Приложение UserGate Client for Linux является компонентом экосистемы UserGate SUMMA. Приложение устанавливается на компьютеры пользователей и обеспечивает безопасный доступ в корпоративную сеть, защищенную системами безопасности UserGate.

UserGate Client for Linux поддерживает следующие функции:

• Установление защищенного соединения с VPN-сервером UserGate NGFW.

• Аутентификация пользователей посредством сертификата или логина с паролем.

• Поддержка функции раздельного туннелирования (split tunneling). Функция позволяет модифицировать таблицу маршрутизации компьютера пользователя при установлении VPN-соединения в соответствии с параметрами, заданными администратором на VPN-сервере.

Основными компонентами UserGate Client являются:

• usergate-client-agent — системная служба приложения. Обеспечивает:

  • поддержку VPN-протоколов;

  • реализацию методов аутентификации;

  • управление VPN-соединениями;

  • настройку виртуальных сетевых интерфейсов, маршрутизации, раздельного туннелирования, DNS.

• usergate-client-gui — модуль, отвечающий за взаимодействие с пользователем через графический интерфейс. Выполняет:

  • отображение состояния VPN-соединения;

  • управление профилями;

  • взаимодействие с системным хранилищем секретов;

  • управление журналированием;

  • отображение событий, связанных с подключением.

UserGate Client for Linux поставляется в виде DEB- или RPM-пакета. Скачать последнюю версию приложения можно с официального сайта UserGate.

Минимальные системные требования

Минимальные системные требования для установки приложения:

• Операционная система:

  • Astra Linux версий 1.7 или 1.8;

  • Ubuntu версий 22.04 или 24.04;

  • РЕД ОС версий 7.3 или 8.0.

• Оперативная память (RAM): не менее 4 ГБ.

• Свободное дисковое пространство: минимум 500 МБ.

Порядок установки приложения

Для установки клиента с помощью DEB-пакета в операционных системах Astra Linux или Ubuntu:

1. Скачайте пакет usergate-client-*.deb из личного кабинета.

2. Выполните команду sudo dpkg -i usergate-client-*.deb.

Если появится сообщение об отсутствии в системе необходимых для работы приложения программных пакетов, выполните команду: sudo apt install -f .

Пакетный менеджер загрузит необходимые пакеты и установит клиент.

Компоненты UserGate Client устанавливаются в каталог /opt/usergate-client/bin.

Для проверки статуса установленного клиента используйте команду sudo service usergate-client-agent status.

Все данные между компонентами клиента шифруются с применением протокола TLS, что исключает возможность перехвата и модификации трафика. Ключи генерируются при старте сервиса.

Чувствительные данные пользователя хранятся в системном хранилище секретов. Каждому пользователю доступны только свои профили подключений.

Журналы приложения создаются для каждого пользователя отдельно в домашнем каталоге /home/<username>/.usergate-client.

Для удаления клиента используйте команду sudo dpkg -r usergate-client.

Для удаления клиента вместе с журналами используйте команду sudo dpkg --purge usergate-client.

Для установки клиента с помощью RPM-пакета в операционной системе РЕД ОС:

1. Скачайте пакет usergate-client-*.rpm из личного кабинета.

2. Выполните команду dnf install <имя_пакета>.

Для удаления клиента используйте команду dnf remove <имя_пакета>.

Загрузка корневого сертификата удостоверяющего центра

Для того чтобы UserGate Client при подключении мог проверять сертификат VPN-сервера, необходимо загрузить в систему корневой сертификат удостоверяющего центра.

Для загрузки корневого сертификата в систему на Ubuntu или Astra Linux:

1. Сохраните файл сертификата *.crt в директории /usr/local/share/ca-certificates/.

2. Выполните команду: sudo update-ca-certificates.

Для загрузки корневого сертификата в систему на РЕД ОС:

1. Сохраните файл сертификата *.crt в директории /etc/pki/ca-trust/source/anchors/.

2. Выполните команду: sudo update-ca-trust.

Интерфейс приложения

После установки клиента в списке приложений пользователя появится приложение UserGate Client.

На вкладке VPN-соединения вы можете:

• создавать профили VPN-соединений;

• управлять VPN-соединением;

• просматривать в онлайн-режиме информацию о параметрах текущего соединения и его статусе.

На вкладке Журналы вы можете управлять журналированием работы приложения:

• устанавливать уровень детализации событий в журналах;

• экспортировать журналы в формате ZIP-архива;

• очищать журналы приложения;

• открывать папку с журналами приложения.

На вкладке Статус соединения вы можете просматривать и копировать в буфер обмена историю последнего VPN-соединения, инициированного этим клиентом.

Когда приложение UserGate Client запущено на компьютере пользователя, в строке состояния графического интерфейса операционной системы появляется значок приложения.

Нажав на значок приложения, вы можете:

• инициировать установку VPN-соединения, выбрав настроенный профиль;

• разорвать установленное VPN-соединение;

• перейти к настройке приложения;

• завершить работу приложения.

Подробнее о настройке VPN-соединений в приложении UserGate Client — в разделе «Настройка VPN-соединения на устройстве пользователя».

Установление VPN-соединения с помощью UserGate Client возможно только с серверами, настроенными на UserGate NGFW.

Встроенный в ПО VPN-клиент использует следующие параметры для установления VPN-соединения:

• Протокол IPsec (IKEv2):

  • Аутентификация по сертификатам X.509 или логину с паролем (EAP MSCHAPv2). Поддерживается режим многофакторной аутентификации (TOTP).

  • Группы Диффи — Хеллмана: группа 2 Prime 1024, группа 14 Prime 2048, группа 16 Prime 4096.

  • Алгоритмы аутентификации и шифрования:

    • SHA1/AES128;

    • SHA256/AES128;

    • SHA384/AES128;

    • SHA1/AES256;

    • SHA256/AES256;

    • SHA384/AES256;

    • SHA1/3DES;

    • SHA256/3DES;

    • SHA384/3DES.

  • Срок действия ключей первой фазы составляет 2 часа, второй фазы — 1 час. За 30 секунд до окончания срока действия инициируется запрос на их обновление. Если ответ получен, считается, что фаза успешно обновлена. В случае отсутствия ответа повторные запросы отправляются каждые 5 секунд на протяжении 30 секунд. Если ни один из запросов не получает ответа, обновление ключей признается неуспешным, и соединение завершается с ошибкой Rekeying failed.

  • Функция DPD (Dead Peer Detection) работает в режиме On idle (при отсутствии трафика) с базовым интервалом 15 секунд и допускает до 6 неудачных попыток. Проверка доступности удаленного узла запускается, если в туннеле отсутствует трафик в течение двойного интервала — 30 секунд. При отсутствии ответа от сервера на проверочный запрос пакеты продолжают отправляться с интервалом 5 секунд до достижения максимально допустимого числа попыток. Если ответ получен, система возвращается к стандартному интервалу опроса. Если же ни на один из отправленных пакетов ответ не поступает, соединение разрывается.

• Протокол DTLS (при работе с UserGate NGFW версии 7.5.0 и выше):

  • Аутентификация по сертификатам X.509 или логину с паролем (EAP MSCHAPv2). Поддерживается режим многофакторной аутентификации (TOTP).

  • Алгоритмы аутентификации и шифрования:

    • DTLS_ECDHE_RSA_WITH_AES_128_CBC_SHA;

    • DTLS_ECDHE_RSA_WITH_AES_256_CBC_SHA;

    • DTLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256;

    • DTLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384.

  • Срок действия ключа составляет 2 часа. За 30 секунд до окончания срока действия инициируется запрос на его обновление. Если ответ получен, считается, что ключ обновлен. В случае отсутствия ответа повторные запросы отправляются каждые 5 секунд на протяжении 30 секунд. Если ни один из запросов не получает ответа, обновление ключа признается неуспешным, и соединение завершается с ошибкой Rekeying failed.

  • Функция DPD работает в режиме On idle (при отсутствии трафика) с базовым интервалом 15 секунд и допускает до 5 неудачных попыток. Проверка доступности удаленного узла запускается, если в туннеле отсутствует трафик в течение двойного интервала — 30 секунд. При отсутствии ответа от сервера на проверочный запрос пакеты продолжают отправляться с интервалом 5 секунд до достижения максимально допустимого числа попыток. Если ответ получен, система возвращается к стандартному интервалу опроса. Если же ни на один из отправленных пакетов ответ не поступает, соединение разрывается.

Для организации защищенного VPN-соединения с UserGate NGFW необходимо:

1. Настроить VPN-сервер на UserGate NGFW. Подробнее о настройке VPN-сервера — в разделе «VPN для удаленного доступа клиентов».

2. Установить приложение UserGate Client на компьютере пользователя. Подробнее об установке приложения UserGate Client — в разделе «Установка UserGate Client».

3. Настроить VPN-клиент на компьютере пользователя. Подробнее о настройке VPN-клиента — в разделе «Настройка VPN-соединения на устройстве пользователя ».

UserGate Client for Linux поддерживает установление защищенного соединения по протоколам IPsec (IKEv2) и DTLS (при работе с UserGate NGFW версии 7.5.0 и выше) с аутентификацией по сертификатам X.509 или логину с паролем с помощью метода EAP. Поддерживается режим многофакторной аутентификации с получением временных одноразовых паролей (TOTP).

Параметры подключения настраиваются в профиле VPN-соединения. В приложении можно создать несколько профилей с различными параметрами соединения для подключения к разным VPN-серверам.

Для создания профиля VPN-соединения откройте приложение UserGate Client, перейдите на вкладку VPN-соединения и нажмите Добавить.

Настройте параметры профиля соединения:

1. Укажите название соединения.

2. Укажите IP-адрес VPN-сервера или его доменное имя.

3. Выберите протокол для установления VPN-соединения.

4. Выберите один из способов аутентификации:

• Логин и пароль. Введите логин пользователя и его пароль.

• Сертификат. Выберите заранее созданные файл сертификата в форматах DER, PEM или PKCS12, закрытый ключ и введите пароль закрытого ключа.

5. Сохраните параметры профиля, нажав Сохранить.

Инициировать установку VPN-соединения можно в окне приложения UserGate Client или через значок приложения в строке состояния:

• Для установления VPN-соединения в окне приложения включите соответствующий профиль приложения.

Статус соединения будет указан рядом с активным переключателем.

• Для установления VPN-соединения: в строке состояния нажмите на значок UserGate Client и в появившемся меню выберите соответствующий профиль в списке.

В случае успешного подключения на значке UserGate Client появится символ установленного соединения.

Статистику установленного соединения и параметры подключения можно посмотреть в свойствах активного профиля в окне приложения.

Маршруты, полученные от VPN-сервера, также можно посмотреть в терминале устройства пользователя с помощью команды: ip r show table 777.

Чтобы завершить VPN-соединение, отключите активный профиль в окне приложения или нажмите Отключиться в меню приложения в строке состояния.

Историю последнего подключения можно посмотреть в окне приложения на вкладке Статус соединения.

Если установить VPN-соединение не удалось, будет отображено окно с кратким описанием ошибки.

Нажав Подробнее, вы перейдете в раздел Статус соединения, где можно увидеть, на каком этапе установления соединения произошла ошибка.

Подробнее об ошибках соединения и возможных причинах их возникновения — в разделе «Ошибки VPN-подключений».

Ошибки, связанные с неудачными попытками подключения к VPN-серверу или с разрывом существующих VPN-соединений, записываются в журнал клиента и отображаются в разделе Статус соединения в окне приложения.

В таблице приведены варианты сообщений об ошибках и возможные причины их возникновения.