PASS

OK

Действие для создания правила с помощью UPL.

enabled

Включение/отключение правила:

• enabled(yes) или enabled(true).

• enabled(no) или enabled(false).

Если при создании правила не указывать, то правило будет включено после создания.

name

Название серверного правила VPN.

Например: name("VPN server rule example").

desc

Описание правила.

Например: desc("VPN server rule example configured in CLI").

profile

Профиль безопасности VPN, определяющий общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Например, profile("Client VPN profile").

Подробнее о добавлении и настройке профилей безопасности читайте в разделе Настройка профилей безопасности VPN.

vpn_network

Сеть VPN. Для указания сети: vpn_network("VPN network example").

О настройках сети VPN с использованием интерфейса командной строки читайте в разделе Настройка сетей VPN.

auth_profile

Профиль аутентификации для пользователей VPN. Допускается использовать тот же профиль аутентификации, что используется для авторизации пользователей для получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной аутентификации, такие как Kerberos, NTLM, SAML IDP.

Чтобы указать профиль аутентификации: auth_profile("Example user auth profile").

Подробнее о создании и настройке профилей аутентификации с использованием интерфейса командной строки читайте в разделе Настройка профилей аутентификации.

interface

VPN-интерфейс, который будет использоваться для подключения клиентов VPN. Чтобы указать интерфейс, например, tunnel1: interface(tunnel1).

О добавлении и настройке интерфейсов VPN читайте в разделе Настройка VPN-адаптера.

src.zone

Зона, с которой разрешено принимать подключения к VPN.

Для указания зоны источника, например, Untrusted: src.zone = Untrusted.

Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.

src.ip

Добавление списков IP-адресов или доменов, с которых разрешено принимать подключения к VPN.

Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.

Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.

user

Пользователи и группы пользователей, которым разрешено подключение по VPN.

Для добавления LDAP групп и пользователей необходим корректно настроенный LDAP-коннектор (о настройке LDAP-коннектора через CLI читайте в разделе Настройка LDAP-коннектора).

В следующей строке описано добавление локальных пользователя (local_user) и группы (Local Group), пользователя (example.local\AD_user) и группы LDAP (AD group):

Заранее был настроен домен Active Directory example.loc. При добавлении пользователей и групп LDAP можно указать список путей на сервере, начиная с которых система будет осуществлять поиск пользователей и групп.

dst.ip

Добавление списков IP-адресов интерфейса, на который будет происходить подключение клиентов.

Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.

PASS

OK

Действие для создания правила с помощью UPL.

enabled

Включение/отключение правила:

• enabled(yes) или enabled(true).

• enabled(no) или enabled(false).

name

Название клиентского правила VPN.

Например, name("VPN client rule example").

desc

Описание клиентского правила VPN.

Указывается, как desc("VPN client rule example set in CLI").

profile

Профиль безопасности VPN, определяющий общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Например, profile("Client VPN profile").

Подробнее о добавлении и настройке профилей безопасности читайте в разделе Настройка профилей безопасности VPN.

interface

VPN-интерфейс, который будет использоваться для подключения клиентов VPN. Чтобы указать интерфейс, например, tunnel1: interface(tunnel3).

О добавлении и настройке интерфейсов VPN читайте в разделе Настройка VPN-адаптера.

server_address

IP-адрес VPN-сервера, куда подключается данный VPN-клиент. Как правило, это IP-адрес интерфейса в зоне Untrusted на NGFW, выполняющего роль VPN-сервера.

Задаётся в формате: server_address("1.2.3.4").

name

Название сети VPN.

description

Описание сети VPN.

ip-range

Диапазон IP-адресов, которые будут использованы клиентами и сервером; указывается в формате: <IP_start-IP_end>.

Исключите из диапазона адреса, которые назначены VPN-интерфейсу, используемому совместно с данной сетью. Не указывайте здесь адреса сети и широковещательный адрес.

mask

Маска сети, например, 255.255.255.0.

use-system-dns

Назначение клиенту DNS-серверов, которые использует UserGate:

• on: использовать системных DNS-серверов.

• off: не использовать системных DNS-серверов.

dns-servers

DNS-серверы, которые будут переданы клиенту.

routes-ip

Маршрут VPN. Необходимо указать IP-адрес в формате "A.B.C.D" или "A.B.C.D/m".

routes-ip-list

Маршрут VPN. Необходимо указать группу IP-адресов. Подробнее о создании групп IP-адресов через CLI читайте в разделе Настройка IP-адресов.

all-routes

Отсутствие ограничений на маршрутизацию по VPN соединению при использовании UserGate VPN клиента.

include-routes-ip

IP-адреса, доступ к которым должен маршрутизироваться через VPN соединение при использовании UserGate VPN клиента.

include-routes-ip-list

Список IP-адресов, доступ к которым должен маршрутизироваться через VPN соединение при использовании UserGate VPN клиента.

exclude-routes-ip

IP-адреса, доступ к которым зарыт через VPN соединение при использовании UserGate VPN клиента.

exclude-routes-ip-list

Список IP-адресов, доступ к которым закрыт через VPN соединение при использовании UserGate VPN клиента.

restrict-lan-access

Запрет доступа к локальной сети при использовании UserGate VPN клиента.

name

Название профиля безопасности VPN.

description

Описание профиля безопасности VPN.

ike-version

Версия протокола IKE (Internet Key Exchange), использующегося для создания защищённого канала связи между двумя сетями. В NGFW поддерерживаются версии IKEv1 и IKEv2. Возможны следующие варианты конфигурации:

• IKEv1 — для создания защищенного канала будет использоваться IKEv1.  

• IKEv2 — для создания защищенного канала будет использоваться IKEv2.

ike-mode

Режим IKE:

• main — основной режим. В основном режиме происходит обмен шестью сообщениями. Во время первого обмена (сообщения 1 и 2) происходит согласование алгоритмов шифрования и аутентификации. Второй обмен (сообщения 3 и 4) предназначен для обмена ключами Диффи-Хеллмана (DH). После второго обмена служба IKE на каждом из устройств создаёт основной ключ, который будет использоваться для защиты проверки подлинности. Третий обмен (сообщения 5 и 6) предусматривает аутентификацию инициатора соединения и получателя (проверка подлинности); информация защищена алгоритмом шифрования, установленным ранее.

• aggressive — агрессивный режим. В агрессивном режиме происходит 2 обмена, всего 3 сообщения. В первом сообщении инициатор передаёт информацию, соответствующую сообщениям 1 и 3 основного режима, т.е. информацию об алгоритмах шифрования и аутентификации и ключ DH. Второе сообщение предназначено для передачи получателем информации, соответствующей сообщениям 2 и 4 основного режима, а также аутентификации получателя. Третье сообщение аутентифицирует инициатора и подтверждает обмен.

local-id-type

Тип параметра IKE local ID. Необходим для валидации peer-узла при установлении VPN-соединения с оборудованием некоторых вендоров. Возможные значения параметра:

• none — значение поля по умолчанию. Используется в случае, когда для установления VPN-соединения не требуется использовать параметр IKE local ID. Например, для установления VPN-соединения между двумя узлами UserGate.

• IPv4 — IP-адрес узла.

• FQDN — Адрес узла в формате полностью определенного доменного имени (FQDN).

• CIDR — Адрес узла в формате бесклассовой адресации (CIDR).

local-id-value

Значение параметра IKE local ID в формате выбранного ранее типа. 

psk

Общий ключ. Для аутентификации удаленного узла с использованием общего ключа (Pre-shared key). Строка, которая должна совпадать на сервере и клиенте для успешного подключения.

certificate

Сертификат VPN сервера для аутентификации посредством сертификатов.

authentication-mode

Метод аутентификации. Возможна аутентификация с помощью логина и пароля через RADIUS сервер (AAA) или посредством сертификатов (PKI). 

user-certificate-profile

При выборе метода аутентификации с PKI необходимо указать сконфигурированный ранее профиль клиентских сертификатов.

phase1-key-lifetime

Время жизни ключа. По истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.

dpd-state

Режимы работы механизма Dead Peer Detection, реализующего проверку работоспособности VPN канала и его своевременного отключения/переподключения при обрыве связи. Возможны 3 режима работы механизма:

• off — Механизм отключен. DPD запросы не отсылаются. 

• always — DPD запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек отсылаются дополнительные запросы в количестве, указанном в параметре dpd-max-failures. Если ответ есть, работа механизма возвращается к изначальному интервалу отправки DPD запросов, если нет ни одного ответа, соединение завершается.

• idle — DPD запросы не отсылаются, пока есть ESP трафик через созданные SA. Если в течение двойного указанного интервала времени нет ни одного пакета, тогда производится отсылка DPD запроса. При ответе новый DPD запрос будет отправлен снова через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек отсылаются дополнительные запросы в количестве, указанном в параметре dpd-max-failures. Если нет ни одного ответа, соединение завершается.  

dpd-interval

Интервал проверки механизма Dead Peer Detection. Минимальный интервал: 10 секунд.

Для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа (по умолчанию: 60 с.).

dpd-max-failures

Максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным (по умолчанию: 5).

dh-groups

Группы Диффи-Хеллмана, которые будут использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.

• Group 1 Prime 768 bit.

• Group 2 Prime 1024 bit.

• Group 5 Prime 1536 bit.

• Group 14 Prime 2048 bit.

• Group 15 Prime 3072 bit.

• Group 16 Prime 4096 bit.

• Group 17 Prime 6144 bit.

• Group 18 Prime 8192 bit.

phase1-security

Алгоритмы аутентификации и шифрования.

Для указания алгоритмов аутентификации и шифрования:

Доступны:

• auth-alg: выбор алгоритма аутентификации.

  • MD5.

  • SHA1.

  • SHA256.

  • SHA384.

  • SHA512.

• encrypt-alg: выбор алгоритма шифрования.

  • DES.

  • 3DES.

  • AES128.

  • AES192.

  • AES256.

phase2-key-lifetime

Время жизни ключа. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.

key-lifesize-enabled

Включение режима настройки максимальный размер данных, шифруемых одним ключом.

key-lifesize

Максимальный размер данных, шифруемых одним ключом; указывается в килобайтах. Если заданы оба значения (Время жизни ключа, phase2-key-lifetime и Максимальный размер данных, шифруемых одним ключом, key-lifesize), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии. Для отключения ограничения: off.

nat-keepalive

Период отправки пакетов NAT kepalive в секундах (возможные значения 0 или больше 4). Применяется в сценариях, когда IPsec трафик проходит через узел с NAT. Записи в таблице трансляций NAT активны в течение ограниченного времени. Если за этот промежуток времени не было трафика по VPN туннелю, записи в таблице трансляций на узле с NAT будут удалены и трафик по VPN туннелю в дальнейшем не сможет проходить. С помощью функции NAT keepalive VPN-сервер, находящийся за шлюзом NAT, периодически отправляет пакеты keepalive в сторону peer-узла для поддержания сесси NAT активной. 

phase2-security

Алгоритмы аутентификации и шифрования.

Для указания алгоритмов аутентификации и шифрования:

Доступны:

• auth-alg: выбор алгоритма аутентификации.

  • MD5.

  • SHA1.

  • SHA256.

  • SHA384.

  • SHA512.

• encrypt-alg: выбор алгоритма шифрования.

  • DES.

  • 3DES.

  • AES128.

  • AES192.

  • AES256.