ID статьи: 1492
Последнее обновление: 22 окт, 2024
Product: NGFW Version: 7.1.x, 7.2.x Technology: VPN
В качестве примера для создания Remote access VPN-туннеля будет рассмотрена следующая схема: В данном примере NGFW выступает в роли VPN-сервера, а компьютер пользователя — в роли VPN-клиента. Сначала необходимо настроить VPN-сервер, затем произвести настройки VPN-клиента на компьютере пользователя и инициировать подключение к VPN-серверу. Настройка VPN-сервераДля настройки узла NGFW в качестве VPN-сервера необходимо выполнить следующие шаги: Шаг 1. Разрешить сервис VPN и Подключение конечных устройств в контроле доступа зоны, c которой будут подключаться VPN-клиенты. В веб-консоли администратора в разделе Сеть ➜ Зоны отредактируем параметры контроля доступа для зоны Untrusted. Необходимо разрешить сервисы VPN и Подключение конечных устройств в этой зоне. Подробнее о создании и настройках зон смотрите в статье Настройка зон. Шаг 2. Создать зону для VPN подключений. В данном примере воспользуемся уже созданной по умолчанию на узле зоной VPN for Remote access. Подробнее о создании и настройках зон смотрите в статье Настройка зон. Шаг 3. Настроить параметры аутентификации. 1. Примеры создания самоподписанных сертификатов приведены в Приложении. Импортируем созданные сертификаты VPN-сервера и корневой сертификат. В разделе UserGate ➜ Сертификаты нажать кнопку Импортировать. В открывшемся окне указать название сертификата и добавить сгенерированные файлы сертификата VPN-сервера и его приватного ключа. В этом же разделе импортируем корневой сертификат без указания приватного ключа. Создадим профиль клиентских сертификатов в веб-консоли администратора NGFW, исполняющего роль VPN-сервера. Для этого необходимо перейти в раздел UserGate ➜ Профили клиентских сертификатов и нажать кнопку Добавить. В открывшемся окне указать название профиля, добавить импортированный на предыдущем шаге корневой сертификат и выбрать поле Commоn-name, Subject altname email или Principal name для получения имени пользователя: 2. Создадим профиль аутентификации для VPN пользователей. Подробно о профилях аутентификации смотрите в разделе данного руководства Профили аутентификации. Для данного примера был создан профиль аутентификации в домене testd.local через LDAP-коннектор: Шаг 4.Создать профиль безопасности VPN. В разделе VPN ➜ Серверные профили безопасности создадим профиль безопасности, указав в настройках следующие ключевые параметры: 1. Протокол. В данном примере для создания защищенного канала будет использоваться протокол IKEv2. 2. Тип идентификации (параметр IKE local ID). В рассматриваемом примере можно не указывать тип идентификации. 3. Указать сертификат сервера, импортированный ранее на Шаге 3. 4. В качестве режима аутентификации выберем PKI. 5. Выберем профиль клиентского сертификата, созданный ранее на Шаге 3. Далее необходимо задать параметры первой и второй фаз согласования защищенного соединения. Для рассматриваемого примера оставим эти параметры, как они созданы в профиле по умолчанию: В данном примере воспользуемся уже созданным по умолчанию на узле VPN-интерфейсом tunnel1, который может быть использован для настройки Remote access VPN. Рассмотрим ключевые параметры этого интерфейса для примера создания защищенного VPN-соединения в этой статье: 1. Поставить флажок включения интерфейса. 2. Название — название интерфейса уже задано (tunnel1). 3. Зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к NGFW, будут также помещены в эту зону. В данном примере указывается зона VPN for Remote access. 4. Режим — тип присвоения IP-адреса. При использовании интерфейса для приема VPN-подключений необходимо использовать статический IP-адрес. В данном примере используется статический IP-адрес 172.30.250.1, который задается в поле 6. 5. MTU — размер MTU в данном примере оставим по умолчанию. 6. Добавим статический IP-адрес туннельного интерфейса tunnel1 172.30.250.1 c маской 255.255.255.0. В данном примере воспользуемся уже созданной по умолчанию на узле сетью Remote access VPN network. Рассмотрим ключевые настройки этой сети для примера создания защищенного VPN-соединения в этой статье: 1. Диапазон IP-адресов, которые будут использованы клиентами. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу NGFW 1 (172.30.250.1), используемому совместно с данной сетью. 2. Маска сети VPN. 3. Оставим флажок Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует NGFW. 4. Маршруты VPN — в данном примере добавлен список Local network, включающий в себя подсеть офиса 10.10.0.0/24. Шаг 7. Создать серверное правило VPN. Для примера на узле создано серверное правило Remote access VPN rule, в котором указаны необходимые настройки для Remote access VPN. Рассмотрим ключевые настройки этого правила для данного примера: 1. Включено — включить правило VPN. 2. Профиль безопасности VPN — серверный профиль безопасности VPN, созданный ранее на Шаге 4 (RA 1). 3. Сеть VPN — сеть VPN, созданная ранее на Шаге 6 (Remote access VPN network). 4. Профиль аутентификации — профиль аутентификации для пользователей VPN, созданный ранее (см. Шаг 3). 5. Интерфейс — созданный ранее на Шаге 5 интерфейс VPN (tunnel1). 6. Источник — зоны и адреса, с которых разрешено принимать подключения к VPN. В данном примере укажем зону Untrusted. 7. Пользователи — доменные пользователи, которым разрешено пользоваться сервисом VPN. 8. Назначение — в данном случае в список Ext. address входит внешний IP-адрес VPN-сервера NGFW — 203.0.113.1 Шаг 8. Контроль доступа к ресурсам. 1. Чтобы трафик мог ходить из созданной на шаге 2 зоны, необходимо создать правило NAT из этой зоны во все необходимые зоны. Правило создается в разделе Политики сети ➜ NAT и маршрутизация. Для примера в веб-консоли администратора уже создано правило NAT from VPN for remote access to Trusted and Untrusted, разрешающее подмену IP-адресов из зоны VPN for remote access в зоны Trusted и Untrusted. По умолчанию оно не активно. Необходимо его включить. 2. При необходимости предоставления доступа пользователям VPN в определенные сегменты сети в разделе Политики сети ➜ Межсетевой экран необходимо создать правило межсетевого экрана, разрешающее трафик из созданной зоны в требуемые зоны. Для примера в консоли администратора создано правило межсетевого экрана VPN for Remote Access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Remote Access в Trusted и Untrusted зоны. Правило выключено по умолчанию, его необходимо включить. Настройка VPN-клиентаВ данном примере рассмотрим настройку "нативных" клиентов для операционных систем Windows и Linux для удаленного VPN-подключения. Встроенный VPN-клиент OS WindowsДля настройки VPN-клиента необходимо выполнить следующие шаги: 1. Импортировать ранее созданный пользовательский сертификат в хранилище сертификатов компьютера в личную папку:
Сертификат корневого центра импортировать в раздел Доверенные корневые центры сертификации: 2. Кликнуть правой кнопкой мыши по значку сетевого подключения в трее и выбрать пункт Открыть "Параметры сети и Интернет". 3. В появившемся окне Параметры выбрать пункт VPN, а затем нажать на пункт Добавить VPN-подключение: 4. В окне Добавить VPN-подключение настроить параметры подключения:
5. Нажать кнопку Сохранить, чтобы сохранить настройки VPN-соединения. 6. В панели управления перейти в раздел Сеть и Интернет и в дополнительных сетевых параметрах выбрать пункт Настройки параметров адаптера: 7. Выбрать только что созданное сетевое подключение IKEv2 VPN и через меню правой кнопки мыши перейти в свойства этого подключения. В открывшемся окне перейти во вкладку Безопасность: Выбрать пункт Использовать сертификаты компьютеров. Чтобы в туннель заворачивался не весь трафик, на вкладке Сеть открыть свойства IP версии 4 (TCP/IPv4): Нажать Дополнительно в настройках общих параметров IP: Убрать флажок в поле Использовать основной шлюз в удаленной сети: 8. Сохранить настройки, нажав ОК. Настройка VPN-клиента завершена. Для установления VPN-соединения кликните по значку сетевого соединения в трее левой кнопкой мыши. Далее выберите соединение IKEv2 VPN и нажмите кнопку Подключиться. Проверка подключенияПосле установлении VPN-соединения в веб-консоли администратора NGFW на вкладке Диагностика и мониторинг в разделе VPN появится индикация нового VPN-соединения: В Журнале событий на вкладке Журналы и отчеты отобразится соответствующая запись: На стороне удаленного Windows-компьютера добавится ppp-адаптер IKEv2 VPN, хост (10.10.0.100) в сети офиса доступен: IKEv2 VPN-клиент (strongswan) для OS LinuxРассмотрим настройку IKEv2 VPN-клиента для Linux на примере OS Ubuntu. Для начала необходимо установить дополнительные пакеты для работы с IKEv2 VPN:
Далее для настройки VPN-клиента необходимо выполнить следующие шаги: 1. Открыть окно Настройки и зайти в раздел Сеть. В разделе VPN нажать + для настройки нового VPN-соединения: 2. Выбрать из списка опцию IPsec/IKEv2 (strongswan): 3. В настройках VPN перейти на вкладку Идентификация. Указать название соединения, метод аутентификации (Certificate), способ аутентификации (Certificate/private key), указать заранее созданные файлы клиентского сертификата и ключа, параметры соединения: 4. На вкладке IPv4 оставить указанный по умолчанию метод получения адресов по DHCP: 5. В системе должен присутствовать корневой сертификат. При необходимости нужно поместить его в системный раздел /etc/ssl/certs/. Настройка VPN-клиента завершена. Для установления VPN-соединения нажать кнопку включения созданного соединения VPN: Проверка подключенияПосле установлении VPN-соединения в веб-консоли администратора NGFW на вкладке Диагностика и мониторинг в разделе VPN появится индикация нового VPN-соединения: В Журнале событий на вкладке Журналы и отчеты отобразится соответствующая запись: На стороне удаленного Linux-компьютера добавится виртуальный адаптер, хост (10.10.0.100) в сети офиса доступен: ПриложениеДля частного случая, когда в среде OS Windows необходимо в явном виде выбирать один из нескольких имеющихся в хранилище пользователя (Current User) сертификатов, подходит следующее решение: На VPN-сервереUserGate NGFW начиная с релиза ПО 7.2.0 поддерживает метод аутентификации EAP TLS. Необходимо в настройках профиля безопасности VPN (см. Шаг 4 в настройках VPN-сервера) указать в поле режима аутентификации: AAA. На VPN-клиентеНа шаге 7 настройки встроенного VPN-клиента OS Windows сделать следующую конфигурацию:
В разделе Проверка подлинности выбрать Протокол расширенной проверки подлинности (EAP) ➜ Microsoft смарт-карта или иной сертификат.
На контроллере доменаНастроить NPS для новой политики: Остальные шаги настройки VPN-сервера и встроенного VPN-клиента OS Windows аналогичны рассмотренным ранее в этой статье. При установлении VPN-соединения со стороны клиента кликните по значку сетевого соединения в трее левой кнопкой мыши. Далее выберите сконфигурированное VPN-соединение (в данном примере соединение с названием IKEv2 VPN) и нажмите кнопку Подключиться: Появится опция выбора сертификата из хранилища пользователя:
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 1492
Последнее обновление: 22 окт, 2024
Ревизия: 16
Просмотры: 2168
Комментарии: 0
Также опубликовано в
|