ID статьи: 1341
Последнее обновление: 26 авг, 2024
Product: NGFW Version: 7.1.x Technology: VPN
В качестве примера для создания Site-to-Site VPN-туннеля будет рассмотрена следующая схема: Настройка VPN-сервераДля настройки узла NGFW 1 в качестве VPN-сервера необходимо выполнить следующие шаги: Шаг 1. Разрешить сервис VPN в контроле доступа зоны, c которой будут подключаться VPN-клиенты. В разделе Сеть ➜ Зоны отредактируем параметры контроля доступа для зоны Untrusted. Необходимо разрешить сервис VPN в этой зоне. Подробнее о создании и настройках зон смотрите в статье Настройка зон. Шаг 2. Создать зону для VPN подключений. В данном примере воспользуемся уже созданной по умолчанию на узле зоной VPN for Site-to-Site. Подробнее о создании и настройках зон смотрите в статье Настройка зон. Шаг 3. Настроить параметры аутентификации. 1. Примеры создания самоподписанных сертификатов приведены в Приложении. Импортируем созданные сертификаты VPN-сервера и корневой сертификат. В разделе UserGate ➜ Сертификаты нажать кнопку Импортировать. В открывшемся окне указать название сертификата и добавить сгенерированные файлы сертификата VPN-сервера и его приватного ключа. В этом же разделе импортируем корневой сертификат без указания приватного ключа. Создадим профиль клиентских сертификатов в веб-консоли администратора NGFW 1, исполняющего роль VPN-сервера. Для этого необходимо перейти в раздел UserGate ➜ Профили клиентских сертификатов и нажать кнопку Добавить. В открывшемся окне указать название профиля, добавить импортированный на предыдущем шаге корневой сертификат и выбрать поле Commоn-name, Subject altname email или Principal name для получения имени пользователя: 2. Создадим профиль аутентификации для VPN пользователей. Подробно о профилях аутентификации смотрите в разделе данного руководства Профили аутентификации. Для данного примера был создан профиль аутентификации в домене testd.local через LDAP-коннектор: Шаг 4.Создать профиль безопасности VPN. В данном примере воспользуемся уже созданным по умолчанию на узле профилем безопасности Site-to-Site VPN profile, задающим необходимые настройки. Рассмотрим ключевые настройки этого профиля для примера создания защищенного VPN-соединения в этой статье: 1. Версия протокола IKE (Internet Key Exchange). В данном примере для создания защищенного канала будет использоваться протокол IKEv2. 2. Тип идентификации (параметр IKE local ID). В рассматриваемом примере VPN-соединение устанавливается между узлами UserGate, указывать тип идентификации не требуется. 3. Указать сертификат сервера, импортированный ранее на Шаге 3. 4. В качестве режима аутентификации выберем PKI. 5. Выберем профиль клиентского сертификата, созданный ранее на Шаге 3. Далее необходимо задать параметры первой и второй фаз согласования защищенного соединения. Для рассматриваемого примера оставим эти параметры, как они созданы в профиле Site-to-Site VPN profile по умолчанию: В данном примере воспользуемся уже созданным по умолчанию на узле VPN-интерфейсом tunnel2, который может быть использован для настройки Site-to-Site VPN. Рассмотрим ключевые параметры этого интерфейса для примера создания защищенного VPN-соединения в этой статье: 1. Поставить флажок включения интерфейса. 2. Название — название интерфейса уже задано (tunnel2). 3. Зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к NGFW 1, будут также помещены в эту зону. В данном примере указывается зона VPN for Site-to-Site. 4. Режим — тип присвоения IP-адреса. При использовании интерфейса для приема VPN-подключений необходимо использовать статический IP-адрес. В данном примере используется статический IP-адрес 172.30.255.1, который задается в поле 6. 5. MTU — размер MTU в данном примере оставим по умолчанию. 6. Добавим статический IP-адрес туннельного интерфейса tunnel2 172.30.255.1 c маской 255.255.255.0. В данном примере воспользуемся уже созданной по умолчанию на узле сетью Site-to-Site VPN network. Рассмотрим ключевые настройки этой сети для примера создания защищенного VPN-соединения в этой статье: 1. Диапазон IP-адресов, которые будут использованы клиентами. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу NGFW 1 (172.30.255.1), используемому совместно с данной сетью. 2. Маска сети VPN. 3. Оставим флажок Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует NGFW. 4. Маршруты VPN — в данном примере добавлен список Local network, включающий в себя подсеть 192.168.1.0/24. Чтобы VPN-сервер узнал о подсетях клиента, необходимо в свойствах виртуального маршрутизатора (Сеть ➜ Виртуальные маршрутизаторы ) сервера прописать статический маршрут, указав в качестве адреса назначения адрес VPN-туннеля, используемый на VPN-клиенте: В разделе Журналы и отчеты ➜ Мониторинг ➜ Маршруты можно увидеть, что добавился маршрут в сеть 100.100.0.0/24 через туннельный интерфейс tunnel2: Шаг 7. Создать серверное правило VPN. В данном примере воспользуемся уже созданным по умолчанию на узле серверным правилом Site-to-Site VPN rule, в котором используются необходимые настройки для Site-to-Site VPN. Рассмотрим ключевые настройки этого правила для примера создания защищенного VPN-соединения в этой статье: 1. Включено — включить правило VPN. 2. Профиль безопасности VPN — серверный профиль безопасности VPN, созданный ранее на Шаге 4 (Site-to-Site VPN profile). 3. Сеть VPN — сеть VPN, созданная ранее на Шаге 6 (Site-toSite VPN network). 4. Профиль аутентификации — профиль аутентификации для пользователей VPN, созданный ранее (см. Шаг 3). 5. Интерфейс — созданный ранее на Шаге 5 интерфейс VPN (tunnel2). 6. Источник — зоны и адреса, с которых разрешено принимать подключения к VPN. В данном примере укажем зону Untrusted. 7. Пользователи — в данном примере указывается имя пользователя домена user1 (testd.local\user1), на которого был выписан сертификат, с которым аутентифицируется VPN-клиент NGFW 2 при установлении защищенного соединения. 8. Назначение — в данном случае в список Ext. address входит внешний IP-адрес VPN-сервера NGFW 1 — 203.0.113.1 Шаг 8. Контроль доступа к ресурсам. При необходимости предоставления доступа пользователям VPN в определенные сегменты сети, или, например, для предоставления доступа в интернет в разделе Политики сети ➜ Межсетевой экран необходимо создать правило межсетевого экрана, разрешающее трафик из созданной на Шаге 2 зоны в требуемые зоны. Подробнее о создании и настройке правил межсетевого экрана смотрите в статье Межсетевой экран. Для примера на узле создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Site-to-Site в зоны Trusted и Untrusted. Правило выключено по умолчанию, необходимо его включить. Чтобы трафик передавался клиенту из разрешенных зон через VPN-туннель, необходимо создать разрешающее правило межсетевого экрана, указав нужную зону источника и зону назначения, например, VPN for Site-to-Site. Настройка VPN-клиентаДля настройки узла NGFW 2 в качестве VPN-клиента необходимо выполнить следующие шаги: Шаг 1. Создать зону для VPN подключений. В данном примере воспользуемся уже созданной на узле зоной VPN for Site-to-Site. Подробнее о создании и настройках зон смотрите в статье Настройка зон. В данном примере воспользуемся уже созданным по умолчанию на узле VPN-интерфейсом tunnel3, который может быть использован для клиентского подключения Site-to-Site VPN. Рассмотрим ключевые настройки этого интерфейса для примера создания защищенного VPN-соединения в этой статье: 1. Поставить флажок включения интерфейса. 2. Название — название интерфейса уже задано (tunnel3). 3. Зона, к которой будет относится данный интерфейс. В этом примере указывается зона VPN for Site-to-Site, созданная на Шаге 1. 4. Режим. Для использования интерфейса в качестве клиентского VPN, необходимо использовать режим получения адреса — Динамический. При установлении соединения интерфейсу будет присвоен IP-адрес из диапазона сети VPN, созданной на Шаге 6 настроек VPN-сервера. 5. MTU — размер MTU в рассматриваемом примере оставим по умолчанию. Шаг 3. Настроить параметры аутентификации. Импортируем созданный ранее сертификат VPN-клиента. Примеры создания самоподписанных сертификатов приведены в Приложении. В разделе UserGate ➜ Сертификаты нажать кнопку Импортировать. В открывшемся окне указать название сертификата и добавить сгенерированные файлы сертификата VPN-клиента и приватного ключа. Шаг 4. Контроль доступа к ресурсам. Для примера на узле создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик между зонами VPN for Site-to-Site, Trusted и Untrusted. Чтобы трафик передавался на сервер из нужной зоны сервера-клиента через VPN-туннель, создадим разрешающее правило межсетевого экрана, указав нужную зону источника (Trusted и Untrusted) и зону назначения VPN for Site-to-Site. Шаг 5. Создать профиль безопасности VPN. Для примера на узле создан профиль безопасности Client VPN profile, задающий необходимые настройки. Рассмотрим ключевые настройки этого профиля для рассматриваемого примера создания защищенного VPN-соединения. 1. Протокол. В рассматриваемом примере для создания защищенного канала будет использоваться IKEv2 с сертификатом. 2. Тип идентификации (параметр IKE local ID). В рассматриваемом примере VPN-соединение устанавливается между узлами UserGate, указывать тип идентификации не требуется. 3. Выберем сертификат клиента, импортированный ранее на Шаге 3. Далее необходимо задать параметры первой и второй фаз согласования защищенного соединения. Для рассматриваемого примера оставим эти параметры, как они созданы в профиле Client VPN profile по умолчанию: Шаг 6. Создать клиентское правило VPN. Для примера на узле создано клиентское правило Site-to-Site VPN rule, в котором используются необходимые настройки для Site-to-Site VPN. Рассмотрим ключевые настройки этого правила для рассматриваемого примера создания защищенного VPN-соединения. 1. Включено — включить правило. 2. Профиль безопасности VPN — созданный на Шаге 5 клиентский профиль безопасности VPN. 3. Интерфейс — созданный на Шаге 2 VPN-интерфейс. 4. Адрес сервера.В рассматриваемом примере это доменное имя NGFW 1 (ug.testd.local), выполняющего роль VPN-сервера. После завершения настройки VPN-сервера и VPN-клиента клиент инициирует соединение в сторону сервера, и в случае корректности настроек, поднимается VPN-туннель. Для отключения туннеля выключите клиентское (на клиенте) или серверное (на сервере) правило VPN. Проверка VPN-соединенияПосле установлении VPN-туннеля в веб-консоли администратора на узлах NGFW 1 и NGFW 2 в разделе Журналы и отчеты ➜ Мониторинг ➜ VPN появится информация о новом туннеле. На NGFW 1: На NGFW 2: В разделе Журналы и отчеты ➜ Мониторинг ➜ Маршруты на узле NGFW 2 добавится маршрут в сеть удаленного офиса 192.168.1.0/24 через туннельный интерфейс tunnel3: IP-адреса противоположной стороны туннеля доступны с каждого узла. Со стороны NGFW 1: Со стороны NGFW 2: Хосты в сетях обоих офисов доступны друг для друга:
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 1341
Последнее обновление: 26 авг, 2024
Ревизия: 22
Просмотры: 6039
Комментарии: 0
Также опубликовано в
|