В разделе Настройки ➜ Сеть ➜ Зоны создайте зону WAN и активируйте сервис VPN в параметрах контроля доступа для этой зоны. Подробнее о создании и настройке зон — в разделе «Настройка зон».

2. Создайте зону для VPN-подключений.

В этом примере воспользуемся уже созданной по умолчанию на узле зоной VPN for Site-to-Site. Подробнее о создании и настройке зон — в разделе «Настройка зон».

3. Создайте VPN-интерфейс, который будет использоваться для установления туннеля.

В этом примере воспользуемся созданным по умолчанию интерфейсом tunnel3. Подробнее о создании и настройке сетевых интерфейсов — в разделе «Настройка интерфейсов».

4. Настройте параметры аутентификации.

Создайте локальную учетную запись, которая будет использоваться для аутентификации узла-инициатора соединения (NGFW2) при установлении L2TP-туннеля. В веб-консоли NGFW1 в разделе Настройки ➜ Пользователи и устройства ➜ Пользователи создана локальная учетная запись User for S2S (логин vpn_user_s2s). Для удобства использования все созданные подобные учетные записи могут быть помещены в имеющуюся группу VPN servers, которой будет дан доступ для подключения по VPN. Подробнее о создании учетных записей пользователей и групп — в разделе «Пользователи и группы».
Создайте профиль аутентификации. Для примера в разделе Настройки ➜ Пользователи и устройства ➜ Профили аутентификации создан профиль local user auth profile, на вкладке метода аутентификации выбран Локальный пользователь. Подробнее о профилях аутентификации — в разделе «Профили аутентификации».

5. Создайте правило подключения.

В разделе Настройки ➜ VPN-сервер ➜ Правила подключения нажмите Добавить и выберите протокол IKE. Укажите следующие ключевые параметры:

На вкладке Общие:
- Укажите название правила подключения.
- Выберите протокол подключения IKEv1PSK.
- Выберите режим IKE: Основной.
- Укажите значение общего ключа для аутентификации удаленного узла при установлении защищенного соединения IPsec.

На вкладке Источник укажите зону или адреса, с которых разрешено принимать подключения к VPN. В этом примере разрешено запрашивать подключение к VPN из зоны WAN.

На вкладке Назначение вы можете указать списки адресов, на которые будут приходить запросы на VPN-подключения.
На вкладке Фаза 1 укажите время жизни ключей, параметры работы режима DPD и криптографические параметры фазы 1 согласования защищенного соединения.
- Для этого примера настроены параметры работы механизма DPD в режиме Всегда включено.
- Значения параметров криптографии для этого примера оставим заданными по умолчанию.

6. Создайте правило аутентификации.

В разделе Настройки ➜ VPN-сервер ➜ Правила аутентификации нажмите Добавить и выберите Site-to-Site ➜ IPsec/L2TP. Укажите следующие ключевые параметры:

На вкладке Общие:
- Укажите название правила аутентификации.
- Выберите профиль аутентификации удаленного сервера-инициатора соединения, созданный на шаге 4.
- Выберите тип идентификации узлов (IPv4).
- Укажите значения параметров идентификации узла-инициатора и узла-ответчика. В этом примере в качестве значений параметров идентификации указаны IP-адреса внешних интерфейсов узлов NGFW2 и NGFW1.
- В разделе Правила подключения добавьте созданное на предыдущем шаге правило подключения.

На вкладке Фаза 2 укажите параметры второй фазы согласования защищенного соединения. Для этого примера оставим значения параметров, заданные по умолчанию.

7. Создайте политику VPN-подключения.

В разделе Настройки ➜ VPN-сервер ➜ Политики VPN нажмите Добавить и выберите Site-to-Site ➜ IPsec/L2TP. Укажите следующие ключевые параметры:

На вкладке Общие:
- Укажите название политики VPN-подключения.
- В блоке Правила аутентификации добавьте созданное на предыдущем шаге правило аутентификации.

На вкладке Пользователи вы можете указать учетные записи или группы, созданные для серверов, которым разрешено подключаться по VPN.
На вкладке Подсети для VPN:
- Выберите VPN-адаптер, который будет использоваться для установления соединения (tunnel3).
- Укажите диапазон IP-адресов и маску подсети, которые будут использованы клиентами. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу NGFW1 (172.16.0.1), используемому совместно с этой сетью.
- Оставьте флажок Использовать системные DNS-серверы, в этом случае клиенту будут назначены DNS-серверы, которые использует NGFW1.

На вкладке Маршруты VPN вы можете указать маршруты к подсетям за VPN-сервером, передаваемые узлу-инициатору.

Чтобы VPN-сервер (NGFW1) узнал о подсетях за узлом-инициатором соединения, вы можете прописать маршрут к подсетям в свойствах виртуального маршрутизатора VPN-сервера (Настройки ➜ Сеть ➜ Виртуальные маршрутизаторы), указав в качестве адреса назначения адрес VPN-туннеля, используемый на NGFW2.

8. Настройте доступ к сетевым ресурсам.

Для предоставления доступа пользователям VPN в определенные сегменты сети создайте в разделе Настройки ➜ Политики сети ➜ Межсетевой экран правило межсетевого экрана, разрешающее трафик из созданной на шаге 2 зоны в нужные зоны. Чтобы трафик передавался клиенту из разрешенных зон через VPN-туннель, разрешите трафик из нужной зоны источника в зону VPN for Site-to-Site.

Для этого примера создано правило межсетевого экрана, разрешающее трафик между зоной VPN for Site-to-Site и зоной LAN1.

Подробнее о создании и настройке правил межсетевого экрана — в разделе «Межсетевой экран».

Настройка VPN-клиента

Для настройки NGFW2 в качестве узла-инициатора соединения выполните следующие шаги:

1. Создайте зону для VPN подключений.

В этом примере воспользуемся уже созданной на узле зоной VPN for Site-to-Site.

2. Создайте VPN-интерфейс.

Для этого примера создан VPN-интерфейс tunnel4. Режим получения IP-адреса у этого интерфейса динамический.

3. Настройте доступ к сетевым ресурсам.

Для предоставления доступа пользователям VPN в определенные сегменты сети создайте в разделе Настройки ➜ Политики сети ➜ Межсетевой экран правило межсетевого экрана, разрешающее трафик из созданной на шаге 1 зоны в нужные зоны. Чтобы трафик передавался клиенту из разрешенных зон через VPN-туннель, разрешите трафик из нужной зоны источника в зону VPN for Site-to-Site.

Для этого примера создано правило межсетевого экрана, разрешающее трафик между зоной VPN for Site-to-Site и зоной LAN2.

4. Создайте правило подключения к VPN.

В разделе Настройки ➜ VPN Site-to-Site клиент ➜ Подключение клиента нажмите Добавить и выберите протокол IPsec/L2TP. Укажите следующие ключевые параметры:

На вкладке Общие:
- Укажите название правила подключения.
- Выберите режим IKE: Основной.
- Укажите значение общего ключа для аутентификации узлов. Ключи на VPN-сервере и узле-инициаторе соединения должны совпадать.
- Выберите параметр идентификации узлов: IPv4.
- Укажите в качестве значений параметров идентификации IP-адреса интерфейсов NGFW2 и NGFW1 из зоны WAN.
- Укажите логин и пароль учетной записи, созданной на шаге 4 при настройке NGFW1 для аутентификации NGFW2 в процессе установления L2TP-туннеля.

На вкладке Фаза 1 укажите время жизни ключей, параметры работы режима DPD и криптографические параметры фазы 1 согласования защищенного соединения.
- Для этого примера настроены параметры работы механизма DPD в режиме Всегда включено.
- Значения параметров криптографии для этого примера оставим заданными по умолчанию.

На вкладке Фаза 2 укажите параметры второй фазы для установления защищенного канала. Для этого примера оставим значения криптографических параметров, заданные по умолчанию.

5. Создайте клиентское правило.

В разделе Настройки ➜ VPN Site-to-Site клиент ➜ Клиентские правила нажмите Добавить и укажите следующие ключевые параметры:

Укажите название клиентского правила.
Выберите созданное ранее подключение к VPN (ipsec/l2tp).
Выберите в качестве туннельного интерфейса интерфейс tunnel4, созданный на шаге 2.
Укажите IP-адрес VPN-сервера (10.72.0.32).

Для инициации соединения включите клиентское правило.

Проверка VPN-соединения

После установлении VPN-туннеля в веб-консоли NGFW 2 в строке клиентского правила появится индикация успешного установления VPN-туннеля.

На узлах NGFW1 и NGFW2 в разделе Диагностика и мониторинг ➜ Мониторинг ➜ VPN появится информация о новом туннеле.

В разделе Диагностика и мониторинг ➜ Мониторинг ➜ Маршруты на узле NGFW2 добавится маршрут в сеть удаленного офиса 10.75.0.0/16 через туннельный интерфейс tunnel4.

IP-адреса противоположной стороны туннеля доступны с каждого узла.

Со стороны NGFW1.

Со стороны NGFW2.

Сервер и компьютер в сетях обоих офисов доступны друг для друга.

Admin@nodename:~$ ip a show ens224
3: ens224: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:54:54:a8:7c:91 brd ff:ff:ff:ff:ff:ff
    altname enp19s0
    inet 10.75.0.27/16 brd 10.75.255.255 scope global ens224
       valid_lft forever preferred_lft forever
    inet6 fe80::254:54ff:fea8:7c91/64 scope link
       valid_lft forever preferred_lft forever
Admin@nodename:~$ ping 10.6.1.11
PING 10.6.1.11 (10.6.1.11) 56(84) bytes of data.
64 bytes from 10.6.1.11: icmp_seq=1 ttl=62 time=5.13 ms
64 bytes from 10.6.1.11: icmp_seq=2 ttl=62 time=3.64 ms
64 bytes from 10.6.1.11: icmp_seq=3 ttl=62 time=3.37 ms
^C
--- 10.6.1.11 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 3.370/4.043/5.126/0.772 ms

Admin@nodename:~$ ip a show dev ens224
3: ens224: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:54:54:a8:7c:94 brd ff:ff:ff:ff:ff:ff
    altname enp19s0
    inet 10.6.1.11/16 brd 10.6.255.255 scope global ens224
       valid_lft forever preferred_lft forever
    inet6 fe80::254:54ff:fea8:7c94/64 scope link
       valid_lft forever preferred_lft forever
Admin@nodename:~$ ping 10.75.0.27
PING 10.75.0.27 (10.75.0.27) 56(84) bytes of data.
64 bytes from 10.75.0.27: icmp_seq=1 ttl=62 time=6.29 ms
64 bytes from 10.75.0.27: icmp_seq=2 ttl=62 time=6.17 ms
64 bytes from 10.75.0.27: icmp_seq=3 ttl=62 time=8.40 ms
^C
--- 10.75.0.27 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 6.169/6.952/8.402/1.026 ms