SSL PROXY via IPSEC

Posted by pawel in IPS, SSL PROXY, VPN

Zdarza się, że poprzez tunel IPSEC przesyłamy cały ruch, łącznie z ruchem do Internetu. Jeżeli korzystamy z funkcjonalności SSL PROXY dobrze byłoby również filtrować ruch przychodzący z tunelu IPSEC do Internetu. SSL PROXY można używać tylko dla sieci wewnętrznych (protected) natomiast interfejs IPSEC jest traktowany standardowo jako interfejs zewnętrzny (unprotected).

Istnieje jednak opcja konfiguracji za pomocą której możemy zmienić ten stan (Traktuj interfejs IPSec jako wewnętrzny):

Skorzystanie z powyższej opcji determinuje jednak, że musimy samodzielnie określić reguły trasowania dla sieci zdalnych. Przykładowo jeżeli opis Fazy 2 dla połączenia mobilnego wygląda następująco:

To musimy dodać wpis routingu statycznego dla sieci virtual_ipsec_traffic, wskazując, że ruch do tej sieci powinien trafić na interfejs ipsec:

Po wykonaniu powyższych czynności możemy załączyć SSL PROXY na ruchu przychodzącym przez IPSEC VPN:

 

15 Kwi 2019


Najnowszy firmware SNS: 3.8.1 (Release Note)
Najnowszy firmware SNSv2: 2.13 (Release Note)