Задача

Организовать соединение между агентами аутентификации, установленными в разных сегментах сети, и сервером UserGate в кластере отказоустойчивости Актив-Пассив, используя один адрес назначения.

Решение

Для указания адреса интерфейса UserGate, на который приходят запросы агента аутентификации для Windows, используется параметр "ServerIP". NGFW принимает пакет только в том случае, если указанный в настройках агента адрес назначения ("ServerIP") совпадает с адресом интерфейса, куда пакет пришел; если IP-адрес принадлежит другому интерфейсу NGFW, то пакет будет отброшен.

Для отправки пакетов со всех интерфейсов в один адрес назначения, принадлежащий одному интерфейсу NGFW, необходимо настроить правила DNAT.

Адрес назначения меняется правилом DNAT по адресу источника (для каждой локальной подсети в адрес своего интерфейса). "ServerIP" должен быть виртуальный, поэтому интерфейсы узлов должны быть в разных зонах (узлы разные, на одном сегменте сети одна зона). Необходимо настроить по 2 правила DNAT для каждой сети, соответственно во всех других правилах нужно будет указать по две зоны.

Для того чтобы  использовать один адрес назначения для разных подсетей, необходимо произвести следующие настройки:

1. Перейдите в раздел Сеть ➜  Зоны и создайте разные зоны для подсетей с пользователями. 

2. Перейдите в раздел Сеть ➜ Интерфейсы, установите корректные IP-адреса, соответствующие вашим сетям, и назначьте зоны интерфейсам.

3. Перейдите в раздел Политики сети ➜ NAT и маршрутизация. Поменяйте адрес назначения правилом DNAT по адресу источника (для каждой локальной подсети в адрес своего интерфейса). Адрес должен быть не виртуальным, поэтому интерфейсы узлов должны быть в разных зонах.

Создайте правило DNAT согласно инструкции, подробнее в разделе Политики сети. 

4. Перейдите в раздел Политики сети ➜ Межсетевой экран,  в случае если пользователям локальных подсетей требуется в выход в интернет, создайте правило межсетевого экрана указав зоны, присвоенные подсетям.

5. Установите агент аутентификации согласно инструкции  Агент аутентификации для Windows. 

6. Перейдите в раздел Журналы и отчеты ➜ Журнал трафика. В окне журнала будут отражены активные соединения между ПК и NGFW и записи об аутентификации пользователей.

В случае использования кластера отказоустойчивости Актив-Актив: адрес назначения меняется правилом DNAT по адресу источника (для каждой локальной подсети в адрес своего интерфейса), но адрес должен быть не виртуальный, а физический, поэтому интерфейсы узлов должны быть в разных зонах (у каждого интерфейса своя зона). Должно быть создано по два правила DNAT для каждой сети, соответственно во всех других правилах нужно будет указать по две зоны.