Первичная инициализация UserGate в Advanced

Развертывание дополнительных ВМ

1. Разверните тестовые ВМ ECS-A и ECS-B согласно Быстрому старту по созданию виртуальных машин ECS и с помощью данных ECS проверьте сетевую связность через NGFW.

2. При развертывании ECS настройте IP-адреса согласно целевой схеме.

   Первичную инициализацию UserGate рекомендуется выполнить, подключаясь к графическому интерфейсу UserGate локально через внутренний интерфейс. Это обеспечит защиту ВМ UserGate в процессе настройки.

3. Для реализации целевой схемы, разверните дополнительную ВМ ECS-X в сети VPC-X и в подсети subnet-vpc-x.

   Для первичной инициализации UserGate используется доступ к графическому интерфейсу UserGate, поэтому ВМ ECS-X нужно развернуть на базе ОС Windows или Linux с поддержкой GUI. После выполнения первичной инициализации и настройки безопасного доступа к интерфейсу управления UserGate через интернет ВМ ECS-X может быть удалена.

Настройка порта управления UserGate

1. Войдите в консоль управления Advanced:

   • через личный кабинет Cloud.ru;

   • как IAM-пользователь.

2. В списке сервисов выберите Elastic Cloud Server.

3. Для подключения к командной строке UserGate выберите ВМ ecs-UserGate и нажмите Remote Login.

4. Сконфигурируйте порт управления UserGate в соответствии с документацией вендора.

   Сопоставьте порт управления UserGate с сетевым интерфейсом платформы Advanced по MAC-адресу.

   В ОС UserGate сетевые интерфейсы port0, port1 и т.д. назначаются в соответствии с MAC-адресами сетевых адаптеров в порядке их возрастания.

   

5. Перейдите в сервис Elastic Cloud Server.

6. Выберите ВМ ECS-X и нажмите Remote Login.

7. Выполните подключение к web-консоли UserGate.

Настройка подключения UserGate к интернету на платформе Advanced

1. Войдите в консоль управления Advanced.

2. Перейдите в Network → Elastic IP.

3. Рядом с EIP, который планируется использовать для UserGate, нажмите Bind.

4. Выберите в списке доступных ECS ВМ ecs-UserGate.

5. В разделе NIC выберите внешний NIC UserGate с IP-адресом 10.255.10.10.

   Быстрый старт по использованию EIP.

Общесистемные настройки

1. Для статического шлюза:

   1. Интерфейс — порт c IP-адресом 10.255.10.10.

   2. Виртуальный маршрутизатор — оставьте по умолчанию.

   3. IP шлюз — 10.255.10.1.

2. Для сетевых зон Trusted и Untrusted выберите необходимые Разрешенные сервисы.

3. Для статической адресации на интерфейсах, для каждого сетевого порта port1 и port2:

   1. Откройте свойства интерфейса и укажите настройку зоны Trusted для внутреннего порта и Untrusted для внешнего порта.

   2. Выберите режим Статический.

4. Для службы DNS следуйте инструкции вендора.

5. Для маршрутов к удаленным VPC добавьте маршруты к подсети subnet-vpc-a:

   1. Тип — unicast.

   2. Адрес назначения — «10.1.0.0/24».

   3. Шлюз — «10.255.0.1».

6. Для маршрутов к удаленным VPC добавьте маршруты к подсети subnet-vpc-b:

   1. Тип — unicast.

   2. Адрес назначения — «10.2.0.0/24».

   3. Шлюз — «10.255.0.1».

7. Для службы NAT в SNAT IP (внешний адрес) введите «10.255.10.10».

8. Для правил межсетевого экрана разрешите прохождение трафика из зоны Trusted в Untrusted и между подсетями subnet-vpc-a и subnet-vpc-a в зоне Trusted.

Тестирование доступов

1. Подключитесь к ECS-A с помощью Remote Login.

2. Войдите в ОС и откройте окно терминала.

3. Выполните ping usergate.com и убедитесь в успешном прохождении команды.

4. Выполните ping 10.2.0.10 и убедитесь в успешном прохождении команды.

5. Подключитесь к ECS-B с помощью Remote Login.

6. Войдите в ОС и откройте окно терминала.

7. Выполните ping usergate.com и убедитесь в успешном прохождении команды.

8. Выполните ping 10.1.0.10 и убедитесь, что ping не прошел.

   Созданные настройки UserGate заблокировали доступ из VPC-B к VPC-A.

Установка лицензии