База знаний

База Знаний

Быстрый старт

UserGate 6.x

NGFW 6.1.x Рекомендуемые решения

...

Конфигурирование

Удаленный доступ

Настройка Remote Access VPN на ОС Linux

Настройка VPN

Настройка Site-to-Site VPN между UserGate и Cisco

Настройка роутера MikroTik для установки VPN-соеди...

Создание отказоустойчивого Site-to-Site VPN-соедин...

Настройка VPN-соединения между UserGate и FortiGat...

Настройка VPN для удалённого доступа клиентов (Rem...

Настройка GRE-туннеля

Настройка GRE over IPsec с OSPF

Настройка GRE over IPsec между UserGate и Cisco

Настройка IPsec over GRE с OSPF

Настройка IPsec VPN-туннеля между UserGate и Linux...

Настройка IPsec туннеля между S-Terra Gate и UserG...

Настройка VPN туннеля между UserGate и NSX Edge

VPN для защищенного соединения офисов (Site-to-Sit...

Настройка VPN туннеля между UserGate NGFW и CheckP...

Настройка VPN туннеля между UserGate NGFW и Cisco ...

Особенности настройки Site-to-Site VPN в конфигура...

Настройка VPN с передачей маршрутов по OSPF для св...

Использование двухфакторной аутентификации через К...

Настройка сети

Авторизация

Взаимодействие со сторонними системами

Установка и обновление

Публикация ресурсов с помощью UserGate

Устранение неполадок

UserGate 7.x Рекомендуемые решения

Документация

Описание версий

Аппаратные платформы

Часто задаваемые вопросы

Настройка VPN

ID статьи: 39

Последнее обновление: 22 дек, 2022

KnowledgeBase:

Product: UserGate NGFW

Version: 6.1.8, 6.1.9

UserGate позволяет создавать VPN-подключения двух типов:

Remote access VPN – режим подключения, обеспечивающий доступ в сеть предприятия удалённым пользователям. В этом случае UserGate выступает в качестве сервера, а пользователи других устройств - клиентов VPN.
Site-to-Site VPN – VPN для защищённого объединения офисов в одну общую сеть. В этом случае один UserGate выступает в качестве сервера, а другой - VPN-клиента.

Рассмотрим настройку серверных правил при создании на UserGate одновременно двух VPN-подключений: Remote access VPN и Site-to-Site VPN. При настройке Site-to-Site VPN настраиваемый Usergate выступает в качестве сервера. С настройкой VPN-подключений более подробно можно ознакомиться в UserGate 6. Руководство администратора.

Примечание Если при настройке в свойствах серверных правил была указана одинаковая зона, то при попытке подключения на разные VPN-сервера будет срабатывать только первое (верхнее) правило, даже если в правилах были указаны разные пользователи. Такое происходит по причине того, что UserGate изначально не знает, какое правило необходимо применить для обработки запроса на подключение, потому что пользователя узнаёт в процессе установки соединения на этапе авторизации.

В таком случае нужно уточнить серверные правила. Уточнение возможно сделать по адресу/зоне источника или по адресу назначения.

По адресу источника. Обычно Site-to-Site VPN настраивается между удалёнными офисами, роутеры которых имеют белые статические IP-адреса. Поэтому в серверном правиле для Site-to-Site VPN-подключения во вкладке Источник необходимо добавить IP-адрес стороны, с которой происходит подключение.

Для уточнения списка IP-адресов источника необходимо:

В разделе Библиотеки ➜ IP-адреса создать группу.

В созданную группу добавить нужные IP-адреса.

Создать список IP-адресов источников также можно при настройке серверных правил во вкладке Источник с использованием кнопки Создать и добавить новый объект.

Т.к. правила выполняются по очереди сверху вниз, то данное правило необходимо поместить выше правил, в которых в качестве источника указана только зона Untrusted. Благодаря такому уточнению UserGate поймет, что VPN-соединения из зоны Untrusted от указанных IP-адресов должно происходить по правилу Site-to-Site VPN, а все другие соединения, например подключения удалённых сотрудников, будут обрабатываться следующим правилом.

Можно сделать и наоборот: указать адреса, с которых будут происходить подключения удалённых пользователей (Remote Access VPN), если они известны.

По зоне источника. Если для выхода во внешнюю сеть используются несколько интерфейсов, то в свойствах интерфейсов в разделе Сеть ➜ Интерфейсы во вкладке Общие им необходимо назначить разные зоны.

Далее в свойствах серверных правил во вкладке Источник, необходимо выбрать зону, из которой будет происходить подключение.

По адресу назначения. Если на внешнем интерфейсе настроены 2 и более IP-адресов, то возможно уточнение серверных правил по адресу назначения (вкладка Назначение) - указывается один из IP-адресов интерфейса, по которому должно происходить соединение.