Настройка VPN для защищенного соединения офисов

VPN-подключение, с помощью которого создается защищенное соединение локальных сетей удаленных офисов, называется site-to-site VPN.

При подключении один VPN-сервер выступает в роли инициатора соединения (initiator), а другой — в роли ответчика (responder). После успешного создания туннеля распределение ролей VPN-серверов не оказывает влияния на характеристики соединения — передача данных через туннель осуществляется двунаправленно и симметрично.

Вы можете создать VPN-подключение между двумя устройствами UserGate NGFW, либо между UserGate NGFW и VPN-шлюзом другого производителя. UserGate NGFW может выступать как в роли инициатора соединения, так и в роли ответчика.

При создании VPN-туннелей в сценарии site-to-site могут использоваться протоколы L2TP/IPsec(IKEv1), IPsec(IKEv1), IPsec(IKEv2).

Для создания VPN-подключения необходимо выполнить настройки соответствующих параметров на обоих граничных узлах защищенного соединения: узле-инициаторе и узле-ответчике.

Настройка UserGate NGFW в качестве узла-ответчика

Для работы UserGate NGFW в качестве VPN-сервера (ответчика) в сценарии site-to-site VPN необходимо настроить:

• сетевые параметры;

• параметры аутентификации;

• правила подключения;

• правила аутентификации;

• политики VPN;

• доступ к сетевым ресурсам.

Настройка сетевых параметров

На узле UserGate NGFW, исполняющем роль VPN-сервера (ответчика), необходимо выполнить ряд дополнительных настроек сетевых параметров:

• разрешить доступ к узлу для установления VPN-подключения;

• создать зону для контроля подключаемых узлов;

• создать VPN-интерфейс для организации туннеля.

Предоставление доступа для VPN-подключений

Откройте доступ к сервису VPN в свойствах зоны, из которой будут подключаться узлы-инициаторы. Для этого в веб-консоли UserGate NGFW перейдите в раздел Настройки ➜ Сеть ➜ Зоны, затем в параметрах контроля доступа для той зоны, из которой будут подключаться узлы-инициаторы, разрешите сервис VPN. Обычно такой зоной является зона Untrusted. Подробнее о создании и настройках параметров зон — в разделе «Настройка зон».

Создание зоны для VPN-подключений

Создайте зону, с которой будут ассоциированы подключаемые по VPN узлы. Эту зону в дальнейшем можно будет использовать в правилах политики безопасности.

В веб-консоли UserGate NGFW зоны создаются в разделе Настройки ➜ Сеть ➜ Зоны. Подробнее о создании и настройках зон — в разделе «Настройка зон».

Создание VPN-интерфейса

VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения узлов-инициаторов VPN-подключения. Такой тип интерфейса является кластерным — он будет автоматически создаваться на всех узлах UserGate NGFW, входящих в кластер конфигурации. Если настроен кластер отказоустойчивости, узлы-инициаторы будут автоматически переключаться на резервный узел VPN-сервера в случае обнаружения проблем с активным узлом без разрыва существующих VPN-соединений.

В веб-консоли UserGate NGFW VPN-интерфейс создается в разделе Настройки ➜ Сеть ➜ Интерфейсы. Для создания интерфейса нажмите Добавить и выберите Добавить VPN. Подробнее о создании VPN-интерфейса — в разделе «Настройка интерфейсов».

Настройка параметров аутентификации

Порядок взаимной аутентификации узлов, участвующих в организации site-to-site VPN, описывается правилами аутентификации. Для настройки правил аутентификации необходимо предварительно создать ряд артефактов, которые будут применяться в правилах в зависимости от используемого метода аутентификации.

При создании защищенного соединения IPsec возможны следующие методы аутентификация удаленного узла:

• Аутентификация посредством общего ключа (pre-shared key). Используется с протоколами IKEv1 и IKEv2. Общий ключ задается в настройках правил подключения (для IKEv1) или правил аутентификации (для IKEv2) на VPN-сервере (ответчике) и в настройках параметров подключения на узле-инициаторе. Для успешного подключения ключ должен совпадать в параметрах узла-инициатора и узла-ответчика.

• Аутентификация посредством сертификатов, использующих инфраструктуру открытых ключей (PKI). Используется с протоколом IKEv2. Необходимо заранее создать сертификаты для VPN-серверов и импортировать их в UserGate NGFW.

Сертификаты корневых и промежуточных удостоверяющих центров, которые участвовали в выдаче сертификатов клиентов используется при создании профиля клиентского сертификата. С помощью профиля клиентского сертификата происходит идентификации пользователя по значению соответствующего атрибута в сертификате, проверка иерархии доверия и подлинности сертификата по спискам отозванных сертификатов.

Для проверки VPN-сервером IP-адреса узла-инициатора сертификат узла-инициатора должен содержать значение IP-адреса, с которого придет запрос на подключение к VPN-серверу, в поле SAN (Subject Alternative Name). Если между узлом-источником и VPN-сервером используется NAT, в поле SAN должен быть указан IP-адрес инициатора соединения после подмены адресов на NAT-сервере. При настройке профиля клиентского сертификата в поле Получать имя пользователя из должно быть выбрано значение Subject altname IPv4 

О примерах создания и использования сертификатов для IKEv2 VPN — в разделе «Приложение». О правилах импорта сертификатов в UserGate NGFW — в разделе «Управление сертификатами». О профилях клиентских сертификатов — в разделе «Профили клиентских сертификатов».

Для организации VPN-туннеля с протоколом L2TP необходимо на стороне VPN-сервера (ответчика) создать учетную запись, которая будет использоваться для аутентификации узла, выполняющего роль инициатора соединения, и профиль аутентификации, который будет определять используемый метод аутентификации.

В веб-консоли UserGate NGFW профили аутентификации создаются в разделе Настройки ➜ Пользователи и устройства ➜ Профили аутентификации. Подробнее о профилях аутентификации — в разделе «Профили аутентификации».

Настройка правил подключения

Правила подключения описывают первый этап установления соединения. Этап начинается с инициации соединения со стороны VPN-клиента (узла-инициатора) и заканчивается ответом VPN-сервера (узла-ответчика) с предложением обмена ключами, либо разрывом соединения. Правила содержат проверки зоны источника, адреса инициатора, адреса назначения, типа протокола и определяют параметры фазы 1 установления защищенного соединения.

Для создания правила подключения в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN-сервер ➜ Правила подключения и нажмите Добавить.

2. Выберите протокол подключения IKE.

3. На вкладке Общие в свойствах протокола IKE:

• Укажите название и описание правила;

• Выберите версию протокола IKE:

  • IKEv1PSK. Для этого протокола выберите режим работы IKEv1 (основной или агрессивный) и укажите значение общего ключа (pre-shared key). Ключ должен совпадать на узле-инициаторе и на узле-ответчике.

  • IKEv2.

4. На вкладке Источник укажите зоны и адреса, с которых разрешено принимать подключения к VPN:

• Укажите зону инициатора подключения;

• Укажите адрес инициатора подключения:

  • выберите или создайте список IP-адресов;

  • выберите или создайте список доменов;

  • выберите GeoIP.

5. На вкладке Назначение выберите или создайте список IP-адресов или доменных имен интерфейса, на который будут приходить запросы на VPN-подключение. Интерфейс должен принадлежать зоне, указанной на этапе контроля доступа зоны.

6. На вкладке Фаза 1 укажите параметры настройки фазы 1 для установления защищенного канала IKE SA:

• Укажите время жизни ключа. По истечении этого времени происходит повторная аутентификация и согласование настроек фазы 1.

• Укажите параметры работы механизма Dead Peer Detection (DPD) для проверки работоспособности канала и его своевременного отключения или переподключения при обрыве связи. DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Возможны три режима работы механизма:

  • Отключено — механизм отключен. DPD-запросы не отсылаются.

  • Всегда включено — DPD-запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если ответ пришел, работа механизма возвращается к изначальному интервалу отправки DPD запросов. Если ответ не пришел, соединение завершается.

  • При отсутствии трафика — DPD-запросы не отсылаются, пока есть ESP-трафик через созданный канал. Если в течение двойного указанного интервала времени нет ни одного пакета, происходит отсылка DPD-запроса. При ответе новый DPD-запрос будет отправлен через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если нет ни одного ответа, соединение завершается.

• Выберите группы Диффи-Хеллмана, которые будут использоваться для обмена ключами.

• Выберите алгоритмы аутентификации и шифрования. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка переместите нужную пару алгоритмов вверх или вниз.

О создании правил подключения с помощью команд интерфейса командной строки — в разделе «Настройка серверных правил».

Настройка правил аутентификации

Правила аутентификации описывают второй этап установления соединения. Этап начинается с ответа узла-инициатора на предложение по обмену ключами и заканчивается после аутентификации инициатора. Правила содержат проверки типа аутентификации и определяют параметры фазы 2 установления защищенного соединения.

Для создания правила аутентификации в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN-сервер ➜ Правила аутентификации и нажмите Добавить.

2. Выберите сценарий site-to-site и затем протокол установления защищенного соединения:

• IPsec only/IKEv1;

• IKEv2;

• IPsec/L2TP.

3. На вкладке Общие в свойствах выбранного протокола:

• Для протокола IPsec only/IKEv1:

  • Укажите название и описание правила;

  • Выберите одно или несколько созданных ранее правил подключения.

• Для протокола IKEv2:

  • Укажите название и описание правила;

  • Выберите режим аутентификации (PKI или PSK):

    • Для аутентификации с помощью сертификатов (PKI) укажите созданные ранее сертификат сервера и профиль клиентского сертификата;

    • Для аутентификации с помощью общего ключа (PSK) укажите общий ключ и созданный ранее сертификат сервера.

  • Укажите параметры взаимной идентификации граничных узлов соединения: инициатора (initiator) и ответчика (responder). В качестве идентификатора можно указать IP-адрес узла или FQDN.

  • Выберите одно или несколько созданных ранее правил подключения.

• Для протокола IPsec/L2TP:

  • Укажите название и описание правила;

  • Выберите созданный ранее профиль аутентификации для пользователей VPN.

  • Укажите параметры взаимной идентификации граничных узлов соединения: инициатора (initiator) и ответчика (responder). В качестве идентификатора можно указать IP-адрес узла или FQDN.

  • Выберите одно или несколько созданных ранее правил подключения.

4. На вкладке Фаза 2 укажите параметры настройки фазы 2 для установления защищенного канала IPsec SA:

• Укажите время жизни ключа. По истечении этого времени узлы должны сменить ключ шифрования.

• Укажите максимальный размер данных, шифруемых одним ключом.

• При необходимости включите параметр NAT keepalive. NAT keepalive применяется в сценариях, когда IPsec-трафик проходит через узел с NAT. Записи в таблице трансляций NAT активны в течение ограниченного времени. Если за этот промежуток времени не было трафика по VPN-туннелю, записи в таблице трансляций на узле с NAT будут удалены и трафик по VPN-туннелю в дальнейшем не сможет проходить. С помощью функции NAT keepalive VPN-сервер, находящийся за шлюзом NAT, периодически отправляет пакеты keepalive в сторону противоположного узла соединения для поддержания сессии NAT активной.

• Выберите алгоритмы аутентификации и шифрования в блоке Безопасность. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка переместите нужную пару алгоритмов вверх или вниз.

• Для протоколов IPsec only/IKEv1 и IKEv2 в блоке Peer networks укажите адреса локальных и удаленных подсетей. Адреса подсетей используются для определения селекторов трафика при организации защищенного канала передачи данных IPsec. В ходе фазы 2 стороны туннеля обмениваются своими предложениями по селекторам трафика. Для успешного установления туннеля сети в селекторах трафика от обеих сторон соединения должны совпасть или пересечься. Если нет совпадения хотя бы по одной из сторон, фаза 2 завершится ошибкой соединения. Если поставить флажок Не проверять сети инициатора, VPN-сервер не будет проверять подсети инициатора соединения в селекторе трафика при организации защищенного канала передачи данных. Функция удобна для подключения множества клиентов (инициаторов) по одному правилу.

Для протокола IKEv2 можно разрешить работу протоколов динамической маршрутизации через туннель.

О создании правил аутентификации с помощью команд интерфейса командной строки — в разделе «Настройка серверных правил».

Настройка политик VPN

Политики VPN описывают третий этап установления соединения. Этап начинается идентификацией инициатора и завершается выделением сетевых параметров подключения: туннельного интерфейса, пула адресов в VPN-туннеле, маршрутов к сетевым ресурсам через туннель, адресов DNS-серверов.

Для создания политики VPN в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN-сервер ➜ Политики VPN и нажмите Добавить.

2. Выберите сценарий site-to-site и затем протокол установления VPN-туннеля:

• IPsec;

• IPsec/L2TP.

3. Для протокола IPsec:

• На вкладке Общие в свойствах протокола:

  • Укажите название и описание правила.

  • Выберите VPN-адаптер, который будет использоваться для установления подключения.

  • Выберите одно или несколько созданных ранее правил аутентификации.

4. Для протокола IPsec/L2TP:

• На вкладке Общие в свойствах протокола:

  • Укажите название и описание правила.

  • Выберите одно или несколько созданных ранее правил аутентификации.

• На вкладке Пользователи выберите учетные записи или группы, созданные для серверов, которым разрешено подключаться по VPN.

• На вкладке Подсети для VPN:

  • Укажите VPN-интерфейс, который будет использоваться для подключения.

  • Укажите диапазон IP-адресов, которые будут использованы узлами-инициаторами подключения. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу UserGate NGFW, используемому совместно с этой сетью. Не указывайте адреса сети и широковещательный адрес.

  • Укажите маску сети VPN.

  • Укажите DNS-серверы, которые будут переданы узлу-инициатору подключения, или поставьте флажок Использовать системные DNS, в этом случае узел-инициатор будет использовать системные DNS-серверы.

• На вкладке Маршруты VPN укажите маршруты, передаваемые узлу-инициатору в виде бесклассовой адресации (CIDR) или заранее созданный список IP-адресов.

О создании политик VPN с помощью команд интерфейса командной строки — в разделе «Настройка серверных правил».

Настройка доступа к ресурсам

При необходимости предоставления доступа пользователям VPN в определенные сегменты сети в веб-консоли UserGate NGFW в разделе Настройки ➜ Политики сети ➜ Межсетевой экран необходимо создать правило межсетевого экрана, разрешающее трафик из зоны для VPN-подключений в требуемые зоны. Подробнее о создании и настройке правил межсетевого экрана — в разделе «Межсетевой экран».

Для примера в веб-консоли создано правило межсетевого экрана VPN for site-to-site to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for site-to-site в зоны Trusted и Untrusted. Правило отключено по умолчанию

Чтобы трафик передавался обратно клиенту из разрешенных зон через VPN-туннель, необходимо создать разрешающее правило межсетевого экрана, указав нужную зону источника и зону назначения, например созданную ранее зону для VPN-подключений.

Настройка UserGate NGFW в качестве узла-инициатора подключения

Для работы UserGate NGFW в качестве инициатора VPN-соединения в сценарии site-to-site VPN необходимо настроить:

• сетевые параметры;

• параметры аутентификации;

• параметры подключения клиента;

• клиентские правила.

Настройка сетевых параметров

На узле UserGate NGFW, исполняющем роль инициатора VPN-соединения, необходимо выполнить ряд дополнительных настроек сетевых параметров:

• создать зону для контроля VPN-подключений;

• создать VPN-интерфейс для организации туннеля.

Создание зоны для VPN-подключений

Необходимо создать зону, с которой будут ассоциированы интерфейсы, используемые для подключения по VPN. В веб-консоли UserGate NGFW зоны создаются в разделе Настройки ➜ Сеть ➜ Зоны. Подробнее о создании и настройках зон — в статье «Настройка зон».

Создание VPN-интерфейса

VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения по VPN.

В веб-консоли UserGate NGFW VPN-интерфейс создается в разделе Настройки ➜ Сеть ➜ Интерфейсы. Для создания интерфейса нажмите Добавить и выберите Добавить VPN, далее в настройках VPN-адаптера задайте необходимые параметры. Подробнее о создании VPN-интерфейса — в разделе «Настройка интерфейсов».

Контроль доступа к сетевым ресурсам

Чтобы трафик передавался на VPN-сервер из нужной зоны узла-источника через VPN-туннель, создайте правило межсетевого экрана, разрешающее трафик между зоной для VPN-подключений и зонами назначения. Подробнее о создании и настройке правил межсетевого экрана — в разделе «Межсетевой экран».

Настройка параметров аутентификации

При создании защищенного соединения IPsec с протоколом IKEv2 может использоваться аутентификация посредством сертификатов (PKI). Создайте заранее сертификат и импортируйте его на узле, исполняющем роль VPN-клиента (источника соединения), в разделе веб-интерфейса Настройки ➜ Консоль администратора ➜ Сертификаты.

Для проверки VPN-сервером IP-адреса узла-инициатора сертификат узла-инициатора должен содержать значение IP-адреса, с которого придет запрос на подключение к VPN-серверу, в поле SAN (Subject Alternative Name). Если между узлом-источником и VPN-сервером используется NAT, в поле SAN должен быть указан IP-адрес инициатора соединения после подмены адресов на NAT-сервере.

О примерах создания и использования сертификатов для IKEv2 VPN — в разделе «Приложение».

Настройка параметров подключения

При настройке параметров VPN-подключений определяются поддерживаемые протоколы для установления соединений, методы аутентификации и параметры двух фаз установления защищенного соединения.

Для настройки параметров подключения узла-инициатора в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN site-to-site клиент ➜ Подключение клиента и нажмите Добавить.

2. Выберите протокол установления защищенного соединения:

• IPsec only/IKEv1;

• IKEv2;

• IPsec/L2TP.

3. На вкладке Общие в свойствах выбранного протокола:

• Для протокола IPsec only/IKEv1:

  • Укажите название и описание подключения;

  • Выберите режим работы IKE (основной или агрессивный);

  • Укажите общий ключ (pre-shared key). Ключ должен совпадать на узле-инициаторе и на узле-ответчике.

• Для протокола IKEv2:

  • Укажите название и описание подключения;

  • Флажок Проверять IP на VPN-сервере определяет, будет ли узел-инициатор соединения запрашивать проверку IP-адреса у VPN-сервера. VPN-сервер может принять предложенный IP-адрес или назначить другой. Если флажок поставлен, узел-инициатор соединения добавляет параметр Payload Configuration в сообщение IKE_AUTH и передает в поле INTERNAL_IP4_ADDRESS значение, зависящее от типа туннельного интерфейса:

    • Для туннельного интерфейса с динамическим назначением IP-адреса в поле INTERNAL_IP4_ADDRESS передается значение 0.0.0.0/0, что является запросом на динамическое выделение IP-адреса. VPN-сервер, получив значение 0.0.0.0/0, выделяет IP-адрес из собственного пула, заданного в параметрах соединения на сервере.

    • Для туннельного интерфейса со статическим IP-адресом в поле INTERNAL_IP4_ADDRESS передается его IP-адрес. VPN-сервер использует это значение для проверки соответствия политике подключения.

Если флажок не поставлен, механизм согласования сетевых параметров для проверки IP-адреса туннельного интерфейса на VPN-сервере не применяется. Значение IP-адреса определяется настройками туннельного интерфейса на узле-инициаторе.

• Выберите режим аутентификации (PKI или PSK):

  • Для аутентификации с помощью сертификатов (PKI) укажите сертификат узла-инициатора;

  • Для аутентификации с общим ключом (PSK) укажите общий ключ. Ключ должен совпадать на узле-инициаторе и на узле-ответчике.

• Укажите параметр идентификации узла-инициатора. В качестве идентификатора можно указать IP-адрес узла или FQDN.

• Для протокола IPsec/L2TP:

  • Укажите название и описание подключения;

  • Выберите режим работы IKE (основной или агрессивный);

  • Укажите общий ключ (pre-shared key). Ключ должен совпадать на узле-инициаторе и на узле-ответчике.

  • Укажите параметры взаимной идентификации граничных узлов соединения: инициатора (Initiator) и ответчика (Responder). В качестве идентификатора можно указать IP-адрес узла или FQDN.

  • Укажите параметры аутентификации (логин и пароль) узла-инициатора на узле-ответчике. Параметры аутентификации должны соответствовать параметрам учетной записи, созданной при настройке узла-ответчика.

4. На вкладке Фаза 1 укажите параметры настройки фазы 1 для установления защищенного канала IKE SA:

• Укажите время жизни ключа. По истечении этого времени происходит повторная аутентификация и согласование настроек фазы 1.

• Укажите параметры работы механизма Dead Peer Detection (DPD) для проверки работоспособности канала и его своевременного отключения или переподключения при обрыве связи. DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Возможны три режима работы механизма:

  • Отключено — механизм отключен. DPD-запросы не отсылаются.

  • Всегда включено — DPD-запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если ответ пришел, работа механизма возвращается к изначальному интервалу отправки DPD запросов, если нет ни одного ответа, соединение завершается.

  • При отсутствии трафика — DPD-запросы не отсылаются, пока есть ESP-трафик через созданные SA. Если в течение двойного указанного интервала времени нет ни одного пакета, происходит отсылка DPD-запроса. При ответе новый DPD-запрос будет отправлен через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если нет ни одного ответа, соединение завершается.

• Выберите группы Диффи-Хеллмана, которые будут использоваться для обмена ключами.

• Выберите алгоритмы аутентификации и шифрования в блоке Безопасность. Алгоритмы, используются в порядке, в котором они отображены. Для изменения порядка переместите нужную пару алгоритмов вверх или вниз.

5. На вкладке Фаза 2 укажите параметры настройки фазы 2 для установления защищенного канала IPsec SA:

• Укажите время жизни ключа. По истечении этого времени узлы должны сменить ключ шифрования.

• Укажите максимальный размер данных, шифруемых одним ключом.

• Выберите алгоритмы аутентификации и шифрования в блоке Безопасность. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка переместите нужную пару алгоритмов вверх или вниз.

• Для протоколов IPsec only/IKEv1 и IKEv2 в блоке Peer networks укажите адреса локальных и удаленных подсетей. Адреса подсетей используются для определения селекторов трафика при организации защищенного канала передачи данных IPsec. В ходе фазы 2 стороны туннеля обмениваются своими предложениями по селекторам трафика. Для успешного установления туннеля сети в селекторах трафика от обеих сторон соединения должны совпасть или пересечься. Если нет совпадения хотя бы по одной из сторон, фаза 2 завершится ошибкой соединения.

Для протокола IKEv2 можно разрешить работу протоколов динамической маршрутизации через туннель.

О настройках параметров подключения узла-инициатора с помощью команд интерфейса командной строки — в разделе «Настройка клиентских правил».

Настройка клиентских правил

Клиентское правило в сценарии site-to-site VPN будет инициировать подключение к VPN-серверу (узлу-ответчику).

Для настройки клиентского правила в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN site-to-site клиент ➜ Клиентские правила и нажмите Добавить.

2. Укажите название и описание клиентского правила.

3. Выберите одно из созданных ранее подключений клиента.

4. Выберите ранее созданный VPN-интерфейс.

5. Укажите адрес VPN-сервера (ответчика) в формате IP-адреса или FQDN.

О настройках клиентских правил с помощью команд интерфейса командной строки — в разделе «Настройка клиентских правил».

После завершения настройки параметров VPN-сервиса инициатор может установить соединение с VPN-сервером (ответчиком). Если параметры соединения были настроены корректно, будет создан VPN-туннель. Для разрыва соединения отключите клиентское VPN-правило.

Если VPN-соединение не установилось, в разделе клиентского правила в поле Последняя ошибка отобразится описание ошибки установления соединения.

События работы VPN-сервера (изменения параметров правил, установление соединений, ошибки установления соединений) записываются в системном журнале событий (Event log). Подробнее — в разделе «Журналирование событий VPN-сервера».