Пример настройки Remote access VPN с IPsec(IKEv2)

В качестве примера для создания Remote access VPN-туннеля будет рассмотрена следующая схема:

В данном примере NGFW выступает в роли VPN-сервера, а компьютер пользователя — в роли VPN-клиента. 

Сначала необходимо настроить VPN-сервер, затем произвести настройки VPN-клиента на компьютере пользователя и инициировать подключение к VPN-серверу.

Настройка VPN-сервера

Для настройки узла NGFW в качестве VPN-сервера необходимо выполнить следующие шаги: 

Шаг 1. Разрешить сервис VPN и Подключение конечных устройств в контроле доступа зоны, c которой будут подключаться VPN-клиенты.

В веб-консоли администратора в разделе Сеть ➜ Зоны отредактируем параметры контроля доступа для зоны Untrusted. Необходимо разрешить сервисы VPN и Подключение конечных устройств в этой зоне. Подробнее о создании и настройках зон смотрите в статье Настройка зон.

Шаг 2. Создать зону для VPN подключений.

В данном примере воспользуемся уже созданной по умолчанию на узле зоной VPN for Remote access. Подробнее о создании и настройках зон смотрите в статье Настройка зон.

Шаг 3. Настроить параметры аутентификации.

1. Примеры создания самоподписанных сертификатов приведены в Приложении. Импортируем созданные сертификаты VPN-сервера и корневой сертификат.

В разделе UserGate ➜ Сертификаты нажать кнопку Импортировать.  В открывшемся окне указать название сертификата и добавить сгенерированные файлы сертификата VPN-сервера и его приватного ключа. В этом же разделе импортируем корневой сертификат без указания приватного ключа.

Создадим профиль клиентских сертификатов в веб-консоли администратора NGFW, исполняющего роль VPN-сервера. Для этого необходимо перейти в раздел UserGate ➜ Профили клиентских сертификатов и нажать кнопку Добавить. В открывшемся окне указать название профиля, добавить импортированный на предыдущем шаге корневой сертификат и выбрать поле Commоn-name, Subject altname email или Principal name для получения имени пользователя:

2. Создадим профиль аутентификации для VPN пользователей. Подробно о профилях аутентификации смотрите в разделе данного руководства Профили аутентификации. Для данного примера был создан профиль аутентификации в домене testd.local через LDAP-коннектор:

Шаг 4.Создать профиль безопасности VPN.

В разделе VPN ➜ Серверные профили безопасности  создадим профиль безопасности, указав в настройках следующие ключевые параметры:

 1. Протокол. В данном примере для создания защищенного канала будет использоваться протокол IKEv2. 

2. Тип идентификации (параметр IKE local ID). В рассматриваемом примере можно не указывать тип идентификации. 

3. Указать сертификат сервера, импортированный ранее на Шаге 3.

4. В качестве режима аутентификации выберем PKI.

5. Выберем профиль клиентского сертификата, созданный ранее на Шаге 3.

Далее необходимо задать параметры первой и второй фаз согласования защищенного соединения. Для рассматриваемого примера оставим эти параметры, как они созданы в профиле по умолчанию:  

 Шаг 5. Создать VPN-интерфейс.

В данном примере воспользуемся уже созданным по умолчанию на узле VPN-интерфейсом tunnel1, который может быть использован для настройки Remote access VPN. Рассмотрим ключевые параметры этого интерфейса для примера создания защищенного VPN-соединения в этой статье:

1. Поставить флажок включения интерфейса.

2. Название — название интерфейса уже задано (tunnel1). 

3. Зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к NGFW, будут также помещены в эту зону. В данном примере указывается зона VPN for Remote access.

4. Режим — тип присвоения IP-адреса. При использовании интерфейса для приема VPN-подключений необходимо использовать статический IP-адрес. В данном примере используется статический IP-адрес 172.30.250.1, который задается в поле 6.

5. MTU — размер MTU в данном примере оставим по умолчанию.

6. Добавим статический IP-адрес туннельного интерфейса tunnel1 172.30.250.1 c маской 255.255.255.0.

Шаг 6. Создать сеть VPN.

В данном примере воспользуемся уже созданной по умолчанию на узле сетью Remote access VPN network. Рассмотрим ключевые настройки этой сети для примера создания защищенного VPN-соединения в этой статье:

1. Диапазон IP-адресов, которые будут использованы клиентами. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу NGFW 1 (172.30.250.1), используемому совместно с данной сетью.

2. Маска сети VPN.

3. Оставим флажок Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует NGFW.

4. Маршруты VPN — в данном примере добавлен список Local network, включающий в себя подсеть офиса 10.10.0.0/24.

 Шаг 7. Создать серверное правило VPN.

Для примера на узле создано серверное правило Remote access VPN rule, в котором указаны необходимые настройки для Remote access VPN. Рассмотрим ключевые настройки этого правила для данного примера:

1. Включено — включить правило VPN.

2. Профиль безопасности VPN — серверный профиль безопасности VPN, созданный ранее на Шаге 4 (RA 1).

3. Сеть VPN — сеть VPN, созданная ранее на Шаге 6 (Remote access VPN network).

4. Профиль аутентификации — профиль аутентификации для пользователей VPN, созданный ранее (см. Шаг 3).

5. Интерфейс — созданный ранее на Шаге 5 интерфейс VPN (tunnel1).

6. Источник — зоны и адреса, с которых разрешено принимать подключения к VPN. В данном примере укажем зону Untrusted.

7. Пользователи — доменные пользователи, которым разрешено пользоваться сервисом VPN.  

8. Назначение — в данном случае в список Ext. address входит внешний IP-адрес VPN-сервера NGFW — 203.0.113.1

Шаг 8. Контроль доступа к ресурсам.

1. Чтобы трафик мог ходить из созданной на шаге 2 зоны, необходимо создать правило NAT из этой зоны во все необходимые зоны. Правило создается в разделе Политики сети ➜ NAT и маршрутизация.

Для примера в веб-консоли администратора уже создано правило NAT from VPN for remote access to Trusted and Untrusted, разрешающее подмену IP-адресов из зоны VPN for remote access в зоны Trusted и Untrusted. По умолчанию оно не активно. Необходимо его включить.

2. При необходимости предоставления доступа пользователям VPN в определенные сегменты сети в разделе Политики сети ➜ Межсетевой экран необходимо создать правило межсетевого экрана, разрешающее трафик из созданной зоны в требуемые зоны.

Для примера в консоли администратора создано правило межсетевого экрана VPN for Remote Access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Remote Access в Trusted и Untrusted зоны. Правило выключено по умолчанию, его необходимо включить.

Настройка VPN-клиента

В данном примере рассмотрим настройку "нативных" клиентов для операционных систем Windows и Linux для удаленного VPN-подключения.

Встроенный VPN-клиент OS Windows

Для настройки VPN-клиента необходимо выполнить следующие шаги:

1. Импортировать ранее созданный пользовательский сертификат в хранилище сертификатов компьютера в личную папку:

 

Сертификат корневого центра импортировать в раздел Доверенные корневые центры сертификации:

2. Кликнуть правой кнопкой мыши по значку сетевого подключения в трее и выбрать пункт Открыть "Параметры сети и Интернет".

3. В появившемся окне Параметры выбрать пункт VPN, а затем нажать на пункт Добавить VPN-подключение:

4. В окне Добавить VPN-подключение настроить параметры подключения:

• В поле Поставщик услуг VPN выбрать Windows (встроенные);

• В поле Имя подключения указать имя для этого подключения (IKEv2 VPN);

• В поле Имя или адрес сервера указать доменное имя NGFW (ug.testd.local);

• В поле Тип VPN выбрать IKEv2;

• В поле Тип данных для входа выбрать Сертификат;

5. Нажать кнопку Сохранить, чтобы сохранить настройки VPN-соединения.

6. В панели управления перейти в раздел Сеть и Интернет и в дополнительных сетевых параметрах выбрать пункт Настройки параметров адаптера:

7. Выбрать только что созданное сетевое подключение IKEv2 VPN и через меню правой кнопки мыши перейти в свойства этого подключения. В открывшемся окне перейти во вкладку Безопасность:

Выбрать пункт Использовать сертификаты компьютеров.

Чтобы в туннель заворачивался не весь трафик, на вкладке Сеть открыть свойства IP версии 4 (TCP/IPv4):

Нажать Дополнительно в настройках общих параметров IP:

Убрать флажок в поле Использовать основной шлюз в удаленной сети:

8. Сохранить настройки, нажав ОК.

Настройка VPN-клиента завершена.

Для установления VPN-соединения кликните по значку сетевого соединения в трее левой кнопкой мыши. Далее выберите соединение IKEv2 VPN и нажмите кнопку Подключиться.

Проверка подключения

После установлении VPN-соединения в веб-консоли администратора NGFW на вкладке Диагностика и мониторинг в разделе VPN появится индикация нового VPN-соединения:

В Журнале событий на вкладке Журналы и отчеты отобразится соответствующая запись:

На стороне удаленного Windows-компьютера добавится ppp-адаптер IKEv2 VPN, хост (10.10.0.100) в сети офиса доступен:

IKEv2 VPN-клиент (strongswan) для OS Linux 

Рассмотрим настройку IKEv2 VPN-клиента для Linux на примере OS Ubuntu.

Для начала необходимо установить дополнительные пакеты для работы с IKEv2 VPN:

sudo apt update && sudo apt upgrade

sudo apt install network-manager-strongswan libcharon-extra-plugins

Далее для настройки VPN-клиента необходимо выполнить следующие шаги:

1. Открыть окно Настройки и зайти в раздел Сеть. В разделе VPN нажать + для настройки нового VPN-соединения:

2. Выбрать из списка опцию IPsec/IKEv2 (strongswan):

3. В настройках VPN перейти на вкладку Идентификация. Указать название соединения, метод аутентификации (Certificate), способ аутентификации (Certificate/private key), указать заранее созданные файлы клиентского сертификата и ключа, параметры соединения:

4. На вкладке IPv4 оставить указанный по умолчанию метод получения адресов по DHCP:  

5. В системе должен присутствовать корневой сертификат. При необходимости нужно поместить его в системный раздел /etc/ssl/certs/.

Настройка VPN-клиента завершена.

Для установления VPN-соединения нажать кнопку включения созданного соединения VPN:

Проверка подключения

После установлении VPN-соединения в веб-консоли администратора NGFW на вкладке Диагностика и мониторинг в разделе VPN появится индикация нового VPN-соединения:

В Журнале событий на вкладке Журналы и отчеты отобразится соответствующая запись:

На стороне удаленного Linux-компьютера добавится виртуальный адаптер, хост (10.10.0.100) в сети офиса доступен:

 Приложение

Для частного случая, когда в среде OS Windows необходимо в явном виде выбирать один из нескольких имеющихся в хранилище пользователя (Current User) сертификатов, подходит следующее решение:

На VPN-сервере

UserGate NGFW начиная с релиза ПО 7.2.0 поддерживает метод аутентификации EAP TLS. Необходимо в настройках профиля безопасности VPN (см. Шаг 4 в настройках VPN-сервера) указать в поле режима аутентификации: AAA. 

На VPN-клиенте

На шаге 7 настройки встроенного VPN-клиента OS Windows сделать следующую конфигурацию:

• В настройках параметров адаптера через меню правой кнопки мыши перейти в свойства созданного подключения (в данном примере это подключение с названием IKEv2 VPN). В открывшемся окне перейти во вкладку Безопасность:

В разделе Проверка подлинности выбрать Протокол расширенной проверки подлинности (EAP) ➜ Microsoft смарт-карта или иной сертификат.

• В свойствах выбранного метода проверки подлинности выбрать опцию Использовать сертификат на этом компьютере и поставить флажок Использовать для подключения другое имя пользователя:

На контроллере домена 

Настроить NPS для новой политики: 

Остальные шаги настройки VPN-сервера и встроенного VPN-клиента OS Windows аналогичны рассмотренным ранее в этой статье.

При установлении VPN-соединения со стороны клиента кликните по значку сетевого соединения в трее левой кнопкой мыши. Далее выберите сконфигурированное VPN-соединение (в данном примере соединение с названием IKEv2 VPN) и нажмите кнопку Подключиться:

Появится опция выбора сертификата из хранилища пользователя: