Пример настройки удаленного доступа в сеть для конечного устройства на Astra Linux

В качестве примера для создания VPN-подключения на конечным устройстве на Astra Linux будет рассмотрена следующая схема.

В этом примере UserGate NGFW выступает в роли VPN-сервера, а компьютер пользователя на Astra Linux с установленным ПО UserGate Client — в роли конечного устройства. Аутентификация пользователя будет происходить с помощью сертификата, при настройке сервера будет использован режим раздельного туннелирования (передача маршрута до сети за сервером). 

Сначала необходимо настроить VPN-сервер, затем настроить VPN-клиент на конечном устройстве и инициировать подключение к VPN-серверу.

Настройка VPN-сервера

Для настройки UserGate NGFW в качестве VPN-сервера выполните следующие шаги: 

1. Разрешите сервис VPN в контроле доступа зоны, из которой будут подключаться конечные устройства.

В веб-консоли администратора в разделе Настройки ➜ Сеть ➜ Зоны создайте зону LAN1. В параметрах контроля доступа зоны разрешите сервис VPN. Подробнее о создании и настройке зон — в разделе «Настройка зон».

2. Создайте зону для VPN-подключений.

В этом примере воспользуемся уже созданной по умолчанию на узле зоной VPN for remote access. Подробнее о создании и настройке зон — в разделе «Настройка зон».

3. Настройте параметры аутентификации:

• Импортируйте созданные сертификаты: сертификат VPN-сервера и корневой сертификат. Примеры создания самоподписанных сертификатов приведены в Приложении.

В разделе Настройки ➜ Консоль администратора ➜ Сертификаты нажмите Импортировать.  В открывшемся окне укажите название сертификата и добавьте созданные ранее файлы сертификата VPN-сервера и его закрытого ключа. В этом же разделе импортируйте корневой сертификат без указания закрытого ключа.

Создайте профиль клиентских сертификатов в веб-консоли администратора NGFW. Для этого перейдите в раздел Настройки ➜ Консоль администратора ➜ Профили клиентских сертификатов и нажмите Добавить. В открывшемся окне укажите название профиля, добавьте импортированный на предыдущем шаге корневой сертификат и выберите Commоn-name, Subject altname email или Principal name для получения имени пользователя.

• Создайте профиль аутентификации for pki для пользователей VPN. Подробно о профилях аутентификации — в разделе «Профили аутентификации». Для этого примера был создан профиль аутентификации в домене ADTEST1 через LDAP-коннектор ad2016:

4. Создайте профиль безопасности VPN.

В разделе Настройки ➜ VPN ➜ Серверные профили безопасности создайте профиль безопасности, указав следующие ключевые параметры:

• Протокол. В этом примере для создания защищенного канала будет использоваться протокол IKEv2.

• Тип идентификации (параметр IKE local ID). В рассматриваемом примере можно не указывать тип идентификации.

• Укажите сертификат сервера, импортированный ранее на шаге 3.

• В качестве режима аутентификации выберите PKI.

• Выберите профиль клиентского сертификата, созданный ранее на шаге 3.

Далее необходимо задать параметры первой и второй фаз согласования защищенного соединения. Для рассматриваемого примера оставим заданные по умолчанию параметры.  

 5. Создайте VPN-интерфейс.

В этом примере воспользуемся уже созданным по умолчанию на узле VPN-интерфейсом tunnel1, который может быть использован для настройки remote access VPN. Рассмотрим ключевые параметры этого интерфейса:

• Поставьте флажок включения интерфейса.

• Название — название интерфейса уже задано (tunnel1).

• Зона, к которой будет относится интерфейс. Все клиенты, подключившиеся по VPN к NGFW, будут также помещены в эту зону. В этом примере указывается зона VPN for remote access.

• Режим — тип присвоения IP-адреса. При использовании интерфейса для приема VPN-подключений необходимо использовать статический IP-адрес.

• MTU — размер MTU в этом примере оставим по умолчанию.

• Добавьте статический IP-адрес туннельного интерфейса tunnel1 172.30.250.1 c маской 255.255.255.0.

6. Создайте сеть VPN.

Создайте сеть split tun include route. Рассмотрим ключевые параметры этой сети:

• Диапазон IP-адресов, которые будут использованы клиентами. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу NGFW 1 (172.30.250.1), используемому совместно с этой сетью.

• Маска сети VPN.

• Оставьте флажок Использовать системные DNS-серверы, в этом случае клиенту будут назначены DNS-серверы, которые использует NGFW.

• Маршруты для UserGate Client — в этом примере добавлена сеть 10.153.0.0/16. Подробнее о настройке параметров режима раздельного туннелирования — в разделе «Настройки раздельного туннелирования для UserGate Client».

 7. Создайте серверное правило VPN.

Рассмотрим ключевые для нашего примера параметры правила:

• Включено — включить правило VPN.

• Профиль безопасности VPN — серверный профиль безопасности VPN, созданный ранее на шаге 4 (for pki).

• Сеть VPN — сеть VPN, созданная ранее на шаге 6 (split tun include route).

• Профиль аутентификации — профиль аутентификации для пользователей VPN (for pki), созданный ранее на шаге 3.

• Интерфейс — созданный ранее на шаге 5 интерфейс VPN (tunnel1).

• Источник — зоны и адреса, с которых разрешено принимать подключения к VPN. В данном примере укажем зону LAN1.

8. Настройте контроль доступа к ресурсам.

• Чтобы трафик мог исходить из созданной на шаге 2 зоны, создайте правило NAT, разрешающее подмену IP-адресов при поступлении трафика из зоны VPN for remote access в зоны LAN1 и LAN2.. Правило создается в разделе Политики сети ➜ NAT и маршрутизация.

• При необходимости предоставления доступа пользователям VPN в определенные сегменты сети в разделе Настройки ➜ Политики сети ➜ Межсетевой экран необходимо создать правило межсетевого экрана, разрешающее трафик из созданной зоны в требуемые зоны. Для этого примера создано правило межсетевого экрана, разрешающее весь трафик из зоны VPN for remote access в зону LAN2. 

Настройка VPN-клиента

Рассмотрим пример настройки UserGate Client для удаленного подключения на компьютере с операционной системой Astra Linux. Предполагается, что ПО UserGate Client уже установлено на конечном устройстве (подробнее об установке ПО  — в разделе «UserGate Client для Linux»).

Для настройки VPN-клиента необходимо выполнить следующие шаги:

1. Откройте окно настройки приложения UserGate Client и перейдите на вкладку Certificates. Нажмите Add certificate и добавьте заранее созданный сертификат пользователя.

2. Перейдите на вкладку Settings. Укажите имя VPN-сервера. Выберите режим аутентификации Certificate и укажите добавленный на предыдущем шаге сертификат пользователя.

3. Сохраните параметры, нажав Save.

Настройка VPN-клиента завершена.

Для установления VPN-соединения необходимо в строке состояния в правом нижнем углу нажать на иконку UserGate Client и в появившемся меню выбрать Connect.

В случае успешного установления соединения на иконке UserGate Client появится индикация в виде точки зеленого цвета.

Проверка подключения

После установлении VPN-соединения в веб-консоли администратора UserGate NGFW на вкладке Диагностика и мониторинг в разделе VPN появится индикация нового VPN-соединения.

В Журнале событий на вкладке Журналы и отчеты отобразится соответствующая запись.

На стороне конечного устройства добавится маршрут в сеть 10.153.0.0/16, узел в удаленной сети (10.153.0.5) доступен.