Настройка VPN для удаленного доступа в сеть

​VPN-подключение, с помощью которого пользователи могут получить защищенный доступ к сети компании через интернет, называется remote access VPN.

В этом типе подключения UserGate NGFW выступает в роли VPN-сервера, а устройства пользователей — в роли конечных устройств. В качестве клиентского ПО на устройствах пользователей может использоваться UserGate Client, также поддерживаются встроенные клиенты большинства известных операционных систем, таких как Windows, Linux, Mac OS X, iOS, Android.

Для организации защищенного подключения могут использоваться протоколы:

• L2TP/IPSec(IKEv1);

• IPSec(IKEv2);

• DTLS.

Для создания VPN-подключения необходимо произвести настройку соответствующих параметров на VPN-сервере, а затем настроить и подключить VPN-клиент на конечном устройстве.

Настройка VPN-сервера на UserGate NGFW

Для работы UserGate NGFW в качестве VPN-сервера в сценарии remote access VPN необходимо настроить:

• сетевые параметры;

• параметры аутентификации;

• правила подключения;

• правила аутентификации;

• политики VPN;

• доступ к сетевым ресурсам.

Настройка сетевых параметров

На узле UserGate NGFW необходимо выполнить ряд дополнительных настроек сетевых параметров:

• разрешить доступ к узлу для установления VPN-подключений;

• создать зону для контроля подключаемых конечных устройств;

• создать VPN-интерфейс для организации туннеля.

Предоставление доступа для VPN-подключений

Откройте доступ к сервисам VPN в свойствах зоны, из которой будут подключаться конечные устройства. Для этого в веб-консоли UserGate NGFW перейдите в раздел Настройки ➜ Сеть ➜ Зоны, затем в параметрах контроля доступа той зоны, из которой будут подключаться конечные устройства, разрешите сервисы VPN и Подключение конечных устройств. Обычно такой зоной является зона Untrusted. Подробнее о создании и настройках параметров зон — в разделе «Настройка зон».

Создание зоны для VPN-подключений

Создайте зону, с которой будут ассоциированы подключаемые по VPN конечные устройства. Эту зону в дальнейшем можно будет использовать в правилах политик безопасности.

В веб-консоли UserGate NGFW зоны создаются в разделе Настройки ➜ Сеть ➜ Зоны. Подробнее о создании и настройках зон — в разделе «Настройка зон».

Создание VPN-интерфейса

VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения конечных устройств. Такой тип интерфейса является кластерным — он будет автоматически создаваться на всех узлах UserGate NGFW, входящих в кластер конфигурации. Если настроен кластер отказоустойчивости, конечные устройства будут автоматически переключаться на резервный узел в случае обнаружения проблем с активным узлом без разрыва существующих VPN-соединений.

В веб-консоли UserGate NGFW VPN-интерфейс создается в разделе Настройки ➜ Сеть ➜ Интерфейсы. Для создания интерфейса нажмите Добавить и выберите Добавить VPN. Подробнее о создании VPN-интерфейса — в разделе «Настройка интерфейсов».

Настройка параметров аутентификации

Порядок аутентификации в сценарии remote access VPN описывается правилами аутентификации. Для настройки правил аутентификации необходимо предварительно создать ряд артефактов, которые будут применяться в правилах в зависимости от используемого метода аутентификации.

1. При создании защищенного соединения IPsec возможны следующие методы аутентификации узлов:

• Аутентификация посредством общего ключа (pre-shared key). Используется при выборе протокола IKEv1 для организации защищенного соединения cо встроенными VPN-клиентами операционных систем. Общий ключ задается в настройках правил подключения на VPN-сервере и в настройках VPN-клиента на конечном устройстве. Для успешного подключения ключ должен совпадать.

• Аутентификация посредством сертификатов, использующих инфраструктуру открытых ключей (PKI). Используется при выборе протокола IKEv2 для организации защищенного соединения. Необходимо заранее создать сертификаты VPN-сервера и конечных устройств и импортировать их в UserGate NGFW и на конечные устройства. Сертификаты корневых и промежуточных удостоверяющих центров, которые участвовали в выдаче сертификатов конечных устройств, используется на UserGate NGFW при создании профилей клиентских сертификатов. Профили клиентских сертификатов предназначены для получения имени пользователя из соответствующего атрибута в сертификате клиента, проверки иерархии доверия и подлинности сертификата по спискам отозванных сертификатов.

О примерах создания и использования сертификатов для IKEv2 VPN — в разделе «Приложение». О правилах импорта сертификатов в UserGate NGFW — в разделе «Управление сертификатами». О профилях клиентских сертификатов — в разделе «Профили клиентских сертификатов».

2. Для аутентификации пользователей VPN нужно создать соответствующий профиль аутентификации. Профили аутентификации создаются в разделе Настройки ➜ Пользователи и устройства ➜ Профили аутентификации. Допускается использовать тот же профиль, что используется для аутентификации пользователей с целью получения доступа к сети интернет. Следует учесть, что для аутентификации VPN нельзя использовать методы прозрачной аутентификации, такие как Kerberos, NTLM, SAML IDP. Подробнее о профилях аутентификации — в разделе «Профили аутентификации».

Для аутентификации пользователей VPN вы можете использовать метод многофакторной аутентификации. Значение второго фактора аутентификации может быть получено через одноразовые коды TOTP. VPN с TOTP работает для клиента UserGate Client с протоколом IKEv2 (код вводится в отдельном окне), для других клиентов — только с протоколом IKEv1 (код вводится в пароле через двоеточие: пароль_пользователя:totp_code).

Настройка правил подключения

Правила подключения описывают первый этап установления соединения. Этап начинается с инициации соединения со стороны VPN-клиента и заканчивается ответом VPN-сервера с предложением обмена ключами, либо разрывом соединения. Правила содержат проверки зоны источника, адреса инициатора, адреса назначения, типа протокола и определяют параметры фазы 1 установления защищенного соединения.

Для создания правила подключения в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN-сервер ➜ Правила подключения и нажмите Добавить.

2. Выберите протокол подключения (IKE или DTLS).

3. На вкладке Общие в свойствах выбранного протокола укажите:

• Для протокола IKE:

  • Укажите название и описание правила;

  • Выберите версию протокола IKE:

    • IKEv1PSK. Укажите режим работы IKEv1 (основной или агрессивный) и значение общего ключа (pre-shared key). Ключ должен совпадать на VPN-сервере и на VPN-клиенте;

    • IKEv2.

• Для протокола DTLS укажите название и описание правила.

4. На вкладке Источник укажите зоны и адреса, с которых разрешено принимать подключения к VPN:

• Укажите зону инициатора подключения;

• Укажите адрес инициатора подключения:

  • выберите или создайте список IP-адресов;

  • выберите или создайте список доменов;

  • выберите GeoIP.

5. На вкладке Назначение выберите или создайте список IP-адресов или доменных имен интерфейса, на который будут приходить запросы на VPN-подключения от конечных устройств. Интерфейс должен принадлежать зоне, указанной на этапе контроля доступа зоны.

6. На вкладке Фаза 1 укажите криптографические параметры фазы 1 согласования защищенного соединения:

• Укажите время жизни ключа. По истечении этого времени происходит повторная аутентификация и согласование настроек фазы 1.

• Укажите параметры работы механизма Dead Peer Detection (DPD) для проверки работоспособности канала и его своевременного отключения или переподключения при обрыве связи. DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Возможны три режима работы механизма:

  • Отключено — механизм отключен. DPD-запросы не отсылаются.

  • Всегда включено — DPD-запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если ответ пришел, работа механизма возвращается к изначальному интервалу отправки DPD-запросов. Если ответ не пришел, соединение завершается.

  • При отсутствии трафика — DPD-запросы не отсылаются, пока есть ESP-трафик через созданные SA. Если в течение двойного указанного интервала времени нет ни одного пакета, происходит отсылка DPD-запроса. При ответе новый DPD-запрос будет отправлен через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если нет ни одного ответа, соединение завершается.

• В разделе Безопасность выберите алгоритмы аутентификации и шифрования. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка переместите нужную пару алгоритмов вверх или вниз.

• Для протокола IKE выберите группы Диффи-Хеллмана, которые будут использоваться для обмена ключами.

О создании правил подключения с помощью команд интерфейса командной строки — в разделе «Настройка серверных правил».

Настройка правил аутентификации

Правила аутентификации описывают второй этап установления соединения. Этап начинается с ответа конечного устройства на предложение по обмену ключами и заканчивается после аутентификации конечного устройства. Правила содержат проверки типа аутентификации и определяются параметры фазы 2 установления защищенного соединения.

Для создания правила аутентификации в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN-сервер ➜ Правила аутентификации и нажмите Добавить.

2. Выберите сценарий Удаленный доступ и затем протокол установления защищенного соединения:

• IPsec/L2TP;

• IKEv2;

• DTLS.

3. На вкладке Общие в свойствах выбранного протокола укажите:

• Для протокола IPsec/L2TP:

  • Укажите название и описание правила;

  • Выберите созданный ранее профиль аутентификации;

  • Выберите одно или несколько созданных ранее правил подключения.

• Для протоколов IKEv2 и DTLS:

  • Укажите название и описание правила;

  • Укажите импортированный ранее сертификат сервера и созданный ранее профиль аутентификации;

  • Выберите режим аутентификации (AAA, PKI или любой):

    • Для аутентификации с помощью ключей (PKI) укажите профиль клиентских сертификатов.

    • В режиме аутентификации с помощью методов EAP, PEAP (AAA) VPN-клиент обменивается с VPN-сервером EAP-пакетами. VPN-сервер транслирует пакеты на внешний доменный RADIUS-сервер, который принимает решение об авторизации. После получения разрешения от RADIUS-сервера, VPN-сервер по полученному логину запрашивает у сервера домена информацию о пользователе, после чего принимает решение о подключении пользователя к VPN.

  • Выберите одно или несколько созданных ранее правил подключения.

4. На вкладке Фаза 2 укажите криптографические параметры фазы 2 согласования защищенного соединения:

• Укажите максимальный размер данных, шифруемых одним ключом.

• При необходимости включите параметр NAT keepalive. NAT keepalive применяется в сценариях, когда IPsec-трафик проходит через узел с NAT. Записи в таблице трансляций NAT активны в течение ограниченного времени. Если за этот промежуток времени не было трафика по VPN-туннелю, записи в таблице трансляций на узле с NAT будут удалены и трафик по VPN-туннелю в дальнейшем не сможет проходить. С помощью функции NAT keepalive VPN-сервер, находящийся за шлюзом NAT, периодически отправляет пакеты keepalive в сторону VPN-клиента для поддержания сессии NAT активной.

• Дополнительно для протоколов IKEv2 и IKEv1/L2TP:

  • Укажите время жизни ключа. По истечению этого времени узлы должны сменить ключ шифрования.

• Выберите алгоритмы аутентификации и шифрования. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка переместите нужную пару алгоритмов вверх или вниз.

О создании правил аутентификации с помощью команд интерфейса командной строки — в разделе «Настройка серверных правил».

Настройка политик VPN

Политики VPN описывают третий этап установления соединения. Этап начинается идентификацией клиента и завершается выделением сетевых параметров подключения: туннельного интерфейса, адресов в VPN-туннеле, маршрутов к сетевым ресурсам через туннель, адресов DNS-серверов.

Для создания политики VPN в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN-сервер ➜ Политики VPN и нажмите Добавить.

2. Выберите сценарий Удаленный доступ и затем тип VPN-клиента:

• Clients — для встроенных VPN-клиентов известных операционных систем;

• UserGate Client — для VPN-клиента UserGate Client.

3. На вкладке Общие в свойствах удаленного доступа:

• Укажите название и описание правила;

• Выберите одно или несколько созданных ранее правил аутентификации.

4. На вкладке Пользователи выберите локальную или доменную учетную запись или группу, которые будут использоваться для аутентификации пользователей.

5. На вкладке Подсети для VPN:

• Укажите VPN-интерфейс, который будет использоваться для подключения.

• Укажите диапазон IP-адресов, которые будут использованы для подключения. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу UserGate NGFW, используемому совместно с данной сетью. Не указывайте здесь адреса сети и широковещательный адрес.

• Укажите маску сети VPN.

• Укажите DNS-серверы, которые будут переданы VPN-клиенту, или поставьте флажок Использовать системные DNS, в этом случае клиенту будут назначены локальные DNS-серверы, которые использует UserGate NGFW.

6. Для встроенных VPN-клиентов операционных систем на вкладке Маршруты VPN укажите маршруты, передаваемые конечному устройству в виде бесклассовой адресации (CIDR) или заранее созданного списка IP-адресов.

7. Для UserGate Client укажите параметры настройки функции раздельного туннелирования (split tunneling). Подробнее — в разделе «Настройка раздельного туннелирования для UserGate Client».

О создании политик VPN с помощью команд интерфейса командной строки — в разделе «Настройка серверных правил».

Настройка доступа к ресурсам

Клиенты подключаются к VPN с использованием протокола Point-to-Point. Чтобы трафик мог ходить из созданной ранее зоны для VPN-подключений, создайте правило NAT из этой зоны во все необходимые зоны. Правило создается в разделе Настройки ➜ Политики сети ➜ NAT и маршрутизация. Подробнее о правилах NAT — в разделе «NAT и маршрутизация». Для примера в веб-консоли UserGate NGFW создано правило NAT from VPN for remote access to Trusted and Untrusted, разрешающее подмену IP-адресов из зоны VPN for remote access в зоны Trusted и Untrusted.

При необходимости предоставления доступа пользователям VPN в определенные сегменты сети в веб-консоли UserGate NGFW в разделе Настройки ➜ Политики сети ➜ Межсетевой экран создайте правило межсетевого экрана, разрешающее трафик из зоны для VPN-подключений в требуемые зоны. Подробнее о создании и настройке правил межсетевого экрана — в разделе «Межсетевой экран».

Для примера в веб-консоли UserGate NGFW создано правило межсетевого экрана VPN for remote access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for remote access в зоны Trusted и Untrusted. Правило отключено по умолчанию

Настройка параметров VPN-клиента

После настройки правил VPN-сервера необходимо настроить параметры подключения VPN-клиентов. В качестве клиентского ПО на устройствах пользователей может использоваться UserGate Client, также поддерживаются встроенные клиенты большинства известных операционных систем.

Настройка параметров VPN-клиента зависит от типа клиента и протокола установления VPN-подключения.

Настройка параметров VPN-подключения UserGate Client

О настройках VPN-подключений с помощью UserGate Client для Windows — в разделе «Установка VPN-соединения с помощью UserGate Client для Windows».

О настройках VPN-подключений с помощью UserGate Client для Linux — в разделе «Настройка VPN-соединения на устройстве пользователя с помощью UserGate Client для Linux».

О настройках VPN-подключений с помощью UserGate Client для macOS — в разделе «Настройка VPN-соединения на устройстве пользователя с помощью UserGate Client для macOS».

Настройка параметров VPN-подключения встроенных VPN-клиентов

О настройках VPN-подключений с помощью встроенных VPN-клиентов операционных систем — в разделе «VPN для удаленного доступа клиентов (remote access VPN)».