Параметр	Значение
Enabled	True
PFS	False
Local ID и Local Endpoint	178.20.233.46
Local Subnets	192.168.1.0/24
Peer ID и Peer Endpoint	91.107.67.230
Peer Subnets	172.21.10.0/24
Encryption Algorithm	AES256
Authentication	PSK
Pre-Shared Key	**********
Diffie-Hellman Group	DH14
Digest Algorithm	SHA-256
IKE Option	IKEv1
Session Type	Policy Based Session

Настройка на стороне UserGate

На стороне UserGate необходимо изменить базовые настройки фаз IPsec, поскольку данные параметры зашиты в NSX Edge и не подлежат изменению.

Параметр	Значение
ikelifetime	28800s
type	tunnel
lifetime	3600s
dpddelay	30
dpdaction	restart

Порядок настройки VPN соединения на стороне UserGate следующий:

Разрешить сервис VPN на зоне, через которую происходит соединение.
Создать или использовать созданный по умолчанию туннельный интерфейс.

Во вкладке Сеть настроек VPN-адаптера указать статический IP-адрес туннельного VPN-интерфейса, используемого в правиле VPN; IP-адрес может быть любым при условии, что он не будет пересекаться с адресами других подсетей, с любой маской, за исключением маски с префиксом /32.
Разрешить прохождение трафика между зонами правилом межсетевого экранами (из зоны, которой принадлежит VPN-интерфейс, в зоны Trusted и Untrusted).

Создать профиль безопасности VPN в разделе VPN ➜ Профили безопасности VPN:

В разделе VPN ➜ Клиентские правила нужно создать правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес внешнего интерфейса NSX Edge, через который происходит соединение) и протокол VPN: IPsec-туннель. Указываем локальные сети со стороны UserGate и NSX Edge, трафик которых должен шифроваться данным туннелем:

Создание правила Межсетевого экрана:

Создание маршрута в локальную сеть за NSX Edge:

ПримечаниеПри наличии нескольких сетей защищаемых NSX Edge и UserGate NGFW, следует создавать маршруты для каждой из них. Плохой идеей будет создавать VPN тунель для каждой из таких сетей.