Пример настройки site-to-site VPN с IPSec (IKEv2) и аутентификацией посредством сертификатов

В качестве примера для создания site-to-site VPN-туннеля будет рассмотрена следующая схема.

Настройка VPN-сервера

Для настройки узла NGFW1 в качестве VPN-сервера (ответчика) выполните следующие шаги: 

1. Создайте зону, из которой будет подключаться сервер-инициатор подключения и разрешите сервис VPN для этой зоны.

В разделе Настройки ➜ Сеть ➜ Зоны создайте зону WAN и активируйте сервис VPN в параметрах контроля доступа для этой зоны. Подробнее о создании и настройке зон — в разделе «Настройка зон».

2. Создайте зону для VPN-подключений.

В этом примере воспользуемся уже созданной по умолчанию на узле зоной VPN for Site-to-Site. Подробнее о создании и настройке зон — в разделе «Настройка зон».

3. Создайте VPN-интерфейс, который будет использоваться для установления туннеля.

В этом примере воспользуемся созданным по умолчанию интерфейсом tunnel2. Подробнее о создании и настройке сетевых интерфейсов — в разделе «Настройка интерфейсов».

4. Настройте параметры аутентификации.

• Импортируйте созданный заранее сертификат VPN-сервера и корневой сертификат. О примерах создания самоподписанных сертификатов —  в Приложении.

В разделе Настройки ➜ Консоль администратора ➜ Сертификаты нажмите Импорт.  В открывшемся окне укажите название сертификата и добавьте сгенерированные файлы сертификата VPN-сервера и его закрытого ключа. В этом же разделе импортируйте корневой сертификат без указания закрытого ключа.

• Создайте профиль клиентского сертификата в веб-консоли NGFW1. Для этого перейдите в раздел Настройки ➜ Консоль администратора ➜ Профили клиентских сертификатов и нажмите Добавить. В открывшемся окне укажите название профиля, добавьте импортированный на предыдущем шаге корневой сертификат и выберите поле Subject altname IPv4 для получения из сертификата узла-инициатора соединения (NGFW2) его IP-адреса.

5. Создайте правило подключения.

В разделе Настройки ➜ VPN-сервер ➜ Правила подключения нажмите Добавить и выберите протокол IKE. Укажите следующие ключевые параметры:

• На вкладке Общие:

  • Укажите название правила подключения.

  • Выберите протокол подключения IKEv2.

• На вкладке Источник укажите зону или адреса, с которых разрешено принимать подключения к VPN. В этом примере разрешено запрашивать подключение к VPN из зоны WAN.

• На вкладке Назначение вы можете указать списки адресов, на которые будут приходить запросы на VPN-подключения.

• На вкладке Фаза 1 укажите время жизни ключей, параметры работы режима DPD и криптографические параметры фазы 1 согласования защищенного соединения. Для этого примера оставим значения параметров, заданные по умолчанию.

6. Создайте правило аутентификации.

В разделе Настройки ➜ VPN-сервер ➜ Правила аутентификации нажмите Добавить и выберите Site-to-Site ➜ IKEv2. Укажите следующие ключевые параметры:

• На вкладке Общие:

  • Укажите название правила аутентификации.

  • Выберите режим аутентификации посредством сертификатов (PKI).

  • Выберите импортированный на шаге 4 сертификат VPN-сервера.

  • Выберите созданный на шаге 4 профиль клиентского сертификата.

  • Выберите тип идентификации узлов (IPv4).

  • Укажите значения параметров идентификации узла-инициатора и узла-ответчика. В этом примере в качестве значений параметров идентификации указаны IP-адреса внешних интерфейсов узлов NGFW2 и NGFW1.

  • В разделе Правила подключения добавьте созданное на предыдущем шаге правило подключения.

• На вкладке Фаза 2 укажите параметры второй фазы согласования защищенного соединения. Для этого примера оставим значения параметров, заданные по умолчанию.

7. Создайте политику VPN-подключения.

В разделе Настройки ➜ VPN-сервер ➜ Политики VPN нажмите Добавить и выберите Site-to-Site ➜ IPsec. Укажите следующие ключевые параметры:

• Укажите название правила аутентификации.

• Выберите VPN-адаптер, созданный на шаге 2 (tunnel2).

• В разделе Правила аутентификации добавьте созданное на предыдущем шаге правило аутентификации.

8. Контроль доступа к ресурсам.

Для предоставления доступа пользователям VPN в определенные сегменты сети создайте в разделе Настройки ➜ Политики сети ➜ Межсетевой экран правило межсетевого экрана, разрешающее трафик из созданной на шаге 2 зоны в нужные зоны. Чтобы трафик передавался клиенту из разрешенных зон через VPN-туннель, разрешите трафик из нужной зоны источника в зону VPN for Site-to-Site.

Для этого примера создано правило межсетевого экрана, разрешающее трафик между зоной VPN for Site-to-Site и зоной LAN1.

Подробнее о создании и настройке правил межсетевого экрана — в разделе «Межсетевой экран».

Настройка VPN-клиента

Для настройки узла NGFW2 в качестве узла-инициатора соединения выполните следующие шаги: 

1. Создайте зону для VPN-подключений.

В этом примере воспользуемся уже созданной на узле зоной VPN for Site-to-Site.

2. Создайте VPN-интерфейс.

Для этого примера создан VPN-интерфейс tunnel5. Режим получения IP-адреса у этого интерфейса динамический. 

3. Настройте параметры аутентификации.

Импортируйте созданный заранее сертификат VPN-клиента.

В разделе Настройки ➜ Консоль администратора ➜ Сертификаты нажмите Импорт.  В открывшемся окне укажите название сертификата и добавьте сгенерированные файлы сертификата VPN-сервера и его закрытого ключа.

4. Контроль доступа к ресурсам.

Для предоставления доступа пользователям VPN в определенные сегменты сети создайте в разделе Настройки ➜ Политики сети ➜ Межсетевой экран правило межсетевого экрана, разрешающее трафик из созданной на шаге 1 зоны в нужные зоны. Чтобы трафик передавался клиенту из разрешенных зон через VPN-туннель, разрешите трафик из нужной зоны источника в зону VPN for Site-to-Site.

Для этого примера создано правило межсетевого экрана, разрешающее трафик между зоной VPN for Site-to-Site и зоной LAN2.

5. Создайте правило подключения к VPN.

В разделе Настройки ➜ VPN Site-to-Site клиент ➜ Подключение клиента нажмите Добавить и выберите протокол IKEv2. Укажите следующие ключевые параметры:

• На вкладке Общие:

  • Укажите название правила подключения.

  • Выберите режим аутентификации c помощью сертификата (PKI).

  • Выберите импортированный на шаге 3 сертификат клиента.

  • Выберите параметр идентификации узла (IPv4).

  • Укажите в качестве значения параметра идентификации узла IP-адрес интерфейса из зоны WAN (10.72.0.31).

• На вкладке Фаза 1 укажите параметры фазы 1 для установления защищенного канала IKE SA: Для этого примера оставим значения параметров, заданные по умолчанию

•  На вкладке Фаза 2 укажите параметры второй фазы для установления защищенного канала IPsec SA.

  • Для этого примера оставим значения криптографических параметров, заданные по умолчанию.

  • В разделе Peer networks укажите адреса локальных и удаленных подсетей для определения селекторов трафика при организации защищенного канала передачи данных IPsec. В этом примере указываются адреса подсетей LAN2 и LAN1 соответственно 

6. Создайте клиентское правило.

В разделе Настройки ➜ VPN Site-to-Site клиент ➜ Клиентские правила нажмите Добавить и укажите следующие ключевые параметры:

• Укажите название клиентского правила.

• Выберите созданное ранее подключение к VPN (ikev2 pki).

• Выберите в качестве туннельного интерфейса интерфейс tunnel3.

• Укажите адрес VPN-сервера (vpntest.net).

Для инициации соединения включите клиентское правило.

Проверка VPN-соединения

После установлении VPN-туннеля в веб-консоли NGFW 2 в строке клиентского правила появится индикация успешного установления VPN-туннеля.

На узлах NGFW1 и NGFW2 в разделе Диагностика и мониторинг ➜ Мониторинг ➜ VPN появится информация о новом туннеле.

На узле NGFW1 в разделе Диагностика и мониторинг ➜ Мониторинг ➜ Маршруты добавится маршрут в сеть удаленного офиса 10.6.0.0/16 через туннельный интерфейс tunnel2.

На узле NGFW2 в разделе Диагностика и мониторинг ➜ Мониторинг ➜ Маршруты добавится маршрут в сеть удаленного офиса 10.75.0.0/16 через туннельный интерфейс tunnel5.

Узлы в сетях обоих офисов доступны друг для друга.

Admin@nodename:~$ ip a show ens224
3: ens224: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:54:54:a8:7c:91 brd ff:ff:ff:ff:ff:ff
    altname enp19s0
    inet 10.75.0.27/16 brd 10.75.255.255 scope global ens224
       valid_lft forever preferred_lft forever
    inet6 fe80::254:54ff:fea8:7c91/64 scope link
       valid_lft forever preferred_lft forever
Admin@nodename:~$ ping 10.6.1.11
PING 10.6.1.11 (10.6.1.11) 56(84) bytes of data.
64 bytes from 10.6.1.11: icmp_seq=1 ttl=62 time=3.54 ms
64 bytes from 10.6.1.11: icmp_seq=2 ttl=62 time=3.99 ms
64 bytes from 10.6.1.11: icmp_seq=3 ttl=62 time=4.85 ms
^C
--- 10.6.1.11 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 3.536/4.124/4.851/0.545 ms

Admin@nodename:~$ ip a show dev ens224
3: ens224: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:54:54:a8:7c:94 brd ff:ff:ff:ff:ff:ff
    altname enp19s0
    inet 10.6.1.11/16 brd 10.6.255.255 scope global ens224
       valid_lft forever preferred_lft forever
    inet6 fe80::254:54ff:fea8:7c94/64 scope link
       valid_lft forever preferred_lft forever
Admin@nodename:~$ ping 10.75.0.27
PING 10.75.0.27 (10.75.0.27) 56(84) bytes of data.
64 bytes from 10.75.0.27: icmp_seq=1 ttl=62 time=6.81 ms
64 bytes from 10.75.0.27: icmp_seq=2 ttl=62 time=6.78 ms
64 bytes from 10.75.0.27: icmp_seq=3 ttl=62 time=4.68 ms
^C
--- 10.75.0.27 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2004ms
rtt min/avg/max/mdev = 4.677/6.089/6.808/0.998 ms