VPN для защищенного соединения офисов (Site-to-Site VPN)

Шаг 1. Создать локального пользователя для авторизации сервера, выступающего в роли VPN-клиента.

В разделе Пользователи и устройства ➜ Пользователи создать пользователей для каждого из удаленных NGFW, выступающих в роли VPN-клиентов, задать пароли. Рекомендуется поместить всех созданных пользователей в группу, которой будет дан доступ для подключения по VPN. По умолчанию для этой цели в NGFW создана группа VPN servers.

Шаг 3. Создать зону, в которую будут помещены подключаемые по VPN серверы.

В разделе Сеть ➜ Зоны создать зону, в которую будут помещены подключаемые по VPN серверы. Эту зону в дальнейшем можно будет использовать в политиках безопасности.

Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site.

Шаг 5. Создать профиль авторизации.

В разделе Пользователи и устройства ➜ Профили авторизации создать профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей с целью получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP.

Подробно о профилях авторизации смотрите в разделе данного руководства Профили авторизации.

Шаг 7. Создать VPN-интерфейс.

VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах NGFW, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

В разделе Сеть ➜ Интерфейсы нажмите кнопку Добавить и выберите Добавить VPN. Задайте следующие параметры:

• Название — название интерфейса, должно быть в виде tunnelN, где N — это порядковый номер VPN-интерфейса.

• Описание — описание интерфейса.

• Зона — зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к NGFW, будут также помещены в эту зону. Укажите зону, созданную на шаге 3.

• Профиль Netflow — профиль Netflow, используемый для данного интерфейса. Не обязательный параметр.

• Режим — тип присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Если интерфейс предполагается использовать для приема VPN-подключений (Site-2-Site VPN или Remote access VPN, то необходимо использовать статический IP-адрес.

• MTU — размер MTU для выбранного интерфейса.

По умолчанию в системе уже создан VPN-интерфейс tunnel2, который рекомендовано использовать для Site-to-Site VPN.

Шаг 9. Создать серверное правило VPN.

Создать серверное правило VPN, используя в нем созданные ранее сеть и профиль VPN. Для создания правила необходимо перейти в раздел VPN ➜ Серверные правила, нажать кнопку Добавить и заполнить следующие поля:

• Название — название правила.

• Описание — описание правила.

• Профиль безопасности — профиль безопасности VPN, созданный ранее.

• Сеть VPN — сеть VPN, созданная ранее.

• Профиль авторизации — профиль авторизации, созданный ранее.

• Источник — зоны и адреса, с которых разрешено принимать подключения к VPN. Как правило, клиенты находятся в сети интернет, следовательно, следует указать зону Untrusted.

  Важно! Обработка трафика происходит по следующей логике:

  • условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;

  • условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.

• Назначение — один или несколько адресов интерфейса, на который будет происходить подключение клиентов. Интерфейс должен принадлежать зоне, указанной на шаге 2.

• Интерфейс — созданный ранее интерфейс VPN.

• Пользователи — группа учетных записей серверов или отдельные учетные записи серверов, которым разрешено подключаться по VPN.

По умолчанию в NGFW создано серверное правило Site-to-Site VPN rule, в котором используются необходимые настройки для Site-to-Site VPN, а доступ к VPN разрешен членам локальной группе VPN servers.

Шаг 1. Создать зону, в которую будут помещен интерфейс, используемый для подключения по VPN.

В разделе Сеть ➜ Зоны создать зону, в которую будут помещены интерфейсы, используемые для подключения по VPN. Эту зону в дальнейшем можно будет использовать в политиках безопасности.

Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site.

Шаг 3. Создать профиль безопасности VPN.

Профиль безопасности определяет такие настройки, как общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов.

Для создания профиля необходимо перейти в раздел VPN ➜ Профили безопасности VPN, нажать кнопку Добавить и заполнить следующие поля:

• Название — название профиля безопасности.

• Описание — описание профиля.

• Версия протокола IKE (Internet Key Exchange). Протокол IKE используется для создания защищённого канала связи между двумя сетями. В NGFW используется IKEv1.

• Режим IKE: Основной или Агрессивный.

  Разница между режимами: в агрессивном режиме используется меньшее количество пакетов, что позволяет достичь более быстрого установления соединения. Агрессивный режим не передает некоторые параметры согласования, что требует предварительной идентичной настройки их на точках подключения.

  • Основной режим. В основном режиме происходит обмен шестью сообщениями. Во время первого обмена (сообщения 1 и 2) происходит согласование алгоритмов шифрования и аутентификации. Второй обмен (сообщения 3 и 4) предназначен для обмена ключами Диффи-Хеллмана (DH). После второго обмена служба IKE на каждом из устройств создаёт основной ключ, который будет использоваться для защиты проверки подлинности. Третий обмен (сообщения 5 и 6) предусматривает аутентификацию инициатора соединения и получателя (проверка подлинности); информация защищена алгоритмом шифрования, установленным ранее.

  • Агрессивный режим. В агрессивном режиме происходит 2 обмена, всего 3 сообщения. В первом сообщении инициатор передаёт информацию, соответствующую сообщениям 1 и 3 основного режима, т.е. информацию об алгоритмах шифрования и аутентификации и ключ DH. Второе сообщение предназначено для передачи получателем информации, соответствующей сообщениям 2 и 4 основного режима, а также аутентификации получателя. Третье сообщение аутентифицирует инициатора и подтверждает обмен.

• Аутентификация с пиром. Общий ключ — аутентификация устройств с использованием общего ключа (Pre-shared key).

• Общий ключ — строка, которая должна совпадать на сервере и клиенте для успешного подключения.

Далее необходимо задать параметры первой и второй фаз согласования.

Во время первой фазы происходит согласование защиты IKE. Аутентификация происходит на основе общего ключа в режиме, выбранном ранее. Необходимо указать следующие параметры:

• Время жизни ключа. По истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.

• Интервал проверки dead peer detection — для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Минимальный интервал: 10 секунд; значение 0 отключает проверку.

• Неудачных попыток — максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным.

• Diffie-Hellman группы: выбор группы Диффи-Хеллмана, которая будет использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.

• Алгоритмы авторизации и шифрования. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка перетащите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже.

Во второй фазе осуществляется выбор способа защиты IPsec подключения. Необходимо указать:

• Время жизни ключа. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.

• Максимальный размер данных, шифруемых одним ключом. Время жизни ключа может быть задано в байтах. Если заданы оба значения (Время жизни ключа и Максимальный размер данных, шифруемых одним ключом), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии.

• Алгоритмы авторизации и шифрования. Алгоритмы используются в порядке, котором они отображены. Для изменения порядка перетащите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже.

По умолчанию в NGFW создан профиль Client VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, то необходимо изменить общий ключ шифрования.

Шаг 5. Создать клиентское правило VPN.

Создать клиентское правило VPN, которое будет инициировать подключение к VPN-серверу. Для создания правила необходимо перейти в раздел VPN ➜ Клиентские правила, нажать кнопку Добавить и заполнить следующие поля:

• Включено — включение/отключение данного правила.

• Название — название правила.

• Описание — описание правила.

• Профиль безопасности VPN — созданный ранее профиль безопасности VPN.

• Интерфейс — созданный ранее VPN-интерфейс.

• Адрес сервера — IP-адрес VPN-сервера, куда подключается данный VPN-клиент. Как правило, это IP-адрес интерфейса в зоне Untrusted на NGFW, выполняющего роль VPN-сервера.

• Протокол VPN — Возможно выбрать вариант L2TP/IPsec или IPsec туннель для подключения к VPN-серверу.

• Подсети для VPN — IP адрес сети, которая будет доступна для клиентов со стороны NGFW  и со стороны VPN-сервера.

• Имя пользователя и пароль (только для протокола L2TP) — имя и пароль пользователя, созданного на шаге 1 при подготовке VPN-сервера.