Настройка VPN для удаленного доступа в сеть

​VPN-подключение, с помощью которого пользователи могут получить защищенный доступ к сети компании через интернет, называется remote access VPN.

В этом типе подключения UserGate NGFW выступает в роли VPN-сервера, а устройства пользователей — в роли конечных устройств. В качестве клиентского ПО на устройствах пользователей может использоваться UserGate Client, также поддерживаются встроенные клиенты большинства известных операционных систем, таких как Windows, Linux, macOS, iOS, Android.

Для организации защищенного соединения могут использоваться протоколы:

• IPsec (IKEv2);

• DTLS — только при работе с UserGate Client;

• L2TP/IPsec (IKEv1) — только для работы со встроенными VPN-клиентами операционных систем.

Для создания VPN-подключения необходимо произвести настройку соответствующих параметров на VPN-сервере, а затем настроить и подключить VPN-клиент на конечном устройстве.

Настройка VPN-сервера на UserGate NGFW

Для работы UserGate NGFW в качестве VPN-сервера в сценарии remote access VPN необходимо настроить:

• сетевые параметры;

• параметры аутентификации;

• правила подключения;

• правила аутентификации;

• политики VPN;

• доступ к сетевым ресурсам.

Настройка сетевых параметров

На узле UserGate NGFW необходимо выполнить ряд дополнительных настроек сетевых параметров:

• разрешить доступ к узлу для установления VPN-соединения;

• создать зону для контроля подключаемых конечных устройств;

• создать VPN-интерфейс для организации туннеля.

Предоставление доступа для VPN-соединений

Откройте доступ к сервису VPN в свойствах зоны, из которой будут подключаться конечные устройства.

В параметрах зоны, из которой будут подключаться конечные устройства (например, Untrusted), активируйте доступ к сервису VPN. Для этого в веб-консоли UserGate NGFW перейдите в раздел Настройки ➜ Сеть ➜ Зоны, затем в параметрах контроля доступа зоны поставьте флажок для сервиса VPN. Подробнее о создании и настройках параметров зон — в разделе «Настройка зон».

Создание зоны для VPN-подключений

Создайте зону, которой будут принадлежать подключаемые по VPN конечные устройства. Эту зону в дальнейшем можно будет использовать в правилах политик безопасности.

В веб-консоли UserGate NGFW зоны создаются в разделе Настройки ➜ Сеть ➜ Зоны. Подробнее о создании и настройках зон — в разделе «Настройка зон».

Создание VPN-интерфейса

VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения конечных устройств. Такой тип интерфейса является кластерным — он будет автоматически создаваться на всех узлах UserGate NGFW, входящих в кластер конфигурации. Если настроен кластер отказоустойчивости, конечные устройства будут автоматически переключаться на резервный узел в случае обнаружения проблем с активным узлом.

В веб-консоли UserGate NGFW VPN-интерфейс создается в разделе Настройки ➜ Сеть ➜ Интерфейсы. Для создания интерфейса нажмите Добавить и выберите Добавить VPN. Подробнее о создании VPN-интерфейса — в разделе «Настройка интерфейсов».

Настройка параметров аутентификации

Порядок аутентификации в сценарии remote access VPN описывается правилами аутентификации.

Чтобы настроить правила аутентификации, сначала необходимо создать набор средств аутентификации (например, общие ключи, сертификаты или профили клиентских сертификатов), которые затем будут использоваться в правилах в зависимости от выбранного метода аутентификации.

При настройке защищенного IPsec-соединения могут понадобиться следующие средства аутентификации узлов:

• Общий ключ (pre-shared key, PSK). Применяется при использовании протокола IKEv1 для организации защищенного соединения со встроенными VPN-клиентами операционных систем. Общий ключ задается в параметрах правил подключения на VPN-сервере и в настройках VPN-клиента на устройстве пользователя. Для успешного установления соединения значения ключа на обеих сторонах должны совпадать.

• Сертификат. Используется при выборе протоколов IKEv2 или DTLS для организации защищенного соединения. В этом случае необходимо заранее создать сертификаты для VPN-сервера и конечных устройств, а затем импортировать их в UserGate NGFW и на конечные устройства. Подробнее о правилах импорта сертификатов в UserGate NGFW — в разделе «Управление сертификатами».

• Профили клиентских сертификатов. Позволяют идентифицировать конечное устройство по определенному атрибуту его сертификата, а также проверить цепочку доверия и подлинность сертификата с учетом списков отозванных сертификатов. При создании профиля используются сертификаты корневых и промежуточных удостоверяющих центров, участвовавших в выдаче сертификатов конечным устройствам. Подробнее о профилях клиентских сертификатов — в разделе «Профили клиентских сертификатов».

Для аутентификации VPN-пользователей необходимо создать соответствующий профиль аутентификации. Он настраивается в разделе Настройки ➜ Пользователи и устройства ➜ Профили аутентификации. Допускается использование того же профиля, который применяется для аутентификации пользователей при доступе в интернет. При этом следует учитывать, что для VPN-аутентификации не поддерживаются методы прозрачной аутентификации, такие как Kerberos, NTLM и SAML IDP. Подробнее о профилях аутентификации — в разделе «Профили аутентификации».

Для аутентификации пользователей VPN вы также можете использовать метод многофакторной аутентификации. Значение второго фактора аутентификации может быть получено через одноразовые коды TOTP. VPN с TOTP работает для клиента UserGate Client с протоколами IKEv2 или DTLS (код вводится в отдельном окне), для других клиентов — только с протоколом IKEv1 (код вводится в пароле через двоеточие: пароль_пользователя:totp_code).

Настройка правил подключения

Правила подключения описывают первый этап установления соединения. Он начинается с инициирования соединения VPN-клиентом и завершается ответом VPN-сервера — предложением выполнить обмен ключами либо отказом с разрывом соединения. В правилах задаются проверки зоны источника, адреса инициатора и назначения, типа протокола, а также определяются параметры первой фазы установления защищенного соединения.

Для создания правила подключения в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN-сервер ➜ Правила подключения и нажмите Добавить.

2. Выберите протокол подключения (IKE или DTLS).

3. На вкладке Общие в свойствах выбранного протокола укажите:

• Для протокола IKE:

  • Укажите название и описание правила;

  • Выберите версию протокола IKE:

    • IKEv1PSK. Укажите режим работы IKEv1 (основной или агрессивный) и значение общего ключа (pre-shared key). Ключ должен совпадать на VPN-сервере и на VPN-клиенте;

    • IKEv2.

• Для протокола DTLS укажите название и описание правила.

4. На вкладке Источник укажите зоны и адреса, с которых разрешено принимать подключения к VPN:

• Укажите зону инициатора подключения;

• Укажите адрес инициатора подключения:

  • выберите или создайте список IP-адресов;

  • выберите или создайте список доменов;

  • выберите GeoIP.

5. На вкладке Назначение выберите или создайте список IP-адресов или доменных имен интерфейса, на который будут приходить запросы на VPN-подключения от конечных устройств. Интерфейс должен принадлежать зоне, указанной на этапе контроля доступа зоны.

6. На вкладке Фаза 1 укажите криптографические параметры фазы 1 согласования защищенного соединения:

• Укажите время жизни ключа. По истечении этого времени происходит повторная аутентификация и согласование настроек фазы 1.

• Укажите параметры работы механизма Dead Peer Detection (DPD) для проверки работоспособности канала и его своевременного отключения или переподключения при обрыве связи. DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Возможны три режима работы механизма:

  • Отключено — механизм отключен. DPD-запросы не отсылаются.

  • Всегда включено — DPD-запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если ответ пришел, работа механизма возвращается к изначальному интервалу отправки DPD-запросов. Если ответ не пришел, соединение завершается.

  • При отсутствии трафика — DPD-запросы не отсылаются, пока есть ESP-трафик через созданные SA. Если в течение двойного указанного интервала времени нет ни одного пакета, происходит отсылка DPD-запроса. При ответе новый DPD-запрос будет отправлен через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если нет ни одного ответа, соединение завершается.

• В разделе Безопасность выберите алгоритмы аутентификации и шифрования. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка переместите нужную пару алгоритмов вверх или вниз.

• Для протокола IKE выберите группы Диффи-Хеллмана, которые будут использоваться для обмена ключами.

О создании правил подключения с помощью команд интерфейса командной строки — в разделе «Настройка серверных правил».

Настройка правил аутентификации

Правила аутентификации описывают второй этап установления соединения. Он начинается с ответа VPN-клиента на предложение обмена ключами и завершается после успешной аутентификации. В этих правилах задаются проверки типа аутентификации и определяются параметры второй фазы установления защищенного соединения.

Для создания правила аутентификации в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN-сервер ➜ Правила аутентификации и нажмите Добавить.

2. Выберите сценарий Удаленный доступ и затем протокол установления защищенного соединения:

• IPsec/L2TP;

• IKEv2;

• DTLS.

3. На вкладке Общие в свойствах выбранного протокола укажите:

• Для протокола IPsec/L2TP:

  • Укажите название и описание правила;

  • Выберите созданный ранее профиль аутентификации;

  • Выберите одно или несколько созданных ранее правил подключения.

• Для протоколов IKEv2 и DTLS:

  • Укажите название и описание правила;

  • Укажите импортированный ранее сертификат сервера и созданный ранее профиль аутентификации;

  • Выберите режим аутентификации (AAA, PKI или любой):

    • Для аутентификации с помощью ключей (PKI) укажите профиль клиентских сертификатов.

    • В режиме аутентификации с помощью методов EAP, PEAP (AAA) VPN-клиент обменивается с VPN-сервером EAP-пакетами. VPN-сервер транслирует пакеты на внешний доменный RADIUS-сервер, который принимает решение об авторизации. После получения разрешения от RADIUS-сервера, VPN-сервер по полученному логину запрашивает у сервера домена информацию о пользователе, после чего принимает решение о подключении пользователя к VPN.

  • Выберите одно или несколько созданных ранее правил подключения.

4. На вкладке Фаза 2 укажите криптографические параметры фазы 2 согласования защищенного соединения:

• Укажите максимальный размер данных, шифруемых одним ключом.

• При необходимости включите параметр NAT keepalive. NAT keepalive применяется в сценариях, когда IPsec-трафик проходит через узел с NAT. Записи в таблице трансляций NAT активны в течение ограниченного времени. Если за этот промежуток времени не было трафика по VPN-туннелю, записи в таблице трансляций на узле с NAT будут удалены и трафик по VPN-туннелю в дальнейшем не сможет проходить. С помощью функции NAT keepalive VPN-сервер, находящийся за шлюзом NAT, периодически отправляет пакеты keepalive в сторону VPN-клиента для поддержания сессии NAT активной.

• Дополнительно для протоколов IKEv2 и IKEv1/L2TP:

  • Укажите время жизни ключа. По истечению этого времени узлы должны сменить ключ шифрования.

• Выберите алгоритмы аутентификации и шифрования. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка переместите нужную пару алгоритмов вверх или вниз.

О создании правил аутентификации с помощью команд интерфейса командной строки — в разделе «Настройка серверных правил».

Настройка политик VPN

Политики VPN описывают третий этап установления соединения. Он начинается с идентификации VPN-клиента и завершается назначением сетевых параметров подключения: туннельного интерфейса, пула IP-адресов внутри VPN-туннеля, маршрутов к ресурсам через туннель и адресов DNS-серверов.

Для создания политики VPN в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN-сервер ➜ Политики VPN и нажмите Добавить.

2. Выберите сценарий Удаленный доступ и затем тип VPN-клиента:

• Clients — для встроенных VPN-клиентов известных операционных систем;

• UserGate Client — для VPN-клиента UserGate Client.

3. На вкладке Общие в свойствах удаленного доступа:

• Укажите название и описание правила;

• Выберите одно или несколько созданных ранее правил аутентификации.

4. На вкладке Пользователи выберите локальную или доменную учетную запись или группу, которые будут использоваться для аутентификации пользователей.

5. На вкладке Подсети для VPN:

• Укажите VPN-интерфейс, который будет использоваться для подключения.

• Укажите диапазон IP-адресов, которые будут использованы для подключения. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу UserGate NGFW, используемому совместно с данной сетью. Не указывайте здесь адреса сети и широковещательный адрес.

• Укажите маску сети VPN.

• Укажите DNS-серверы, которые будут переданы VPN-клиенту, или поставьте флажок Использовать системные DNS, в этом случае клиенту будут назначены локальные DNS-серверы, которые использует UserGate NGFW.

6. Для встроенных VPN-клиентов операционных систем на вкладке Маршруты VPN укажите маршруты, передаваемые конечному устройству в виде бесклассовой адресации (CIDR) или заранее созданного списка IP-адресов.

7. Для UserGate Client укажите параметры настройки функции раздельного туннелирования (split tunneling). Подробнее — в разделе «Настройка раздельного туннелирования для UserGate Client».

О создании политик VPN с помощью команд интерфейса командной строки — в разделе «Настройка серверных правил».

Настройка доступа к ресурсам

Клиенты подключаются к VPN с использованием протокола Point-to-Point. Чтобы трафик мог ходить из созданной ранее зоны для VPN-подключений, создайте правило NAT из этой зоны во все необходимые зоны. Правило создается в разделе Настройки ➜ Политики сети ➜ NAT и маршрутизация. Подробнее о правилах NAT — в разделе «NAT и маршрутизация». Для примера в веб-консоли UserGate NGFW создано правило NAT from VPN for remote access to Trusted and Untrusted, разрешающее подмену IP-адресов из зоны VPN for remote access в зоны Trusted и Untrusted.

При необходимости предоставления доступа пользователям VPN в определенные сегменты сети в веб-консоли UserGate NGFW в разделе Настройки ➜ Политики сети ➜ Межсетевой экран создайте правило межсетевого экрана, разрешающее трафик из зоны для VPN-подключений в требуемые зоны. Подробнее о создании и настройке правил межсетевого экрана — в разделе «Межсетевой экран».

Для примера в веб-консоли UserGate NGFW создано правило межсетевого экрана VPN for remote access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for remote access в зоны Trusted и Untrusted. Правило отключено по умолчанию

Настройка параметров VPN-клиента

После настройки правил VPN-сервера необходимо настроить параметры подключения VPN-клиентов. В качестве клиентского ПО на устройствах пользователей может использоваться UserGate Client, также поддерживаются встроенные клиенты большинства известных операционных систем.

Настройка параметров VPN-клиента зависит от типа клиента и протокола установления VPN-подключения.

Настройка параметров VPN-подключения UserGate Client

О настройках VPN-подключений с помощью UserGate Client для Windows — в разделе «Установка VPN-соединения с помощью UserGate Client для Windows».

О настройках VPN-подключений с помощью UserGate Client для Linux — в разделе «Настройка VPN-соединения на устройстве пользователя с помощью UserGate Client для Linux».

О настройках VPN-подключений с помощью UserGate Client для macOS — в разделе «Настройка VPN-соединения на устройстве пользователя с помощью UserGate Client для macOS».

Настройка параметров VPN-подключения встроенных VPN-клиентов

О настройках VPN-подключений с помощью встроенных VPN-клиентов операционных систем — в разделе «VPN для удаленного доступа клиентов (remote access VPN)».