В UserGate NGFW версии 7.5.0 была переработана логика построения VPN-правил. Теперь правила реализованы в виде гибкой модульной структуры, основанной на новых настраиваемых объектах. Подробнее о структуре правил VPN — в разделе «Настройка VPN (версия 7.5.0 и выше)».

При обновлении UserGate NGFW до версии 7.5.x с рекомендованных предыдущих версий выполняется автоматическая конвертация существующих VPN-правил в новый формат.

В данной статье рассматриваются особенности конвертации VPN-правил для различных сценариев использования.

Увеличение количества правил после конвертации

В процессе конвертации количество объектов настройки VPN на обновленном узле может увеличиться по сравнению с исходной конфигурацией. Это связано с тем, что одно правило старого формата в ряде случаев преобразуется в несколько объектов нового формата.

Для протоколов L2TP/IPsec и IPsec (IKEv2) отдельные серверные правила могут быть разделены на несколько объектов настройки VPN — в зависимости от типа подключения или используемого метода аутентификации.

Например:

Если в старой модели был настроен серверный профиль безопасности с протоколом IPsec (IKEv2), а параметр Режим аутентификации имел значение Любой, при конвертации автоматически будут созданы два отдельных правила аутентификации: с режимами PKI и AAA.
Если в старой модели использовался серверный профиль безопасности с протоколом L2TP/IPsec, при конвертации автоматически будут созданы отдельные правила аутентификации для каждого типа подключения: site-to-site и remote access.

После завершения конвертации рекомендуется проверить автоматически созданные правила и удалить избыточные объекты.

Конвертация правил site-to-site VPN с протоколом L2TP/IPsec

При планировании обновления до версии 7.5.x необходимо учитывать совместимость узлов с различными версиями программного обеспечения для организации VPN-подключений site-to-site по протоколу L2TP/IPsec.

Сценарий 1. Узел-инициатор VPN-подключения версии 7.5.0 и выше — VPN-сервер версии 7.5.0 и выше

После обновления узла-инициатора и VPN-сервера до версии 7.5.x для L2TP/IPsec-подключений необходимо вручную настроить параметры Тип идентификации и Значение идентификации для обеих сторон соединения — инициатора и VPN-сервера (ответчика).

Параметры указываются:

в правиле аутентификации VPN-сервера (Настройки ➜ VPN-сервер ➜ Правила аутентификации);
в свойствах клиентского подключения (Настройки ➜ VPN site-to-site client ➜ Подключения клиента).

После настройки параметров необходимо убедиться в успешном установлении VPN-подключения.

Сценарий 2. Узел-инициатор VPN-подключения версии 7.5.0 и выше — VPN-сервер версии ниже 7.5.0

Подключение к VPN-серверу будет выполняться без дополнительной настройки параметров идентификации, поскольку в старой модели VPN-правил проверка этих параметров не выполняется.

Сценарий 3. Узел-инициатор VPN-подключения версии ниже 7.5.0 — VPN-сервер версии 7.5.0 и выше

Этот сценарий не поддерживается. VPN-подключение установлено не будет.

Конвертация правил c протоколом IPsec

Серверное правило VPN, созданное в старой модели с привязанным профилем безопасности с протоколом IPsec only/IKEv1 и без указания VPN-подсети (значение Не использовать в поле Сеть VPN), не будет сконвертировано.

Для успешной конвертации укажите в правиле VPN-подсеть перед обновлением устройства.