Настройка раздельного туннелирования для UserGate Client

Раздельное туннелирование (split tunneling) — это технология, позволяющая пользователю одновременно подключаться к одним сетевым ресурсам через защищенное VPN-соединение, а к другим — в обход него, не отключая VPN. 

Функциональность раздельного туннелирования, реализованная в UserGate, позволяет модифицировать таблицу маршрутизации компьютера пользователя с ПО UserGate Client при установлении VPN-соединения в соответствии с настройками администратора VPN-сервера (NGFW). После завершения VPN-сессии локальные настройки маршрутизации на компьютере пользователя возвращаются в исходные.

При установлении VPN-соединения в таблицу маршрутов клиента добавляются два новых маршрута. Они необходимы для сохранения подключения к VPN-серверу во всех сценариях:

• Маршрут к шлюзу локальной сети. Добавляется через IP-адрес локального интерфейса в качестве шлюза.

• Маршрут к VPN-серверу.

  • Добавляется через IP-адрес локального интерфейса в качестве шлюза, если адрес VPN-сервера находится в адресном пространстве локальной сети.

  • Добавляется через IP-адрес шлюза локальной сети в качестве шлюза в случае если адрес VPN-сервера не находится в адресном пространстве локальной сети.

Локальные маршруты в обход VPN, изначально прописанные на компьютере пользователя, удаляются на время работы VPN. После отключения VPN-соединения эти маршруты возвращаются.

В веб-консоли администратора NGFW можно настроить различные сценарии работы функциональности раздельного туннелирования. Для этого необходимо перейти в раздел VPN ➜ Сети VPN. В свойствах VPN-сети для удаленного доступа выбрать вкладку Маршруты для UserGate Client.    

Рассмотрим подробнее возможные сценарии настроек раздельного туннелирования.

a) Если поставлен флажок Все маршруты, в таблицу маршрутизации клиента будет добавлен маршрут по умолчанию (default route) вида 0.0.0.0/0 ➜ VPN-шлюз. Имеющийся ранее маршрут по умолчанию будет удален из таблицы. 

b) Если в поле Включить маршруты добавлены IP-адреса или списки IP-адресов, то для каждого включенного адреса добавляется маршрут вида n.n.n.n/c ➜ VPN-шлюз с гарантированно минимальной метрикой 2. 

c) Если в поле Исключить маршруты добавлены IP-адреса или списки IP-адресов, то в таблицу маршрутизации клиента будет добавлен маршрут по умолчанию вида 0.0.0.0/0 ➜ VPN-шлюз. Имеющийся ранее маршрут по умолчанию будет удален из таблицы. Для каждого исключаемого адреса добавляется свой маршрут через интерфейс с лучшей метрикой в обход VPN. 

d) Если в обоих полях Включить маршруты и Исключить маршруты добавлены IP-адреса или списки IP-адресов, то для каждого включенного адреса добавляется маршрут вида n.n.n.n/c ➜ VPN-шлюз с гарантированно минимальной метрикой 2. Для каждого исключаемого адреса добавляется свой маршрут через интерфейс с лучшей метрикой в обход VPN.  

e) Если во вкладке нет никаких настроек, то в таблицу маршрутизации клиента добавляется VPN-маршрут вида 0.0.0.0/0 ➜ VPN-шлюз с метрикой больше, чем у имеющегося маршрута по умолчанию. Имеющийся маршрут по умолчанию при этом не удаляются и маршруты для MC/NGFW/VPN-сервера не создаются.

f) Если поставлен флажок Ограничить доступ к локальной сети, то для каждой подсети локального интерфейса создается копия маршрута через VPN-шлюз с гарантированно минимальной метрикой 2. Такие же копии маршрутов создаются для всех адресов, которые имеют тип local interface.

В зависимости от сценариев настроек метрики для VPN-маршрутов broadcast- и multicast-адресов получают следующие значения:

• Лучшая метрика среди соответствующих адресов — для сценариев a) и с);

• Гарантированно худшая метрика 10000 — для сценариев b) и d).

В зависимости от режима работы компьютер с установленным ПО UserGate Client осуществляет коммуникацию либо с UserGate MC, либо с NGFW. С этой целью создается отдельный маршрут для соответствующего IP-адреса в обход VPN. Данный маршрут не создается для сценария e) и в случае, когда VPN-клиент и MC/NGFW находятся в одной сети.