Пример настройки Site-to-Site VPN с IKEv2/IPSec

В качестве примера для создания Site-to-Site VPN-туннеля будет рассмотрена следующая схема:

Настройка VPN-сервера

Для настройки узла NGFW 1 в качестве VPN-сервера необходимо выполнить следующие шаги: 

Шаг 1. Разрешить сервис VPN в контроле доступа зоны, c которой будут подключаться VPN-клиенты.

В разделе Сеть ➜ Зоны отредактируем параметры контроля доступа для зоны Untrusted. Необходимо разрешить сервис VPN в этой зоне. Подробнее о создании и настройках зон смотрите в статье Настройка зон.

Шаг 2. Создать зону для VPN подключений.

В данном примере воспользуемся уже созданной по умолчанию на узле зоной VPN for Site-to-Site. Подробнее о создании и настройках зон смотрите в статье Настройка зон.

Шаг 3. Настроить параметры аутентификации.

1. Примеры создания самоподписанных сертификатов приведены в Приложении. Импортируем созданные сертификаты VPN-сервера и корневой сертификат.

В разделе UserGate ➜ Сертификаты нажать кнопку Импортировать.  В открывшемся окне указать название сертификата и добавить сгенерированные файлы сертификата VPN-сервера и его приватного ключа. В этом же разделе импортируем корневой сертификат без указания приватного ключа.

Создадим профиль клиентских сертификатов в веб-консоли администратора NGFW 1, исполняющего роль VPN-сервера. Для этого необходимо перейти в раздел UserGate ➜ Профили клиентских сертификатов и нажать кнопку Добавить. В открывшемся окне указать название профиля, добавить импортированный на предыдущем шаге корневой сертификат и выбрать поле Commоn-name, Subject altname email или Principal name для получения имени пользователя:

2. Создадим профиль аутентификации для VPN пользователей. Подробно о профилях аутентификации смотрите в разделе данного руководства Профили аутентификации. Для данного примера был создан профиль аутентификации в домене testd.local через LDAP-коннектор:

Шаг 4.Создать профиль безопасности VPN.

В данном примере воспользуемся уже созданным по умолчанию на узле профилем безопасности Site-to-Site VPN profile, задающим необходимые настройки. Рассмотрим ключевые настройки этого профиля для примера создания защищенного VPN-соединения в этой статье:

 1. Версия протокола IKE (Internet Key Exchange). В данном примере для создания защищенного канала будет использоваться протокол IKEv2. 

2. Тип идентификации (параметр IKE local ID). В рассматриваемом примере VPN-соединение устанавливается между узлами UserGate, указывать тип идентификации не требуется. 

3. Указать сертификат сервера, импортированный ранее на Шаге 3.

4. В качестве режима аутентификации выберем PKI.

5. Выберем профиль клиентского сертификата, созданный ранее на Шаге 3.

Далее необходимо задать параметры первой и второй фаз согласования защищенного соединения. Для рассматриваемого примера оставим эти параметры, как они созданы в профиле Site-to-Site VPN profile по умолчанию:  

 Шаг 5. Создать VPN-интерфейс.

В данном примере воспользуемся уже созданным по умолчанию на узле VPN-интерфейсом tunnel2, который может быть использован для настройки Site-to-Site VPN. Рассмотрим ключевые параметры этого интерфейса для примера создания защищенного VPN-соединения в этой статье:

1. Поставить флажок включения интерфейса.

2. Название — название интерфейса уже задано (tunnel2). 

3. Зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к NGFW 1, будут также помещены в эту зону. В данном примере указывается зона VPN for Site-to-Site.

4. Режим — тип присвоения IP-адреса. При использовании интерфейса для приема VPN-подключений необходимо использовать статический IP-адрес. В данном примере используется статический IP-адрес 172.30.255.1, который задается в поле 6.

5. MTU — размер MTU в данном примере оставим по умолчанию.

6. Добавим статический IP-адрес туннельного интерфейса tunnel2 172.30.255.1 c маской 255.255.255.0.

Шаг 6. Создать сеть VPN.

В данном примере воспользуемся уже созданной по умолчанию на узле сетью Site-to-Site VPN network. Рассмотрим ключевые настройки этой сети для примера создания защищенного VPN-соединения в этой статье:

1. Диапазон IP-адресов, которые будут использованы клиентами. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу NGFW 1 (172.30.255.1), используемому совместно с данной сетью.

2. Маска сети VPN.

3. Оставим флажок Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует NGFW.

4. Маршруты VPN — в данном примере добавлен список Local network, включающий в себя подсеть 192.168.1.0/24.

Чтобы VPN-сервер узнал о подсетях клиента, необходимо в свойствах виртуального маршрутизатора (Сеть ➜ Виртуальные маршрутизаторы ) сервера прописать статический маршрут, указав в качестве адреса назначения адрес VPN-туннеля, используемый на VPN-клиенте:

 В разделе Журналы и отчеты ➜ Мониторинг ➜ Маршруты можно увидеть, что добавился маршрут в сеть 100.100.0.0/24 через туннельный интерфейс tunnel2:

 Шаг 7. Создать серверное правило VPN.

В данном примере воспользуемся уже созданным по умолчанию на узле серверным правилом Site-to-Site VPN rule, в котором используются необходимые настройки для Site-to-Site VPN.  Рассмотрим ключевые настройки этого правила для примера создания защищенного VPN-соединения в этой статье:

1. Включено — включить правило VPN.

2. Профиль безопасности VPN — серверный профиль безопасности VPN, созданный ранее на Шаге 4 (Site-to-Site VPN profile).

3. Сеть VPN — сеть VPN, созданная ранее на Шаге 6 (Site-toSite VPN network).

4. Профиль аутентификации — профиль аутентификации для пользователей VPN, созданный ранее (см. Шаг 3).

5. Интерфейс — созданный ранее на Шаге 5 интерфейс VPN (tunnel2).

6. Источник — зоны и адреса, с которых разрешено принимать подключения к VPN. В данном примере укажем зону Untrusted.

7. Пользователи — в данном примере указывается имя пользователя домена user1 (testd.local\user1), на которого был выписан сертификат, с которым аутентифицируется VPN-клиент NGFW 2 при установлении защищенного соединения.  

8. Назначение — в данном случае в список Ext. address входит внешний IP-адрес VPN-сервера NGFW 1 — 203.0.113.1

Шаг 8. Контроль доступа к ресурсам.

При необходимости предоставления доступа пользователям VPN в определенные сегменты сети, или, например, для предоставления доступа в интернет в разделе Политики сети ➜ Межсетевой экран необходимо создать правило межсетевого экрана, разрешающее трафик из созданной на Шаге 2 зоны в требуемые зоны. Подробнее о создании и настройке правил межсетевого экрана смотрите в статье Межсетевой экран.

Для примера на узле создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Site-to-Site в зоны Trusted и Untrusted. Правило выключено по умолчанию, необходимо его включить. 

Чтобы трафик передавался клиенту из разрешенных зон через VPN-туннель, необходимо создать разрешающее правило межсетевого экрана, указав нужную зону источника и зону назначения, например, VPN for Site-to-Site.

Настройка VPN-клиента

Для настройки узла NGFW 2 в качестве VPN-клиента необходимо выполнить следующие шаги: 

Шаг 1. Создать зону для VPN подключений.

В данном примере воспользуемся уже созданной на узле зоной VPN for Site-to-Site. Подробнее о создании и настройках зон смотрите в статье Настройка зон.

Шаг 2. Создать VPN-интерфейс.

В данном примере воспользуемся уже созданным по умолчанию на узле VPN-интерфейсом tunnel3, который может быть использован для клиентского подключения Site-to-Site VPN. Рассмотрим ключевые настройки этого интерфейса для примера создания защищенного VPN-соединения в этой статье:

1. Поставить флажок включения интерфейса.

2. Название — название интерфейса уже задано (tunnel3).

3. Зона, к которой будет относится данный интерфейс. В этом примере указывается зона VPN for Site-to-Site, созданная на Шаге 1.

4. Режим. Для использования интерфейса в качестве клиентского VPN, необходимо использовать режим получения адреса — Динамический. При установлении соединения интерфейсу будет присвоен IP-адрес из диапазона сети VPN, созданной на Шаге 6 настроек VPN-сервера. 

5. MTU — размер MTU в рассматриваемом примере оставим по умолчанию.

Шаг 3. Настроить параметры аутентификации.

Импортируем созданный ранее сертификат VPN-клиента. Примеры создания самоподписанных сертификатов приведены в Приложении.

В разделе UserGate ➜ Сертификаты нажать кнопку Импортировать.  В открывшемся окне указать название сертификата и добавить сгенерированные файлы сертификата VPN-клиента и приватного ключа.

Шаг 4. Контроль доступа к ресурсам.

Для примера на узле создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик между зонами VPN for Site-to-Site, Trusted и Untrusted.

Чтобы трафик передавался на сервер из нужной зоны сервера-клиента через VPN-туннель, создадим разрешающее правило межсетевого экрана, указав нужную зону источника  (Trusted  и Untrusted) и зону назначения VPN for Site-to-Site.

Шаг 5. Создать профиль безопасности VPN.

Для примера на узле создан профиль безопасности Client VPN profile, задающий необходимые настройки. Рассмотрим ключевые настройки этого профиля для рассматриваемого примера создания защищенного VPN-соединения.

1. Протокол. В рассматриваемом примере для создания защищенного канала будет использоваться IKEv2 с сертификатом. 

2. Тип идентификации (параметр IKE local ID). В рассматриваемом примере VPN-соединение устанавливается между узлами UserGate, указывать тип идентификации не требуется. 

3. Выберем сертификат клиента, импортированный ранее на Шаге 3.

Далее необходимо задать параметры первой и второй фаз согласования защищенного соединения. Для рассматриваемого примера оставим эти параметры, как они созданы в профиле Client VPN profile по умолчанию: 

Шаг 6. Создать клиентское правило VPN.

Для примера на узле создано клиентское правило Site-to-Site VPN rule, в котором используются необходимые настройки для Site-to-Site VPN. Рассмотрим ключевые настройки этого правила для рассматриваемого примера создания защищенного VPN-соединения.

1. Включено — включить правило.

2. Профиль безопасности VPN — созданный на Шаге 5 клиентский профиль безопасности VPN.

3. Интерфейс — созданный на Шаге 2 VPN-интерфейс.

4. Адрес сервера.В рассматриваемом примере это доменное имя NGFW 1 (ug.testd.local), выполняющего роль VPN-сервера.

После завершения настройки VPN-сервера и VPN-клиента клиент инициирует соединение в сторону сервера, и в случае корректности настроек, поднимается VPN-туннель. Для отключения туннеля выключите клиентское (на клиенте) или серверное (на сервере) правило VPN.

Проверка VPN-соединения

 После установлении VPN-туннеля в веб-консоли администратора на узлах NGFW 1 и NGFW 2 в разделе Журналы и отчеты ➜ Мониторинг ➜ VPN появится информация о новом туннеле.

На NGFW 1:

На NGFW 2:

В разделе Журналы и отчеты ➜ Мониторинг ➜ Маршруты на узле NGFW 2 добавится маршрут в сеть удаленного офиса 192.168.1.0/24 через туннельный интерфейс tunnel3:

IP-адреса противоположной стороны туннеля доступны с каждого узла.

Со стороны NGFW 1:

Со стороны NGFW 2:

Хосты в сетях обоих офисов доступны друг для друга: