для установления соединения. Поэтому мы рекомендуем включать только тот алгоритм, который вы используете с обеих сторон туннеля – меньше значит лучше.

Для площадок IPsec с пропускной способностью больше чем 100Mbps используйте только алгоритмы AES 128 GCM-16 или AES 256 GCM-16. Алгоритмы AES CBC используются только на площадках с пропускной способностью меньше чем 100Mbps.

Мы рекомендуем настроить как основные, так и вторичные соединения IPsec для избыточности. Кроме того, вам следует использовать разные IP-адреса источника и разные конечные PoP для соединений. В случае, если один источник или пункт назначения не может подключиться и туннель прерывается, второй туннель передает трафик в другой PoP. Если вы настраиваете один и тот же IP-адрес источника как в основных, так и в дополнительных соединениях, и этот IP-адрес источника выходит из строя, других соединений для передачи трафика не остается.

Cato поддерживает как IKEv1, так и IKEv2 для переговоров между двумя равноправными соединениями. Когда вы создаете сайт IPsec в Приложении Управления Cato, выберите поддерживаемую версию Internet Key Exchange (IKEv1 или IKEv2), которая соответствует вашему конечному устройству. Если поддерживается IKEv2, то обычно мы рекомендуем использовать его. Однако некоторые устройства не поддерживают те же параметры IKEv2, которые доступны в Приложении Управления Cato. В этом случае используйте IKEv1. Например, если ваш файервол не поддерживает шифрование AES CBC 256, не используйте его в вашей конфигурации IPsec. Для получения дополнительной информации о IKEv1 и IKEv2 см. Cato IPsec Руководство: IKEv1 vs IKEv2

Если у вас включен сайт IKEv2, мы настоятельно рекомендуем выбрать опцию Инициации соединения Cato. В большинстве случаев устройства на границе настраиваются с большим интервалом между попытками переподключения. Когда эти устройства инициируют соединение, процесс переговоров VPN занимает много времени. В отличие от этого, когда Cato инициирует соединение, процесс переговоров проходит значительно быстрее.

Следующий скриншот показывает опцию инициатора IKEv2:

Конфигурации IPsec для различных VPN облачных провайдеров могут быть несовместимы. Каждый облачный провайдер (например: Amazon AWS, Microsoft Azure или GCP) использует разные настройки конфигурации по умолчанию для туннелей IPsec. Проверьте конфигурацию IPsec вашего облачного провайдера и используйте конфигурацию, которая соответствует сайту IPsec Cato.

Примечание: Если вы изменяете настройки облачного IPsec по умолчанию, не забудьте использовать те же настройки в настройках сайта IPsec Приложения Управления Cato.

Например, Azure обрабатывает PFS по-разному в зависимости от того, является ли он инициатором или ответчиком для младшей SA (ESP SA). Когда это инициатор, Azure по умолчанию не отправляет группу DH. Когда это ответчик, Azure принимает группу DH от пира. Это означает, что если группа DH настроена в разделе Параметры сообщения аутентификации в Приложении Управления Cato и Azure пытается создать ESP SA использованием обмена CREATE_CHILD_SA, Cato отвечает "No proposal chosen" и SA не удается установить. Однако, если Cato инициирует обмен CREATE_CHILD_SA, ESP SA устанавливается, если настроенная группа DH – это одна из тех, которые Azure принимает как ответчик. Таким образом, для обеспечения максимальной совместимости с Azure установите группу DH на Нет в разделе Параметры сообщения аутентификации конфигурации сайта IKEv2, или настройте индивидуальную политику в Azure, которая указывает ту же группу PFS, что и группа DH, настроенная в Приложении Управления Cato.

Следующий скриншот показывает пример индивидуальной конфигурации Azure:

Для получения дополнительных сведений о параметрах VPN Azure см. О устройствах VPN и параметрах IPsec.

Cato Networks позволяет выбрать Автоматические параметры для IKEv2 Init и Параметров сообщения аутентификации, таких как алгоритмы шифрования, RPF и алгоритмы целостности. Если вы столкнулись с проблемами соединения или маршрутизации при использовании автоматической настройки, мы рекомендуем выбрать точную конфигурацию, соответствующую настройкам вашего крайнего устройства, и избегать использования Автоматический.

Однако для сайтов, настроенных с GCM для Алгоритма шифрования (AES GCM 128 или AES GCM 256), Алгоритм целостности не имеет значения, поскольку GCM также обеспечивает целостность. Когда вы выбираете алгоритм шифрования AES GCM, алгоритм целостности устанавливается на Автоматически.