Шаг 2. Создать зону, в которую будут помещены подключаемые по VPN клиенты.

В разделе Сеть ➜ Зоны создать зону, в которую будут помещены подключаемые по VPN клиенты. Эту зону в дальнейшем можно использовать в политиках безопасности.

Рекомендуется использовать уже существующую по умолчанию зону VPN for remote access.

Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны.

В разделе Политики сети ➜ Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны.

По умолчанию в NGFW создано правило межсетевого экрана VPN for remote access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for remote access в зоны Trusted и Untrusted.

Шаг 6. Создать профиль безопасности VPN.

Профиль безопасности VPN определяет такие настройки, как общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей и использовать их для построения соединений с разными типами клиентов.

Для создания профиля необходимо перейти в раздел VPN ➜ Профили безопасности VPN, нажать кнопку Добавить и заполнить следующие поля:

• Название — название профиля безопасности.

• Описание — описание профиля.

• Версия протокола IKE (Internet Key Exchange). Протокол IKE используется для создания защищённого канала связи между двумя сетями. В NGFW используется IKEv1.

• Режим IKE: Основной или Агрессивный.

  Разница между режимами: в агрессивном режиме используется меньшее количество пакетов, что позволяет достичь более быстрого установления соединения. Агрессивный режим не передает некоторые параметры согласования, что требует предварительной идентичной настройки их на точках подключения.

  • Основной режим. В основном режиме происходит обмен шестью сообщениями. Во время первого обмена (сообщения 1 и 2) происходит согласование алгоритмов шифрования и аутентификации. Второй обмен (сообщения 3 и 4) предназначен для обмена ключами Диффи-Хеллмана (DH). После второго обмена служба IKE на каждом из устройств создаёт основной ключ, который будет использоваться для защиты проверки подлинности. Третий обмен (сообщения 5 и 6) предусматривает аутентификацию инициатора соединения и получателя (проверка подлинности); информация защищена алгоритмом шифрования, установленным ранее.

  • Агрессивный режим. В агрессивном режиме происходит 2 обмена, всего 3 сообщения. В первом сообщении инициатор передаёт информацию, соответствующую сообщениям 1 и 3 основного режима, т.е. информацию об алгоритмах шифрования и аутентификации и ключ DH. Второе сообщение предназначено для передачи получателем информации, соответствующей сообщениям 2 и 4 основного режима, а также аутентификации получателя. Третье сообщение аутентифицирует инициатора и подтверждает обмен.

• Аутентификация с пиром. Общий ключ — аутентификация устройств с использованием общего ключа (Pre-shared key).

• Общий ключ — строка, которая должна совпадать на сервере и клиенте для успешного подключения.

Далее необходимо задать параметры первой и второй фаз согласования.

Во время первой фазы происходит согласование защиты IKE. Аутентификация происходит на основе общего ключа в режиме, выбранном ранее. Необходимо указать следующие параметры:

• Время жизни ключа. По истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.

• Интервал проверки dead peer detection — для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Минимальный интервал проверки: 10 секунд; значение 0 отключает проверку.

• Неудачных попыток — максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным.

• Diffie-Hellman группы: выбор группы Диффи-Хеллмана, которая будет использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.

• Алгоритмы авторизации и шифрования. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка перетащите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже.

Во второй фазе осуществляется выбор способа защиты IPsec подключения. Необходимо указать:

• Время жизни ключа. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.

• Максимальный размер данных, шифруемых одним ключом. Время жизни ключа может быть задано в байтах. Если заданы оба значения (Время жизни ключа и Максимальный размер данных, шифруемых одним ключом), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии.

• Алгоритмы авторизации и шифрования. Алгоритмы используются в порядке, котором они отображены. Для изменения порядка перетащите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже.

По умолчанию в NGFW создан серверный профиль Remote access VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, то необходимо изменить общий ключ шифрования.

Для упрощения настройки соединения с устройствами других вендоров по умолчанию созданы дополнительные профили безопасности (Cisco compatible VPN profile — для работы с устройствами Cisco и Fortinet compatible VPN profile — для работы с устройствами Fortinet).

Шаг 8. Создать сеть VPN.

VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и — опционально — маршруты, которые будут переданы клиентам для применения, если клиенты поддерживают применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов.

Для создания туннеля VPN перейдите в раздел VPN ➜ Сети VPN, нажмите кнопку Добавить и заполните следующие поля:

• Название — название сети.

• Описание — описание сети.

• Диапазон IP-адресов, которые будут использованы клиентами и сервером. Исключите из диапазона адреса, которые назначены VPN-интерфейсу, используемому совместно с данной сетью. Не указывайте здесь адреса сети и широковещательный адрес.

• Укажите DNS-серверы, которые будут переданы клиенту, или отметьте чекбокс Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует NGFW.

  Важно! Можно указать не более двух DNS-серверов.

• Укажите маршруты, передаваемые клиенту в виде бесклассовой адресации (CIDR).

В NGFW создана сеть Remote access VPN network с рекомендуемыми настройками.

Шаг 10. Настроить VPN на клиентском компьютере.

Для настройки клиентского подключения к VPN на компьютере пользователя необходимо указать следующие параметры:

• Используйте тип подключения VPN — L2TP over IPsec.

• В качестве IP-адреса VPN-сервера укажите IP-адрес интерфейса зоны, указанной на шаге 1.

• В качестве общего ключа (pre-shared key, shared secret) используйте общий ключ, указанный вами на шаге 6.

• Укажите протокол PAP для авторизации пользователя.

• В качестве имени пользователя укажите имя учетной записи пользователя в формате username@domain, например, testuser@testdomain.loc

• В настройках VPN-подключения отключите использование основного шлюза в удалённой сети.

Операционные системы Windows версий 10 и выше, по умолчанию, не поддерживают L2TP-подключения к серверам, которые находятся за вышестоящими маршрутизаторами с функционалом NAT. Для возможности установки соединения необходимо внести следующие правки в реестр ОС Windows:

• в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent создать параметр DWORD (32 бита) с названием AssumeUDPEncapsulationContextOnSendRule и значением 2;

• в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters изменить значение параметра AllowL2TPWeakCrypto на 1.

Для получения более подробной информации обратитесь к статье Microsoft (https://docs.microsoft.com/en-US/troubleshoot/windows-server/networking/configure-l2tp-IPsec-server-behind-nat-t-device).

Шаг 2. Разрешить сервис VPN на зоне, к которой будут подключаться VPN-клиенты.

В разделе Сеть ➜ Зоны отредактировать параметры контроля доступа для той зоны, к которой будут подключаться VPN-клиенты, разрешить сервис VPN. Как правило, это зона Untrusted.

Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны.

В разделе Политики сети ➜ Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны.

По умолчанию в NGFW создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Site-to-Site в Trusted и Untrusted зоны. Правило выключено по умолчанию.

Чтобы трафик передавался клиенту из нужной зоны сервера через VPN-туннель, необходимо создать разрешающее правило межсетевого экрана, указав нужную зону источника и зону назначения VPN for Site-to-Site.

Шаг 6. Создать профиль безопасности VPN.

Профиль безопасности определяет такие настройки, как общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов.

Для создания профиля безопасности необходимо перейти в раздел VPN ➜ Профили безопасности, нажать кнопку Добавить и заполнить следующие поля:

• Название — название профиля безопасности.

• Описание — описание профиля.

• Версия протокола IKE (Internet Key Exchange). Протокол IKE используется для создания защищённого канала связи между двумя сетями. В NGFW используется IKEv1.

• Режим IKE: Основной или Агрессивный.

  Разница между режимами: в агрессивном режиме используется меньшее количество пакетов, что позволяет достичь более быстрого установления соединения. Агрессивный режим не передает некоторые параметры согласования, что требует предварительной идентичной настройки их на точках подключения.

  • Основной режим. В основном режиме происходит обмен шестью сообщениями. Во время первого обмена (сообщения 1 и 2) происходит согласование алгоритмов шифрования и аутентификации. Второй обмен (сообщения 3 и 4) предназначен для обмена ключами Диффи-Хеллмана (DH). После второго обмена служба IKE на каждом из устройств создаёт основной ключ, который будет использоваться для защиты проверки подлинности. Третий обмен (сообщения 5 и 6) предусматривает аутентификацию инициатора соединения и получателя (проверка подлинности); информация защищена алгоритмом шифрования, установленным ранее.

  • Агрессивный режим. В агрессивном режиме происходит 2 обмена, всего 3 сообщения. В первом сообщении инициатор передаёт информацию, соответствующую сообщениям 1 и 3 основного режима, т.е. информацию об алгоритмах шифрования и аутентификации и ключ DH. Второе сообщение предназначено для передачи получателем информации, соответствующей сообщениям 2 и 4 основного режима, а также аутентификации получателя. Третье сообщение аутентифицирует инициатора и подтверждает обмен.

• Аутентификация с пиром. Общий ключ — аутентификация устройств с использованием общего ключа (Pre-shared key).

• Общий ключ — строка, которая должна совпадать на сервере и клиенте для успешного подключения.

Далее необходимо задать параметры первой и второй фаз согласования.

Во время первой фазы происходит согласование защиты IKE. Аутентификация происходит на основе общего ключа в режиме, выбранном ранее. Необходимо указать следующие параметры:

• Время жизни ключа. По истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.

• Интервал проверки dead peer detection — для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Минимальный интервал: 10 секунд; значение 0 отключает проверку.

• Неудачных попыток — максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным.

• Diffie-Hellman группы: выбор группы Диффи-Хеллмана, которая будет использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.

• Алгоритмы авторизации и шифрования. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка перетащите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже.

Во второй фазе осуществляется выбор способа защиты IPsec подключения. Необходимо указать:

• Время жизни ключа. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.

• Максимальный размер данных, шифруемых одним ключом. Время жизни ключа может быть задано в байтах. Если заданы оба значения (Время жизни ключа и Максимальный размер данных, шифруемых одним ключом), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии.

• Алгоритмы авторизации и шифрования. Алгоритмы используются в порядке, котором они отображены. Для изменения порядка перетащите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже.

По умолчанию в NGFW создан профиль безопасности Site-to-Site VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, необходимо изменить общий ключ шифрования.

Шаг 8. Создать сеть VPN.

VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и — опционально — маршруты, которые будут переданы клиентам для применения, если клиенты поддерживают применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов.

Для создания туннеля VPN перейдите в раздел VPN ➜ Сети VPN, нажмите кнопку Добавить и заполните следующие поля:

• Название — название сети.

• Описание — описание сети.

• Диапазон IP-адресов, которые будут использованы клиентами и сервером. Исключите из диапазона адреса, которые назначены VPN-интерфейсу, используемому совместно с данной сетью. Не указывайте здесь адреса сети и широковещательный адрес.

• Укажите DNS-серверы, которые будут переданы клиенту, или отметьте чекбокс Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует NGFW.

  Важно! Можно указать не более двух DNS-серверов.

• Укажите маршруты, передаваемые клиенту в виде бесклассовой адресации (CIDR).

В NGFW создана сеть Site-to-Site VPN network с настройками по умолчанию. Для использования этой сети в ней необходимо добавить маршруты, передаваемые на сервер-клиент.

Чтобы VPN-сервер узнал о подсетях клиента, необходимо прописать статический маршрут на сервере, указав в качестве адреса назначения адрес VPN-туннеля, используемый на сервере-клиенте.

Шаг 2. Создать разрешающее правило межсетевого экрана для трафика в созданную зону.

Создать разрешающее правило межсетевого экрана в разделе Политики сети ➜ Межсетевой экран.

По умолчанию в NGFW создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик между зонами VPN for Site-to-Site, Trusted и Untrusted.

Чтобы трафик передавался на сервер из нужной зоны сервера-клиента через VPN-туннель, необходимо создать разрешающее правило межсетевого экрана, указав нужную зону источника и зону назначения VPN for Site-to-Site.

Шаг 4. Создать VPN-интерфейс.

VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах NGFW, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

В разделе Сеть ➜ Интерфейсы нажмите кнопку Добавить и выберите Добавить VPN. Задайте следующие параметры:

• Название — название интерфейса, должно быть в виде tunnelN, где N — это порядковый номер VPN-интерфейса.

• Описание — описание интерфейса.

• Зона — зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к NGFW, будут также помещены в эту зону. Укажите зону, созданную на шаге 1.

• Профиль Netflow — профиль Netflow, используемый для данного интерфейса. Не обязательный параметр.

• Режим — тип присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Для использования интерфейса в качестве клиентского VPN, необходимо использовать режим получения адреса — Динамический.

• MTU — размер MTU для выбранного интерфейса.

По умолчанию в системе уже создан VPN-интерфейс tunnel3, который рекомендовано использовать для клиентского подключения Site-to-Site VPN.

Шаг 2. Настройка Site-to-Site VPN-соединения.

Подробнее о настройке Site-to-Site VPN-соединения читайте в разделе VPN для защищенного соединения офисов (Site-to-Site VPN).

Важно! При настройке клиентского правила VPN в качестве адреса сервера необходимо указать IP-адрес туннельного интерфейса GRE.