ike

Протокол подключения. Может использоваться в сценариях site-to-site и remote access VPN

dtls

Протокол подключения. Используется только при подключении конечных устройств с помощью UserGate Client в сценарии remote access VPN

name

Название правила подключения

description

Описание правила подключения

protocol

Версия протокола IKE:

• ikev1;

• ikev2

ike-mode

Режим работы протокола IKEv1:

• main;

• aggressive

psk

Значение общего ключа (pre-shared key)

src-zones

Зона источника трафика

src-ips

Адрес источника трафика (инициатора соединения):

• ip — список IP-адресов;

• url — список доменов;

• geoip — GeoIP

dst-ips

Адрес назначения трафика (интерфейса, на который будут приходить подключения):

• ip — список IP-адресов;

• url — список доменов

key-lifetime

Время жизни ключа. По истечении этого времени происходит повторная аутентификация и согласование настроек фазы 1:

• num+s|m|h, например 1s, 2m, 3h

dpd-state

Режимы работы механизма Dead peer detection (DPD):

• off — механизм отключен. DPD-запросы не отсылаются.

• always — DPD-запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в параметре dpd-max-failures. Если ответ пришел, работа механизма возвращается к изначальному интервалу отправки DPD запросов. Если ответ не пришел, соединение завершается.

• idle — DPD-запросы не отсылаются, пока есть ESP-трафик через созданный канал. Если в течение двойного указанного интервала времени нет ни одного пакета, происходит отсылка DPD-запроса. При ответе новый DPD-запрос будет отправлен снова через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном указанном в параметре dpd-max-failures. Если нет ни одного ответа, соединение завершается

dpd-interval

Интервал отправки дополнительных запросов DPD. Указывается в секундах

dpd-max-failures

Количество повторов отправки DPD-запросов

dh-groups

Группы Диффи-Хеллмана, которые будут использоваться для обмена ключами

security

Алгоритмы аутентификации и шифрования

dtls-security

Алгоритмы аутентификации и шифрования для использования с протоколом DTLS.

ikev2

Протокол установления защищенного соединения IPsec IKEv2

ipsec

Протокол установления защищенного соединения IPsec IKEv1. Используется только в сценарии site-to-site

l2tp-ipsec

Протокол установления защищенного соединения L2TP/IPsec IKEv1

dtls

Протокол установления защищенного соединения DTLS. Используется только в сценарии remote access

name

Название правила аутентификации

description

Описание правила аутентификации

auth-ptofile

Профиль аутентификации для пользователей VPN

connection-rules

Выбор созданного ранее правила подключения

initiator-type

Выбор параметра идентификации узла-инициатора соединения:

• ipv4;

• fqdn

initiator-value

Значение параметра идентификации узла-инициатора:

• <ip> — например, 192.168.0.1;

• <domain> — например, example.com

responder-type

Выбор параметра идентификации узла-ответчика:

• ipv4;

• fqdn

responder-value

Значение параметра идентификации узла-ответчика:

• <ip> — например, 192.168.0.1;

• <domain> — например, example.com

auth-mode

Выбор режима аутентификации:

• psk — аутентификации с помощью общего ключа (pre-shared key).

• pki — аутентификации с помощью x.509 сертификатов.

• aaa — аутентификации с помощью сервера AAA (логин и пароль). Только для сценария remote access

psk

Значение общего ключа (pre-shared key) для сценария site-to-site с IKEv2

certificate

Сертификат сервера.

Сертификат используется для аутентификации сервера при установлении VPN-соединения.  

client-certificate-profile

Профиль сертификата VPN-клиента.

Профиль клиентского сертификата предназначен для получения имени пользователя из соответствующего атрибута в сертификате клиента, проверки иерархии доверия и подлинности сертификата по спискам отозванных сертификатов.

Подробнее о создании профиля клиентского сертификата — в разделе «Настройка профилей клиентских сертификатов»

key-lifetime

Время жизни ключа. По истечении этого времени происходит повторная аутентификация и согласование настроек фазы 2:

• num+s|m|h, например 1s, 2m, 3h

key-lifesize-enabled

Включение параметра указания максимального размера данных, шифруемых одним ключом:

• on;

• off

key-lifesize

Максимальный размер данных, шифруемых одним ключом:

• num+KB|MB|GB, например 1KB, 2MB, 3GB

nat-keepalive

NAT keepalive применяется в сценариях, когда IPsec-трафик проходит через узел с NAT. Записи в таблице трансляций NAT активны в течение ограниченного времени. Если за этот промежуток времени не было трафика по VPN-туннелю, записи в таблице трансляций на узле с NAT будут удалены и трафик по VPN-туннелю в дальнейшем не сможет проходить. С помощью функции NAT keepalive VPN-сервер, находящийся за шлюзом NAT, периодически отправляет пакеты keepalive в сторону VPN-клиентов для поддержания сессии NAT активной. Необходимо указать интервал отправки пакетов keepalive

local-networks

remote-networks

Адреса локальных и удаленных подсетей. Используются для определения селекторов трафика при организации защищенного канала передачи данных IPsec. В ходе фазы 2 стороны туннеля обмениваются своими предложениями по селекторам трафика. Для успешного установления туннеля сети в селекторах трафика от обеих сторон соединения должны совпасть или пересечься. Если нет совпадения хотя бы по одной из сторон, фаза 2 завершится ошибкой соединения.

Адреса указываются в формате [ <ip/mask> <ip/mask> ... ]

dont-check-initiator-annonce

При активации этого параметра VPN-сервер не будет проверять подсети инициатора соединения в селекторе трафика при организации защищенного канала передачи данных. Функция удобна для подключения множества клиентов (инициаторов) по одному правилу

dynamic-routing

Разрешить для протокола IKEv2 работу протоколов динамической маршрутизации через туннель

security

Указание алгоритмов аутентификации и шифрования канала передачи данных

OK

Действие для создания правила с помощью UPL

enabled

Включение или отключение правила:

• enabled(yes) или enabled(true).

• enabled(no) или enabled(false).

Если при создании правила не указывать, то правило будет включено после создания

name

Название правила.

Например: name("VPN rule example")

desc

Описание правила.

Например: desc("VPN rule example configured in CLI")

auth_rules

Выбор созданного ранее правила аутентификации.

Например: auth_rules("Authentication rule 1")

interface

VPN-интерфейс, который будет использоваться для подключения клиентов VPN.

Например, чтобы указать интерфейс tunnel1: interface(tunnel1).

ip_range

Диапазон IP-адресов туннеля, которые будут использованы VPN-клиентами.

Например: ip_range("172.30.255.2-172.30.255.5")

mask

Маска сети VPN-туннеля.

Например: mask(255.255.255.0)

vpn_routes

Маршруты, передаваемые узлу-инициатору при установлении VPN-туннеля.

Например: vpn_routes(10.10.0.0/24)

use_system_dns

Использование системных DNS-серверов для VPN-клиентов.

Например: use_system_dns(true) или use_system_dns(false)

dns_server

Адрес DNS-сервера.

Например: dns_server(10.10.0.100)

user

Пользователи и группы пользователей, которым разрешено подключение по VPN.

Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор. Подробнее о настройке LDAP-коннектора через CLI — в разделе «Настройка LDAP-коннектора».

Пример добавления локального пользователя (local_user) и группы (Local Group), пользователя (example.local\AD_user) и группы LDAP (AD group):

user = (local_user, "CN=Local Group,DC=LOCAL", "example.loc\\AD_user", "CN=AD group,OU=Example,DC=example,DC=loc")

Заранее был настроен домен Active Directory example.loc. При добавлении пользователей и групп LDAP можно указать список путей на сервере, начиная с которых система будет осуществлять поиск пользователей и групп.

type

Сценарий установления VPN-соединения.

Возможные значения:

• type(s2s_l2tp) — сценарий site-to-site, протокол L2TP/IPsec;

• type(s2s_ipsec) — сценарий site-to-site, протокол IPsec;

• type(ra_ep) — сценарий remote access, конечное устройство с установленным UserGate Client;

• type(ra_native) — сценарий remote access, конечное устройство со встроенным VPN-клиентом операционной системы

include_routes

Для каждого включенного адреса в таблице маршрутизации конечного устройства добавляется маршрут вида n.n.n.n/c ➜ VPN-шлюз с гарантированно минимальной метрикой 2.

Например: include_routes(10.10.10.10/32)

exclude_routes

При добавлении IP-адресов в список исключаемых, в таблице маршрутизации конечного устройства будет добавлен маршрут по умолчанию вида 0.0.0.0/0 ➜ VPN-шлюз. Имеющийся ранее маршрут по умолчанию будет удален из таблицы. Для каждого исключаемого адреса добавляется свой маршрут через интерфейс с лучшей метрикой в обход VPN.

Например: exclude_routes(10.10.10.10/32)

disable_lan

Если включен этот параметр (disable_lan(true)), то для каждой подсети локального интерфейса создается копия маршрута через VPN-шлюз с гарантированно минимальной метрикой 2. Такие же копии маршрутов создаются для всех адресов, которые имеют тип local interface

tunnel_all

Если включен этот параметр (tunnel_all(true)), в таблицу маршрутизации конечного устройства будет добавлен маршрут по умолчанию (default route) вида 0.0.0.0/0 ➜ VPN-шлюз. Имеющийся ранее маршрут по умолчанию будет удален из таблицы маршрутизации конечного устройства

name

Название подключения

description

Описание подключения

ike-mode

Режим работы IKEv1:

• main;

• aggressive

psk

Значение общего ключа (pre-shared key)

initiator-type

Параметр идентификации узла-инициатора:

• ipv4;

• fqdn

initiator-value

Значение параметра идентификации узла-инициатора:

• <ip> — например, 192.168.0.1;

• <domain> — например, example.com

responder-type

Параметр идентификации узла-ответчика:

• ipv4;

• fqdn

responder-value

Значение параметра идентификации узла-ответчика:

• <ip> — например, 192.168.0.1;

• <domain> — например, example.com

authentication-login

Логин для аутентификации узла-инициатора на узле-ответчике в сценарии c протоколом IPsec/L2TP

authentication-password

Пароль для аутентификации узла-инициатора на узле-ответчике в сценарии c протоколом IPsec/L2TP

check-ip

Параметр check_ip определяет, будет ли узел-инициатор соединения запрашивать проверку IP-адреса у VPN-сервера. VPN-сервер может принять предложенный IP-адрес или назначить другой.

Если параметр разрешен, узел-инициатор соединения добавляет параметр Payload Configuration в сообщение IKE_AUTH и передает в поле INTERNAL_IP4_ADDRESS значение, зависящее от типа туннельного интерфейса:

• Для туннельного интерфейса с динамическим назначением IP-адреса в поле INTERNAL_IP4_ADDRESS передается значение 0.0.0.0/0, что является запросом на динамическое выделение IP-адреса. VPN-сервер, получив значение 0.0.0.0/0, выделяет IP-адрес из собственного пула, заданного в параметрах соединения на сервере.
• Для туннельного интерфейса со статическим IP-адресом в поле INTERNAL_IP4_ADDRESS передается его IP-адрес. VPN-сервер использует это значение для проверки соответствия политике подключения.

Если параметр не разрешен, механизм согласования сетевых параметров для проверки IP-адреса туннельного интерфейса на VPN-сервере не применяется. Значение IP-адреса определяется настройками туннельного интерфейса на узле-инициаторе.

auth-mode

Режим аутентификации:

• pki — режим аутентификации с помощью сертификата;

• psk — режим аутентификации с помощью общего ключа

certificate

Сертификат узла-инициатора (клиента)

phase1-key-lifetime

Время жизни ключа. По истечении этого времени происходит повторная аутентификация и согласование настроек фазы 1:

• num+s|m|h, например 1s, 2m, 3h

dpd-state

Режимы работы механизма Dead peer detection (DPD):

• off — механизм отключен. DPD-запросы не отсылаются.

• always — DPD-запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном в параметре dpd-max-failures. Если ответ пришел, работа механизма возвращается к изначальному интервалу отправки DPD запросов. Если ответ не пришел, соединение завершается.

• idle — DPD-запросы не отсылаются, пока есть ESP-трафик через созданный канал. Если в течение двойного указанного интервала времени нет ни одного пакета, происходит отсылка DPD-запроса. При ответе новый DPD-запрос будет отправлен снова через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек. отсылаются дополнительные запросы в количестве, указанном указанном в параметре dpd-max-failures. Если нет ни одного ответа, соединение завершается

dpd-interval

Интервал отсылки дополнительных запросов DPD. Указывается в секундах

dpd-max-failures

Количество повторов отправки DPD-запросов

dh-groups

Группы Диффи-Хеллмана, которые будут использоваться для обмена ключами

phase1-security

Алгоритмы аутентификации и шифрования для фазы 1

phase2-key-lifetime

Время жизни ключа. По истечении этого времени происходит повторная аутентификация и согласование настроек фазы 2:

• num+s|m|h, например 1s, 2m, 3h

key-lifesize-enabled

Включение параметра указания максимального размера данных, шифруемых одним ключом:

• on;

• off

key-lifesize

Максимальный размер данных, шифруемых одним ключом:

• num+KB|MB|GB, например 1KB, 2MB, 3GB

dynamic-routing

Разрешить работу протоколов динамической маршрутизации через туннель (для протокола IKEv2)

local-networks

remote-networks

Адреса локальных и удаленных подсетей. Используются для определения селекторов трафика при организации защищенного канала передачи данных IPsec. В ходе фазы 2 стороны туннеля обмениваются своими предложениями по селекторам трафика. Для успешного установления туннеля сети в селекторах трафика от обеих сторон соединения должны совпасть или пересечься. Если нет совпадения хотя бы по одной из сторон, фаза 2 завершится ошибкой соединения.

Адреса указываются в формате [ <ip/mask> <ip/mask> ... ]

phase2-security

Алгоритмы аутентификации и шифрования канала передачи данных (для фазы 2)

OK

Действие для создания правила с помощью UPL

enabled

Включение или отключение правила:

• enabled(yes) или enabled(true).

• enabled(no) или enabled(false).

Если при создании правила не указывать, то правило будет включено после создания

name

Название правила.

Например: name("VPN rule example")

desc

Описание правила.

Например: desc("VPN rule example configured in CLI")

connection

Название ранее созданного клиентского подключения.

Например: connection(Connection1)

interface

VPN-интерфейс, который будет использоваться для подключения.

Например, чтобы указать интерфейс tunnel3: interface(tunnel3)

server_address

Адрес VPN-сервера (IP-адрес или доменное имя).

Например: server_address("172.16.1.1")