В веб-консоли администратора в разделе Сеть ➜ Зоны отредактируйте параметры контроля доступа для зоны Untrusted. Необходимо разрешить сервис VPN в этой зоне. Подробнее о создании и настройках зон — в разделе документации Настройка зон.

Шаг 2. Создайте зону для VPN подключений.

В этом примере используется созданная по умолчанию зона VPN for Remote access. Подробнее о создании и настройках зон — в разделе документации Настройка зон.

Шаг 3. Настройте параметры аутентификации.

Примеры создания самоподписанных сертификатов приведены в Приложении. Импортируйте созданные сертификаты VPN-сервера и корневой сертификат.

В разделе UserGate ➜ Сертификаты нажмите Импортировать. В открывшемся окне укажите название сертификата и добавьте сгенерированные файлы сертификата VPN-сервера и его приватного ключа. В этом же разделе импортируйте корневой сертификат без указания приватного ключа:

Создайте профиль аутентификации для пользователей VPN. Подробнее о профилях аутентификации — в разделе руководства Профили аутентификации. Для этого примера был создан профиль, содержащий в качестве методов аутентификации RADIUS-сервер (rad16) и LDAP-коннектор (adtest1):

Настройка LDAP-коннектора:

Настройка RADIUS-сервера:

Шаг 4.Создайте профиль безопасности VPN.

В разделе VPN ➜ Серверные профили безопасности создайте профиль безопасности со следующими настройками:

в качестве протокола для создания защищённого канала укажите IKEv2;
тип идентификации в рассматриваемом примере можно не указывать;
укажите сертификат сервера, импортированный ранее на шаге 3;
в качестве режима аутентификации выберите AAA.

Далее необходимо задать параметры первой и второй фаз согласования защищённого соединения:

Шаг 5. Создайте VPN-интерфейс.

В этом примере используется созданный по умолчанию VPN-интерфейс tunnel1. Ключевые параметры этого интерфейса для примера создания защищённого VPN-соединения:

поставьте флажок включения интерфейса;
название интерфейса уже задано — tunnel1;
указана зона VPN for remote access, к которой будет относится данный интерфейс; все клиенты, подключившиеся по VPN к NGFW, будут помещены в эту зону;

при использовании интерфейса для приёма VPN-подключений необходимо использовать статический IP-адрес;
размер MTU в этом примере оставим по умолчанию;
статический IP-адрес туннельного интерфейса tunnel1: 172.30.250.1 c маской 255.255.255.0.

Шаг 6. Создайте сеть VPN.

В данном примере используется созданная по умолчанию сеть Remote access VPN network. Ключевые настройки этой сети для примера создания защищённого VPN-соединения:

диапазон IP-адресов, которые будут использованы клиентами; необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу NGFW (172.30.250.1), используемому совместно с данной сетью;
маска сети VPN.
оставьте флажок Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует NGFW.

В этом примере на вкладке Маршруты VPN добавлен список "1", включающий в себя адрес сети (15.0.0.0/24).

Шаг 7. Создайте серверное правило VPN.

Воспользуемся созданным по умолчанию серверным правилом Remote access VPN rule. Ключевые настройки правила для данного примера:

в качестве профиля безопасности VPN укажите серверный профиль безопасности, созданный ранее на шаге 4;
в качестве сети VPN укажите сеть, созданная ранее на шаге 6;
в качестве профиля аутентификации указан профиль, созданный ранее (см. шаг 3);
указан интерфейс VPN, созданный ранее на шаге 5.

Шаг 8. Контроль доступа к ресурсам.

Чтобы трафик мог ходить из созданной на шаге 2 зоны, необходимо создать правило NAT из этой зоны во все необходимые зоны. Правило создаётся в разделе Политики сети ➜ NAT и маршрутизация.

Для примера в веб-консоли администратора уже создано правило NAT from VPN for remote access to Trusted and Untrusted, разрешающее подмену IP-адресов из зоны VPN for remote access в зоны Trusted и Untrusted. По умолчанию оно не активно. Необходимо его включить.

При необходимости предоставления доступа пользователям VPN в определённые сегменты сети в разделе Политики сети ➜ Межсетевой экран необходимо создать правило межсетевого экрана, разрешающее трафик из созданной зоны в требуемые зоны.

Для примера в консоли администратора создано правило межсетевого экрана VPN for Remote Access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Remote Access в зоны Trusted и Untrusted. Правило выключено по умолчанию, его необходимо включить.

Настройка VPN-клиента

Общие настройки

В этом разделе рассматриваются настройки нативного клиента операционной системы Windows для удалённого VPN-подключения.

Для всех сценариев настроек VPN-клиента в этой статье необходимо импортировать сертификат корневого центра в раздел Доверенные корневые центры сертификации компьютера пользователя:

Сценарий настройки VPN-клиента с аутентификацией посредством метода EAP с MSCHAPv2 с логином и паролем

Для настройки VPN-клиента необходимо выполнить следующие шаги:

Шаг 1. Добавьте новое VPN-подключение на компьютере пользователя. Для этого:

1. Кликните правой кнопкой мыши по значку сетевого подключения на панели и выберите пункт Открыть "Параметры сети и Интернет".

2. В появившемся окне Параметры выберите пункт VPN, а затем нажмите на пункт Добавить VPN-подключение:

3. В окне Добавить VPN-подключение настройте параметры подключения:

В поле Поставщик услуг VPN выберите Windows (встроенные);
В поле Имя подключения укажите имя для этого подключения (EAP LOGIN);
В поле Имя или адрес сервера укажите адрес NGFW;
В поле Тип VPN выберите IKEv2;
В поле Тип данных для входа выберите Имя пользователя и пароль.

4. Нажмите Сохранить, чтобы сохранить настройки VPN-соединения.

Шаг 2. Настройте параметры созданного VPN-подключения на компьютере пользователя. Для этого:

1. В панели управления перейдите в раздел Сеть и Интернет и в дополнительных сетевых параметрах выберите пункт Настройки параметров адаптера:

2. Выберите только что созданное сетевое подключение EAP LOGIN и через меню правой кнопки мыши перейдите в свойства этого подключения. В открывшемся окне перейдите на вкладку Безопасность:

В поле Проверка подлинности выберите пункт Microsoft: защищённый пароль (EAP-MSCHAP v2) (шифрование включено).

3. Чтобы в туннель заворачивался не весь трафик, на вкладке Сеть откройте свойства IP версии 4 (TCP/IPv4):

Нажмите Дополнительно в настройках общих параметров IP:

Уберите флажок в поле Использовать основной шлюз в удалённой сети:

4. Сохраните настройки, нажав ОК.

Настройка VPN-клиента завершена.

Для установления VPN-соединения кликните по значку сетевого соединения в трее левой кнопкой мыши. Далее выберите соединение EAP LOGIN и нажмите Подключиться.

Проверка подключения

После установления VPN-соединения в веб-консоли администратора NGFW на вкладке Диагностика и мониторинг в разделе VPN появится индикация нового VPN-соединения:

В Журнале событий на вкладке Журналы и отчеты отобразится соответствующая запись:

На стороне удалённого Windows-компьютера добавится ppp-адаптер EAP LOGIN:

Появился маршрут в сеть 15.0.0.0/24, добавленный в настройках VPN-сети на сервере на Шаге 6:

IP-адрес в удалённой сети доступен:

Сценарий настройки VPN-клиента с аутентификацией посредством метода EAP-TLS

Для настройки VPN-клиента необходимо выполнить следующие шаги:

Шаг 1. Импортируйте ранее созданный пользовательский сертификат в хранилище сертификатов пользователя в личную папку:

Шаг 2. Добавьте новое VPN-подключение на компьютере пользователя. Для этого:

2. В появившемся окне Параметры выберите пункт VPN, а затем нажмите на пункт Добавить VPN-подключение:

3. В окне Добавить VPN-подключение настройте параметры подключения:

В поле Поставщик услуг VPN выберите Windows (встроенные);
В поле Имя подключения укажите имя для этого подключения (EAP-TLS);
В поле Имя или адрес сервера укажите адрес NGFW;
В поле Тип VPN выберите IKEv2;
В поле Тип данных для входа выберите Сертификат.

4. Нажмите кнопку Сохранить, чтобы сохранить настройки VPN-соединения.

Шаг 3. Настройте параметры созданного VPN-подключения на компьютере пользователя. Для этого:

2. Выберите только что созданное сетевое подключение EAP-TLS и через меню правой кнопки мыши перейдите в свойства этого подключения. В открывшемся окне перейдите во вкладку Безопасность:

В поле Проверка подлинности должен быть выбран пункт Microsoft: смарт-карта или иной сертификат (шифрование включено).

В свойствах проверки подлинности в разделе При подключении должен быть выбран пункт Использовать сертификат на этом компьютере:

3. Чтобы в туннель заворачивался не весь трафик, на вкладке Сеть откройте свойства IP версии 4 (TCP/IPv4):

Нажмите Дополнительно в настройках общих параметров IP:

Уберите флажок в поле Использовать основной шлюз в удалённой сети:

4. Сохраните настройки, нажав ОК.

Настройка VPN-клиента завершена.

Для установления VPN-соединения кликните по значку сетевого соединения в трее левой кнопкой мыши. Далее выберите соединение EAP-TLS и нажмите Подключиться.

При наличии нескольких сертификатов пользователя перед установлением соединения будет предложен выбор нужного сертификата.

Проверка подключения

В Журнале событий на вкладке Журналы и отчеты отобразится соответствующая запись:

На стороне удалённого Windows-компьютера добавится ppp-адаптер EAP-TLS:

Добавился маршрут в сеть 15.0.0.0/24, добавленный в настройках VPN-сети на сервере на шаге 6:

IP-адрес в удалённой сети доступен:

Сценарий настройки VPN-клиента с аутентификацией посредством метода PEAP с сертификатом

Для настройки VPN-клиента необходимо выполнить следующие шаги:

Шаг 2. Добавьте новое VPN-подключение на компьютере пользователя. Для этого:

2. В появившемся окне Параметры выберите пункт VPN, а затем нажмите на пункт Добавить VPN-подключение:

3. В окне Добавить VPN-подключение настройте параметры подключения:

В поле Поставщик услуг VPN выберите Windows (встроенные);
В поле Имя подключения укажите имя для этого подключения (PEAP CERT);
В поле Имя или адрес сервера укажите адрес NGFW;
В поле Тип VPN выберите IKEv2;

4. Нажмите кнопку Сохранить, чтобы сохранить настройки VPN-соединения.

Шаг 3. Настройте параметры созданного VPN-подключения на компьютере пользователя. Для этого:

1. В панели управления перейдите в раздел Сеть и Интернет и в дополнительных сетевых параметрах выберите пункт: Настройки параметров адаптера:

2. Выберите только что созданное сетевое подключение PEAP CERT и через меню правой кнопки мыши перейдите в свойства этого подключения. В открывшемся окне перейдите на вкладку Безопасность:

В поле Проверка подлинности выберите пункт: Microsoft: защищенные EAP (PEAP) (шифрование включено).

В свойствах проверки подлинности в поле выбора метода проверки необходимо выбрать: Cмарт-карта или иной сертификат. Флажки Подтверждать удостоверение сервера с помощью проверки сертификата и Включить быстрое переподключение могут быть установлены опционально:

В настройках метода проверки подлинности должен быть активен пункт: Использовать сертификат на этом компьютере.

Опционально может быть активировано поле Подтверждать удостоверение сервера с помощью проверки сертификата:

3. Чтобы в туннель заворачивался не весь трафик, на вкладке Сеть откройте свойства IP версии 4 (TCP/IPv4):

Нажмите Дополнительно в настройках общих параметров IP:

Уберите флажок в поле Использовать основной шлюз в удалённой сети:

4. Сохраните настройки, нажав ОК.

Настройка VPN-клиента завершена.

Для установления VPN-соединения кликните по значку сетевого соединения в трее левой кнопкой мыши. Далее выберите соединение PEAP CERT и нажмите Подключиться.

При наличии нескольких сертификатов пользователя перед установлением соединения будет предложен выбор нужного сертификата:

Проверка подключения

В Журнале событий на вкладке Журналы и отчеты отобразится соответствующая запись:

На стороне удалённого Windows-компьютера добавится ppp-адаптер PEAP CERT:

Появился маршрут в сеть 15.0.0.0/24, добавленный в настройках VPN-сети на сервере на Шаге 6:

IP-адрес в удалённой сети доступен:

Сценарий настройки VPN-клиента с аутентификации посредством PEAP с методом MSCHAPv2 с логином и паролем

Для настройки VPN-клиента необходимо выполнить следующие шаги:

Шаг 1. Добавьте новое VPN-подключение на компьютере пользователя. Для этого:

3. В появившемся окне Параметры выберите пункт VPN, а затем нажмите на пункт Добавить VPN-подключение:

4. В окне Добавить VPN-подключение настройте параметры подключения:

В поле Поставщик услуг VPN выберите Windows (встроенные);
В поле Имя подключения укажите имя для этого подключения (PEAP LOGIN);
В поле Имя или адрес сервера укажите адрес NGFW;
В поле Тип VPN выберите IKEv2;

5. Нажмите кнопку Сохранить, чтобы сохранить настройки VPN-соединения.

Шаг 2. Настройте параметры созданного VPN-подключения на компьютере пользователя. Для этого:

2. Выберите только что созданное сетевое подключение PEAP LOGIN и через меню правой кнопки мыши перейдите в свойства этого подключения. В открывшемся окне перейдите на вкладку Безопасность:

В поле Проверка подлинности выберите пункт: Microsoft: защищенные EAP (PEAP) (шифрование включено).

В свойствах проверки подлинности в поле выбора метода проверки необходимо выбрать: Защищенный пароль (EAP-MSCHAP v2). В разделе Доверенные корневые центры сертификации необходимо указать сертификат корневого центра.

Флажки Подтверждать удостоверение сервера с помощью проверки сертификата и Включить быстрое переподключение могут быть установлены опционально:

3. Чтобы в туннель заворачивался не весь трафик, на вкладке Сеть откройте свойства IP версии 4 (TCP/IPv4):

Нажмите Дополнительно в настройках общих параметров IP:

Уберите флажок в поле Использовать основной шлюз в удалённой сети:

4. Сохраните настройки, нажав ОК.

Настройка VPN-клиента завершена.

Для установления VPN-соединения кликните по значку сетевого соединения в трее левой кнопкой мыши. Далее выберите соединение PEAP LOGIN и нажмите Подключиться.

Проверка подключения

В Журнале событий на вкладке Журналы и отчеты отобразится соответствующая запись:

На стороне удалённого Windows-компьютера добавится ppp-адаптер PEAP LOGIN:

Появится маршрут в сеть 15.0.0.0/24, добавленный в настройках VPN-сети на сервере на Шаге 6:

IP-адрес в удалённой сети доступен:

Приложение

Рассматривается настройка RADIUS-сервера на примере Windows Server 2019 с настроенной Active Directory.

Настройки политики запросов на подключение

Для работы со сценариями аутентификации с помощью EAP-TLS и EAP MSCHAP v2 необходимы соответствующие типы EAP в настройках методов проверки подлинности сервера:

Необходимо разрешить пункт Шифрованная проверка подлинности (Microsoft), версия 2, (MS-CHAP-v2);

Метод PAP (Проверка открытым тестом (PAP, SPAP)) рекомендуется разрешить для параллельной работы IKEv1 AAA. Если планируется использовать только IKEv2 AAA, то достаточно включения только EAP-MSCHAP v2.

Для работы со сценариями аутентификации с помощью PEAP необходимо добавить соответствующий тип EAP в настройках методов проверки подлинности сервера: