Пример настройки Remote access VPN с L2TP/IPSec(IKEv1)

В качестве примера для создания Remote access VPN-туннеля будет рассмотрена следующая схема:

В данном примере NGFW выступает в роли VPN-сервера, а компьютер пользователя — в роли VPN-клиента. При создании VPN с помощью L2TP/IPsec(IKEv1), протокол L2TP создает туннель, в котором передаются пакеты сетевого уровня в кадрах PPP. IPsec обеспечивает шифрование, аутентификацию и проверку целостности передаваемых данных.

Сначала необходимо настроить VPN-сервер, затем произвести настройки VPN-клиента на компьютере пользователя и инициировать подключение к VPN-серверу.

Настройка VPN-сервера

Для настройки NGFW в качестве VPN-сервера необходимо выполнить следующие шаги: 

Шаг 1. Разрешить сервисы VPN и Подключение конечных устройств в контроле доступа зоны, c которой будут подключаться VPN-клиенты.

В веб-консоли администратора в разделе Сеть ➜ Зоны отредактируем параметры контроля доступа для зоны Untrusted. Необходимо разрешить сервисы VPN и Подключение конечных устройств в этой зоне. Подробнее о создании и настройках зон смотрите в статье Настройка зон.

Шаг 2. Создать зону для VPN подключений.

В данном примере воспользуемся уже созданной на узле зоной VPN for remote access. Подробнее о создании и настройках зон смотрите в статье Настройка зон.

Шаг 3. Настроить параметры аутентификации.

 Для примера в разделе Пользователи и устройства ➜ Профили аутентификации создадим профиль ldap_con для аутентификации пользователей VPN через имеющийся сервер AD. На вкладке Методы аутентификации выберем ранее настроенный в системе сервер аутентификации LDAP/Active Directory. Подробно о профилях аутентификации смотрите в разделе данного руководства Профили аутентификации.

Шаг 4. Создать профиль безопасности VPN.

Для примера на узле создан профиль безопасности Remote access VPN profile, задающий необходимые настройки. Рассмотрим ключевые настройки этого профиля для данного примера:

1. Версия протокола IKE (Internet Key Exchange). В рассматриваемом примере для создания защищенного канала будет использоваться протокол IKEv1. 

2. Режим работы IKE. В рассматриваемом примере используется Основной режим работы IKEv1.

3. Тип идентификации (параметр IKE local ID). Опциональный параметр. В рассматриваемом примере указывать не требуется. 

4. Общий ключ (Pre-shared key) для аутентификации удаленных компьютеров пользователей. Ключ должен совпадать на VPN-сервере и VPN-клиенте для успешного подключения.

Далее необходимо задать параметры первой и второй фаз согласования защищенного соединения. Для рассматриваемого примера оставим эти параметры, как они созданы в профиле Remote access VPN profile по умолчанию:

Шаг 5. Создать VPN-интерфейс.

Для примера на узле создан VPN-интерфейс tunnel1, который может быть использован для настройки Remote access VPN. Рассмотрим ключевые настройки этого интерфейса для рассматриваемого примера:

1. Поставить флажок включения интерфейса.

2. Название — название интерфейса уже задано (tunnel1). 

3. Зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к NGFW, будут также помещены в эту зону. В этом примере указывается зона VPN for remote access, созданная на шаге 2.

4. Режим — тип присвоения IP-адреса. При использовании интерфейса для приема VPN-подключений необходимо использовать статический IP-адрес.

5. MTU — размер MTU в рассматриваемом примере оставим по умолчанию.

6. Добавим статический IP-адрес туннельного интерфейса tunnel1 172.30.250.1 c маской 255.255.255.0.

Шаг 6. Создать сеть VPN.

Для примера на узле создана сеть Remote access VPN network с настройками по умолчанию. Рассмотрим ключевые настройки этой сети для данного примера:

1. Диапазон IP-адресов, которые будут использованы клиентами. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу NGFW (172.30.250.1), используемому совместно с данной сетью.  

2. Маска сети VPN.

3. Оставим флажок Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует NGFW.

4. На вкладке Маршруты VPN настраиваются маршруты, передаваемые клиенту при установлении соединения. В данном примере добавлен список Local net, включающий в себя подсеть офиса 192.168.1.0/24.

На вкладке Маршруты для UserGate client настраивается функциональность раздельного туннелирования (split tunneling) для UserGate Client. Подробнее читайте в разделе Настройка раздельного туннелирования для UserGate Client.

 Шаг 7. Создать серверное правило VPN.

Для примера на узле создано серверное правило Remote access VPN rule, в котором указаны необходимые настройки для Remote access VPN. Рассмотрим ключевые настройки этого правила для данного примера:

1. Включено — включить правило VPN.

2. Профиль безопасности VPN — серверный профиль безопасности VPN, созданный ранее на Шаге 4 (Remote access VPN profile).

3. Сеть VPN — сеть VPN, созданная ранее на Шаге 6 (Remote access VPN network).

4. Профиль аутентификации — профиль аутентификации для пользователей VPN, созданный ранее (см. Шаг 3).

5. Интерфейс — созданный ранее на Шаге 5 интерфейс VPN (tunnel1).

6. Источник — зоны и адреса, с которых разрешено принимать подключения к VPN. В данном примере укажем зону Untrusted.

7. Пользователи — доменные пользователи, которым разрешено пользоваться сервисом VPN.  

8. Назначение — в данном случае в список Ext. address входит внешний IP-адрес VPN-сервера NGFW — 203.0.113.1.

Шаг 8. Контроль доступа к ресурсам.

1. Клиенты подключаются к VPN с использованием Point-to-Point протокола. Чтобы трафик мог ходить из созданной на шаге 2 зоны, необходимо создать правило NAT из этой зоны во все необходимые зоны. Правило создается в разделе Политики сети ➜ NAT и маршрутизация.

Для примера в веб-консоли администратора уже создано правило NAT from VPN for remote access to Trusted and Untrusted, разрешающее подмену IP-адресов из зоны VPN for remote access в зоны Trusted и Untrusted.

2. При необходимости предоставления доступа пользователям VPN в определенные сегменты сети в разделе Политики сети ➜ Межсетевой экран необходимо создать правило межсетевого экрана, разрешающее трафик из созданной зоны в требуемые зоны.

Для примера в консоли администратора создано правило межсетевого экрана VPN for Remote Access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Remote Access в Trusted и Untrusted зоны. Правило выключено по умолчанию, его необходимо включить.

Настройка VPN-клиента

В данном примере рассмотрим настройку "нативных" клиентов для операционных систем Windows и Linux для удаленного VPN-подключения.

Встроенный VPN-клиент OS Windows

Для настройки VPN-клиента необходимо выполнить следующие шаги:

1.  Кликнуть правой кнопкой мыши по значку сетевого подключения в трее и выбрать пункт Открыть "Параметры сети и Интернет".

2. В появившемся окне Параметры выбрать пункт VPN, а затем нажать на пункт Добавить VPN-подключение:

3. В окне Добавить VPN-подключение настроить параметры подключения:

• В поле Поставщик услуг VPN выбрать Windows (встроенные);

• В поле Имя подключения указать имя для этого подключения;

• В поле Имя или адрес сервера указать IP-адрес внешнего интерфейса NGFW, к которому будут подключаться клиенты(203.0.113.1);

• В поле Тип VPN выбрать L2TP/IPsec с общим ключом;

• В поле Общий ключ указать тот же ключ, что был указан на шаге 4 настройки VPN-сервера;

• В поле Тип данных для входа выбрать Имя пользователя и пароль;

• В поле Имя пользователя указать имя доменного пользователя, в данном примере: user2@testd.local;

• В поле Пароль указать пароль пользователя.

4. Нажать кнопку Сохранить, чтобы сохранить настройки VPN-соединения.

5. В панели управления перейти в раздел Сеть и Интернет и в дополнительных сетевых параметрах выбрать пункт Настройки параметров адаптера:

6. Выбрать только что созданное сетевое подключение L2TP и через меню правой кнопки мыши перейти в свойства этого подключения. В открывшемся окне перейти во вкладку Безопасность:

Выбрать пункт Разрешить следующие протоколы и далее выбрать PAP.

7. Сохранить настройки, нажав ОК.

Настройка VPN-клиента завершена.

Для установления VPN-соединения кликните по значку сетевого соединения в трее левой кнопкой мыши. Далее выберите соединение L2TP и нажмите кнопку Подключиться.

Проверка подключения

После установлении VPN-соединения в веб-консоли администратора NGFW на вкладке Диагностика и мониторинг в разделе VPN появится индикация нового VPN-соединения:

В Журнале событий на вкладке Журналы и отчеты отобразится соответствующая запись:

На стороне удаленного Windows-компьютера добавится ppp-адаптер L2TP, появятся маршруты в сеть виртуального адаптера и сеть удаленного офиса. Хост (10.10.0.100) в сети офиса доступен:

L2TP VPN-клиент для OS Linux

Рассмотрим настройку L2TP VPN-клиента для Linux на примере OS Ubuntu.

Для начала необходимо установить L2TP-плагин для приложения Network Manager:

sudo apt update
sudo apt install -y network-manager-l2tp network-manager-l2tp-gnome

Далее для настройки VPN-клиента необходимо выполнить следующие шаги:

1. Открыть окно Настройки и зайти в раздел Сеть. В разделе VPN нажать + для настройки нового VPN-соединения:

2. Выбрать из списка опцию Туннельный протокол второго уровня (L2TP):

3. В настройках L2TP VPN перейти на вкладку Идентификация. Указать название соединения, адрес VPN-сервера, параметры аутентификации пользователя:

4. Перейти к настройкам протокола IPsec, нажав внизу окна настроек VPN кнопку Параметры IPsec. В открывшемся окне настроек поставить флажок для активации настроек IPsec туннеля к L2TP хосту, указать общий ключ и параметры первой и второй фаз согласования защищенного соединения:

Нажать Применить для сохранения настроек IPsec.

5. Перейти к настройкам протокола PPP, нажав внизу окна настроек VPN кнопку Параметры PPP. В открывшемся окне настроек поставить флажок, разрешая в качестве метода аутентификации PAP. Остальные методы отключить:

 

Нажать Apply для сохранения настроек PPP.

6. В окне настроек VPN нажать Применить для сохранения настроек соединения:

Настройка VPN-клиента завершена.

Для установления VPN-соединения нажмите кнопку включения созданного соединения VPN:

Проверка подключения

После установлении VPN-соединения в веб-консоли администратора NGFW на вкладке Диагностика и мониторинг в разделе VPN появится индикация нового VPN-соединения:

В Журнале событий на вкладке Журналы и отчеты отобразится соответствующая запись:

На стороне удаленного Linux-компьютера добавится ppp-адаптер, появятся маршрут в сеть виртуального адаптера. Хост (10.10.0.100) в сети офиса доступен: