Настройка VPN для защищенного соединения офисов

VPN-подключение, с помощью которого создается защищенное соединение локальных сетей удаленных офисов, называется site-to-site VPN.

При подключении один VPN-сервер выступает в роли инициатора соединения (initiator), а другой — в роли ответчика (responder). После успешного создания туннеля распределение ролей VPN-серверов не оказывает влияния на характеристики соединения — передача данных через туннель осуществляется двунаправленно и симметрично.

Вы можете создать VPN-подключение между устройствами UserGate NGFW, либо между UserGate NGFW и VPN-шлюзами сторонних производителей. UserGate NGFW может выступать как в роли инициатора соединения, так и в роли ответчика.

При создании VPN-туннелей в сценарии site-to-site могут использоваться протоколы:

• L2TP/IPsec (IKEv1) — только между устройствами UserGate;

• IPsec (IKEv1);

• IPsec (IKEv2).

Для создания VPN-подключения необходимо выполнить настройки соответствующих параметров на обоих граничных узлах защищенного соединения: узле-инициаторе и узле-ответчике.

Настройка UserGate NGFW в качестве узла-ответчика

Для работы UserGate NGFW в качестве VPN-сервера (ответчика) в сценарии site-to-site VPN необходимо настроить:

• сетевые параметры;

• параметры аутентификации;

• правила подключения;

• правила аутентификации;

• политики VPN;

• доступ к сетевым ресурсам.

Настройка сетевых параметров

На узле UserGate NGFW, исполняющем роль VPN-сервера (ответчика), необходимо выполнить ряд дополнительных настроек сетевых параметров:

• разрешить доступ к узлу для установления VPN-соединения;

• создать зону для контроля подключаемых узлов;

• создать VPN-интерфейс для организации туннеля.

Предоставление доступа для VPN-соединений

В настройках зоны, из которой будут подключаться узлы-инициаторы (например, Untrusted), активируйте доступ к сервису VPN. Для этого в веб-консоли UserGate NGFW перейдите в раздел Настройки ➜ Сеть ➜ Зоны, затем в параметрах контроля доступа зоны поставьте флажок для сервиса VPN. Подробнее о создании и настройках параметров зон — в разделе «Настройка зон».

Создание зоны для VPN-подключений

Создайте зону, к которой будут принадлежать подключаемые по VPN узлы. Эту зону в дальнейшем можно будет использовать в правилах политик безопасности.

В веб-консоли UserGate NGFW зоны создаются в разделе Настройки ➜ Сеть ➜ Зоны. Подробнее о создании и настройках зон — в разделе «Настройка зон».

Создание VPN-интерфейса

VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения узлов-инициаторов VPN-подключения. Такой тип интерфейса является кластерным — он будет автоматически создаваться на всех узлах UserGate NGFW, входящих в кластер конфигурации. Если настроен кластер отказоустойчивости, узлы-инициаторы будут автоматически переключаться на резервный узел VPN-сервера в случае обнаружения проблем с активным узлом.

В веб-консоли UserGate NGFW VPN-интерфейс создается в разделе Настройки ➜ Сеть ➜ Интерфейсы. Для создания интерфейса нажмите Добавить и выберите Добавить VPN. Подробнее о создании VPN-интерфейса — в разделе «Настройка интерфейсов».

Настройка параметров аутентификации

Порядок взаимной аутентификации узлов, участвующих в организации site-to-site VPN, описывается правилами аутентификации.

Чтобы настроить правила аутентификации, сначала необходимо создать набор средств аутентификации (например, общие ключи, сертификаты или профили клиентских сертификатов), которые затем будут использоваться в правилах в зависимости от выбранного метода аутентификации.

При настройке защищенного IPsec-соединения могут понадобиться следующие средства аутентификации узлов:

• Общий ключ (pre-shared key, PSK). Используется для аутентификации в протоколах IKEv1 и IKEv2. Ключ задается в параметрах правил подключения (для IKEv1) или правил аутентификации (для IKEv2) на VPN-сервере (ответчике), а также в настройках параметров подключения на узле-инициаторе. Для успешного установления соединения значения ключа на обеих сторонах должны совпадать.

• Сертификаты VPN-серверов. Применяются для аутентификации с использованием инфраструктуры открытых ключей (PKI) в протоколе IKEv2. Такие сертификаты необходимо заранее создать и импортировать в UserGate NGFW.

О примерах создания и использования сертификатов для IKEv2 VPN — в разделе «Приложение». О правилах импорта сертификатов в UserGate NGFW — в разделе «Управление сертификатами».

• Профили клиентских сертификатов. Позволяют идентифицировать узел-инициатор по определенному атрибуту его сертификата, а также проверить цепочку доверия и подлинность сертификата с учетом списков отозванных сертификатов. При создании профиля используются сертификаты корневых и промежуточных удостоверяющих центров, выдавших сертификаты узлов-инициаторов. Подробнее о профилях клиентских сертификатов — в разделе «Профили клиентских сертификатов».

Чтобы VPN-сервер мог проверить IP-адрес узла-инициатора при установлении соединения по IPsec IKEv2, в сертификате инициатора в поле iPAddress расширения SAN (Subject Alternative Name) должен быть указан тот IP-адрес, с которого поступит запрос на подключение. При этом в профиле клиентского сертификата на VPN-сервере в параметре Получать имя пользователя из необходимо выбрать значение Subject altname IPv4.

Если между узлом-инициатором и VPN-сервером используется NAT, IP-адрес из сертификата не совпадет с фактическим адресом источника пакетов, из-за чего соединение не будет установлено. Для такого сценария можно в поле Получать имя пользователя из в профиле клиентского сертификата выбрать любое другое значение, кроме Subject altname IPv4, VPN-сервер в таком случае не будет выполнять проверку IP-адреса инициатора соединения.

Для настройки VPN-туннеля с использованием протокола L2TP на стороне VPN-сервера (ответчика) необходимо создать учетную запись для аутентификации узла-инициатора, а также настроить профиль аутентификации, определяющий применяемый метод проверки подлинности.

В веб-консоли UserGate NGFW профили аутентификации создаются в разделе Настройки ➜ Пользователи и устройства ➜ Профили аутентификации. Подробнее о профилях аутентификации — в разделе «Профили аутентификации».

Настройка правил подключения

Правила подключения описывают первый этап установления соединения. Он начинается с инициирования соединения VPN-клиентом (узлом-инициатором) и завершается ответом VPN-сервера (узла-ответчика) — предложением выполнить обмен ключами либо отказом с разрывом соединения. В правилах задаются проверки зоны источника, адреса инициатора и назначения, типа протокола, а также определяются параметры первой фазы установления защищенного соединения.

Для создания правила подключения в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN-сервер ➜ Правила подключения и нажмите Добавить.

2. Выберите протокол подключения IKE.

3. На вкладке Общие в свойствах протокола IKE:

• Укажите название и описание правила;

• Выберите версию протокола IKE:

  • IKEv1PSK. Для этого протокола выберите режим работы IKEv1 (основной или агрессивный) и укажите значение общего ключа (pre-shared key). Ключ должен совпадать на узле-инициаторе и на узле-ответчике.

  • IKEv2.

4. На вкладке Источник укажите зоны и адреса, с которых разрешено принимать подключения к VPN:

• Укажите зону инициатора подключения;

• Укажите адрес инициатора подключения:

  • выберите или создайте список IP-адресов;

  • выберите или создайте список доменов;

  • выберите GeoIP.

5. На вкладке Назначение выберите или создайте список IP-адресов или доменных имен интерфейса, на который будут приходить запросы на VPN-подключение. Интерфейс должен принадлежать зоне, указанной на этапе контроля доступа зоны.

6. На вкладке Фаза 1 укажите параметры настройки фазы 1 для установления защищенного канала IKE SA:

• Укажите время жизни ключа. По истечении этого времени происходит повторная аутентификация и согласование настроек фазы 1.

• Укажите параметры работы механизма Dead Peer Detection (DPD) для проверки работоспособности канала и его своевременного отключения или переподключения при обрыве связи. DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Возможны три режима работы механизма:

  • Отключено — механизм отключен. DPD-запросы не отсылаются.

  • Всегда включено — DPD-запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если ответ пришел, работа механизма возвращается к изначальному интервалу отправки DPD запросов. Если ответ не пришел, соединение завершается.

  • При отсутствии трафика — DPD-запросы не отсылаются, пока есть ESP-трафик через созданный канал. Если в течение двойного указанного интервала времени нет ни одного пакета, происходит отсылка DPD-запроса. При ответе новый DPD-запрос будет отправлен через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если нет ни одного ответа, соединение завершается.

• Выберите группы Диффи-Хеллмана, которые будут использоваться для обмена ключами.

• Выберите алгоритмы аутентификации и шифрования. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка переместите нужную пару алгоритмов вверх или вниз.

О создании правил подключения с помощью команд интерфейса командной строки — в разделе «Настройка серверных правил».

Настройка правил аутентификации

Правила аутентификации описывают второй этап установления соединения. Он начинается с ответа узла-инициатора на предложение обмена ключами и завершается после успешной аутентификации. В этих правилах задаются проверки типа аутентификации и определяются параметры второй фазы установления защищенного соединения.

Для создания правила аутентификации в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN-сервер ➜ Правила аутентификации и нажмите Добавить.

2. Выберите сценарий site-to-site и затем протокол установления защищенного соединения:

• IPsec only/IKEv1;

• IKEv2;

• IPsec/L2TP.

3. На вкладке Общие в свойствах выбранного протокола:

• Для протокола IPsec only/IKEv1:

  • Укажите название и описание правила;

  • Выберите одно или несколько созданных ранее правил подключения.

• Для протокола IKEv2:

  • Укажите название и описание правила;

  • Выберите режим аутентификации (PKI или PSK):

    • Для аутентификации с помощью сертификатов (PKI) укажите созданные ранее сертификат сервера и профиль клиентского сертификата;

    • Для аутентификации с помощью общего ключа (PSK) укажите общий ключ и созданный ранее сертификат сервера.

  • Укажите параметры взаимной идентификации граничных узлов соединения: инициатора (initiator) и ответчика (responder). В качестве идентификатора можно указать IP-адрес узла или FQDN.

  • Выберите одно или несколько созданных ранее правил подключения.

• Для протокола IPsec/L2TP:

  • Укажите название и описание правила;

  • Выберите созданный ранее профиль аутентификации для пользователей VPN.

  • Укажите параметры взаимной идентификации граничных узлов соединения: инициатора (initiator) и ответчика (responder). В качестве идентификатора можно указать IP-адрес узла или FQDN.

  • Выберите одно или несколько созданных ранее правил подключения.

4. На вкладке Фаза 2 укажите параметры настройки фазы 2 для установления защищенного канала IPsec SA:

• Укажите время жизни ключа. По истечении этого времени узлы должны сменить ключ шифрования.

• Укажите максимальный размер данных, шифруемых одним ключом.

• При необходимости включите параметр NAT keepalive. NAT keepalive применяется в сценариях, когда IPsec-трафик проходит через узел с NAT. Записи в таблице трансляций NAT активны в течение ограниченного времени. Если за этот промежуток времени не было трафика по VPN-туннелю, записи в таблице трансляций на узле с NAT будут удалены и трафик по VPN-туннелю в дальнейшем не сможет проходить. С помощью функции NAT keepalive VPN-сервер, находящийся за шлюзом NAT, периодически отправляет пакеты keepalive в сторону противоположного узла соединения для поддержания сессии NAT активной.

• Выберите алгоритмы аутентификации и шифрования в блоке Безопасность. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка переместите нужную пару алгоритмов вверх или вниз.

• Для протоколов IPsec only/IKEv1 и IKEv2 в блоке Peer networks укажите адреса локальных и удаленных подсетей. Адреса подсетей используются для определения селекторов трафика при организации защищенного канала передачи данных IPsec. В ходе фазы 2 стороны туннеля обмениваются своими предложениями по селекторам трафика. Для успешного установления туннеля сети в селекторах трафика от обеих сторон соединения должны совпасть или пересечься. Если нет совпадения хотя бы по одной из сторон, фаза 2 завершится ошибкой соединения. Если поставить флажок Не проверять сети инициатора, VPN-сервер не будет проверять подсети инициатора соединения в селекторе трафика при организации защищенного канала передачи данных. Функция удобна для подключения множества клиентов (инициаторов) по одному правилу.

Для протокола IKEv2 можно разрешить работу протоколов динамической маршрутизации через туннель.

О создании правил аутентификации с помощью команд интерфейса командной строки — в разделе «Настройка серверных правил».

Настройка политик VPN

Политики VPN описывают третий этап установления соединения. Он начинается с идентификации узла-инициатора и завершается назначением сетевых параметров подключения: туннельного интерфейса, пула IP-адресов внутри VPN-туннеля, маршрутов к ресурсам через туннель и адресов DNS-серверов.

Для создания политики VPN в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN-сервер ➜ Политики VPN и нажмите Добавить.

2. Выберите сценарий site-to-site и затем протокол установления VPN-туннеля:

• IPsec;

• IPsec/L2TP.

3. Для протокола IPsec:

• На вкладке Общие в свойствах протокола:

  • Укажите название и описание правила.

  • Выберите VPN-адаптер, который будет использоваться для установления подключения.

  • Выберите одно или несколько созданных ранее правил аутентификации.

4. Для протокола IPsec/L2TP:

• На вкладке Общие в свойствах протокола:

  • Укажите название и описание правила.

  • Выберите одно или несколько созданных ранее правил аутентификации.

• На вкладке Пользователи выберите учетные записи или группы, созданные для серверов, которым разрешено подключаться по VPN.

• На вкладке Подсети для VPN:

  • Укажите VPN-интерфейс, который будет использоваться для подключения.

  • Укажите диапазон IP-адресов, которые будут использованы узлами-инициаторами подключения. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу UserGate NGFW, используемому совместно с этой сетью. Не указывайте адреса сети и широковещательный адрес.

  • Укажите маску сети VPN.

  • Укажите DNS-серверы, которые будут переданы узлу-инициатору подключения, или поставьте флажок Использовать системные DNS, в этом случае узел-инициатор будет использовать системные DNS-серверы.

• На вкладке Маршруты VPN укажите маршруты, передаваемые узлу-инициатору в виде бесклассовой адресации (CIDR) или заранее созданный список IP-адресов.

О создании политик VPN с помощью команд интерфейса командной строки — в разделе «Настройка серверных правил».

Настройка доступа к ресурсам

При необходимости предоставления доступа пользователям VPN в определенные сегменты сети в веб-консоли UserGate NGFW в разделе Настройки ➜ Политики сети ➜ Межсетевой экран необходимо создать правило межсетевого экрана, разрешающее трафик из зоны для VPN-подключений в требуемые зоны. Подробнее о создании и настройке правил межсетевого экрана — в разделе «Межсетевой экран».

Для примера в веб-консоли создано правило межсетевого экрана VPN for site-to-site to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for site-to-site в зоны Trusted и Untrusted. Правило отключено по умолчанию

Чтобы трафик передавался обратно клиенту из разрешенных зон через VPN-туннель, необходимо создать разрешающее правило межсетевого экрана, указав нужную зону источника и зону назначения, например созданную ранее зону для VPN-подключений.

Настройка UserGate NGFW в качестве узла-инициатора подключения

Для работы UserGate NGFW в качестве инициатора VPN-соединения в сценарии site-to-site VPN необходимо настроить:

• сетевые параметры;

• параметры аутентификации;

• параметры подключения клиента;

• клиентские правила.

Настройка сетевых параметров

На узле UserGate NGFW, исполняющем роль инициатора VPN-соединения, необходимо выполнить ряд дополнительных настроек сетевых параметров:

• создать зону для контроля VPN-подключений;

• создать VPN-интерфейс для организации туннеля.

Создание зоны для VPN-подключений

Создайте зону, которой будут принадлежать интерфейсы, используемые для подключения по VPN. В веб-консоли UserGate NGFW зоны создаются в разделе Настройки ➜ Сеть ➜ Зоны. Подробнее о создании и настройках зон — в статье «Настройка зон».

Создание VPN-интерфейса

VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения по VPN.

В веб-консоли UserGate NGFW VPN-интерфейс создается в разделе Настройки ➜ Сеть ➜ Интерфейсы. Для создания интерфейса нажмите Добавить и выберите Добавить VPN, далее в настройках VPN-адаптера задайте необходимые параметры. Подробнее о создании VPN-интерфейса — в разделе «Настройка интерфейсов».

Контроль доступа к сетевым ресурсам

Чтобы трафик передавался на VPN-сервер из нужной зоны узла-источника через VPN-туннель, создайте правило межсетевого экрана, разрешающее трафик между зоной для VPN-подключений и зонами назначения. Подробнее о создании и настройке правил межсетевого экрана — в разделе «Межсетевой экран».

Настройка параметров аутентификации

При настройке защищенного IPsec-соединения с использованием протокола IKEv2 можно применять аутентификацию на основе сертификатов (PKI). Для этого необходимо заранее создать сертификат и импортировать его на узел, выступающий в роли VPN-клиента (инициатора соединения), через веб-интерфейс в разделе Настройки ➜ Консоль администратора ➜ Сертификаты..

О примерах создания и использования сертификатов для IKEv2 VPN — в разделе «Приложение».

Настройка параметров подключения

При настройке VPN-подключения указываются используемые протоколы для установления соединения, выбираются методы аутентификации, а также определяются параметры обеих фаз формирования защищенного канала.

Для настройки параметров подключения узла-инициатора в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN site-to-site клиент ➜ Подключение клиента и нажмите Добавить.

2. Выберите протокол установления защищенного соединения:

• IPsec only/IKEv1;

• IKEv2;

• IPsec/L2TP.

3. На вкладке Общие в свойствах выбранного протокола:

• Для протокола IPsec only/IKEv1:

  • Укажите название и описание подключения;

  • Выберите режим работы IKE (основной или агрессивный);

  • Укажите общий ключ (pre-shared key). Ключ должен совпадать на узле-инициаторе и на узле-ответчике.

  • Укажите параметр идентификации узла-инициатора. В качестве идентификатора можно указать IP-адрес узла или FQDN.

Если флажок не поставлен, механизм согласования сетевых параметров для проверки IP-адреса туннельного интерфейса на VPN-сервере не применяется. Значение IP-адреса определяется настройками туннельного интерфейса на узле-инициаторе.

• Для протокола IKEv2:

  • Укажите название и описание подключения;

  • Флажок Проверять IP на VPN-сервере определяет, будет ли узел-инициатор соединения запрашивать проверку IP-адреса у VPN-сервера. VPN-сервер может принять предложенный IP-адрес или назначить другой. Если флажок поставлен, узел-инициатор соединения добавляет параметр Payload Configuration в сообщение IKE_AUTH и передает в поле INTERNAL_IP4_ADDRESS значение, зависящее от типа туннельного интерфейса:

    • Для туннельного интерфейса с динамическим назначением IP-адреса в поле INTERNAL_IP4_ADDRESS передается значение 0.0.0.0/0, что является запросом на динамическое выделение IP-адреса. VPN-сервер, получив значение 0.0.0.0/0, выделяет IP-адрес из собственного пула, заданного в параметрах соединения на сервере.

    • Для туннельного интерфейса со статическим IP-адресом в поле INTERNAL_IP4_ADDRESS передается его IP-адрес. VPN-сервер использует это значение для проверки соответствия политике подключения.

  • Выберите режим аутентификации (PKI или PSK):

    • Для аутентификации с помощью сертификатов (PKI) укажите сертификат узла-инициатора;

    • Для аутентификации с общим ключом (PSK) укажите общий ключ. Ключ должен совпадать на узле-инициаторе и на узле-ответчике.

  • Укажите параметр идентификации узла-инициатора. В качестве идентификатора можно указать IP-адрес узла или FQDN.

• Для протокола IPsec/L2TP:

  • Укажите название и описание подключения;

  • Выберите режим работы IKE (основной или агрессивный);

  • Укажите общий ключ (pre-shared key). Ключ должен совпадать на узле-инициаторе и на узле-ответчике.

  • Укажите параметры взаимной идентификации граничных узлов соединения: инициатора (Initiator) и ответчика (Responder). В качестве идентификатора можно указать IP-адрес узла или FQDN.

  • Укажите параметры аутентификации (логин и пароль) узла-инициатора на узле-ответчике. Параметры аутентификации должны соответствовать параметрам учетной записи, созданной при настройке узла-ответчика.

4. На вкладке Фаза 1 укажите параметры настройки фазы 1 для установления защищенного канала IKE SA:

• Укажите время жизни ключа. По истечении этого времени происходит повторная аутентификация и согласование настроек фазы 1.

• Укажите параметры работы механизма Dead Peer Detection (DPD) для проверки работоспособности канала и его своевременного отключения или переподключения при обрыве связи. DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Возможны три режима работы механизма:

  • Отключено — механизм отключен. DPD-запросы не отсылаются.

  • Всегда включено — DPD-запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если ответ пришел, работа механизма возвращается к изначальному интервалу отправки DPD запросов, если нет ни одного ответа, соединение завершается.

  • При отсутствии трафика — DPD-запросы не отсылаются, пока есть ESP-трафик через созданные SA. Если в течение двойного указанного интервала времени нет ни одного пакета, происходит отсылка DPD-запроса. При ответе новый DPD-запрос будет отправлен через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если нет ни одного ответа, соединение завершается.

• Выберите группы Диффи-Хеллмана, которые будут использоваться для обмена ключами.

• Выберите алгоритмы аутентификации и шифрования в блоке Безопасность. Алгоритмы, используются в порядке, в котором они отображены. Для изменения порядка переместите нужную пару алгоритмов вверх или вниз.

5. На вкладке Фаза 2 укажите параметры настройки фазы 2 для установления защищенного канала IPsec SA:

• Укажите время жизни ключа. По истечении этого времени узлы должны сменить ключ шифрования.

• Укажите максимальный размер данных, шифруемых одним ключом.

• Выберите алгоритмы аутентификации и шифрования в блоке Безопасность. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка переместите нужную пару алгоритмов вверх или вниз.

• Для протоколов IPsec only/IKEv1 и IKEv2 в блоке Peer networks укажите адреса локальных и удаленных подсетей. Адреса подсетей используются для определения селекторов трафика при организации защищенного канала передачи данных IPsec. В ходе фазы 2 стороны туннеля обмениваются своими предложениями по селекторам трафика. Для успешного установления туннеля сети в селекторах трафика от обеих сторон соединения должны совпасть или пересечься. Если нет совпадения хотя бы по одной из сторон, фаза 2 завершится ошибкой соединения.

Для протокола IKEv2 можно разрешить работу протоколов динамической маршрутизации через туннель.

О настройках параметров подключения узла-инициатора с помощью команд интерфейса командной строки — в разделе «Настройка клиентских правил».

Настройка клиентских правил

Клиентское правило в сценарии site-to-site VPN используется для инициирования подключения к VPN-серверу (узлу-ответчику).

Для настройки клиентского правила в веб-консоли UserGate NGFW:

1. Перейдите в раздел Настройки ➜ VPN site-to-site клиент ➜ Клиентские правила и нажмите Добавить.

2. Укажите название и описание клиентского правила.

3. Выберите одно из созданных ранее подключений клиента.

4. Выберите ранее созданный VPN-интерфейс.

5. Укажите адрес VPN-сервера (ответчика) в формате IP-адреса или FQDN.

О настройках клиентских правил с помощью команд интерфейса командной строки — в разделе «Настройка клиентских правил».

После завершения настройки параметров VPN-сервиса узел-инициатор получает возможность установить соединение с VPN-сервером (ответчиком). При корректной конфигурации параметров будет сформирован VPN-туннель. Для разрыва соединения необходимо отключить клиентское VPN-правило.

Если VPN-соединение не установилось, в разделе клиентского правила в поле Последняя ошибка отобразится описание ошибки установления соединения.

События работы VPN-сервера (изменения параметров правил, установление соединений, ошибки установления соединений) записываются в системном журнале событий (Event log). Подробнее — в разделе «Журналирование событий VPN-сервера».