Пример настройки удаленного доступа в сеть для конечного устройства на Astra Linux

Пример создания VPN-подключения между конечным устройством с операционной системой Astra Linux и UserGate NGFW версии 7.5.0.

В этом примере UserGate NGFW выступает в роли VPN-сервера, а компьютер пользователя на Astra Linux с установленным ПО UserGate Client — в роли конечного устройства. Аутентификация пользователя будет происходить с помощью сертификата X.509. Конечному устройству будет передан маршрут к сети за VPN-сервером. 

Сначала настройте VPN-сервер, затем настройте VPN-клиент на конечном устройстве и инициируйте подключение к VPN-серверу.

Настройка VPN-сервера

Для настройки UserGate NGFW в качестве VPN-сервера выполните следующие шаги: 

1. Разрешите сервис VPN в контроле доступа зоны, из которой будут подключаться конечные устройства.

В веб-консоли UserGate NGFW в разделе Настройки ➜ Сеть ➜ Зоны создайте зону WAN. В параметрах контроля доступа зоны разрешите сервис VPN. Подробнее о создании и настройке зон — в разделе «Настройка зон».

2. Создайте зону для VPN-подключений.

В этом примере воспользуемся уже созданной по умолчанию зоной VPN for remote access. Подробнее о создании и настройке параметров зон — в разделе «Настройка зон».

3. Создайте VPN-интерфейс для организации туннеля.

В этом примере воспользуемся уже созданным по умолчанию на узле VPN-интерфейсом tunnel1, который может быть использован для настройки remote access VPN. Изначально этот интерфейс не активен, его необходимо включить в свойствах интерфейса.

4. Настройте параметры аутентификации:

• Импортируйте созданные заранее сертификаты: сертификат VPN-сервера и корневой сертификат. Примеры создания самоподписанных сертификатов приведены в Приложении.

В разделе Настройки ➜ Консоль администратора ➜ Сертификаты нажмите Импортировать. В открывшемся окне укажите название сертификата и добавьте созданные ранее файлы сертификата VPN-сервера и его закрытого ключа. В этом же разделе импортируйте корневой сертификат без указания закрытого ключа.

• Создайте профиль клиентского сертификата в веб-консоли UserGate NGFW. Для этого перейдите в раздел Настройки ➜ Консоль администратора ➜ Профили клиентских сертификатов и нажмите Добавить. В открывшемся окне укажите название профиля, добавьте импортированный на предыдущем шаге корневой сертификат и выберите Commоn-name, Subject altname email или Principal name для получения имени пользователя.

• Создайте профиль аутентификации для пользователей VPN. Подробно о профилях аутентификации — в разделе «Профили аутентификации». Для этого примера был создан профиль аутентификации в домене ADTEST1 через LDAP-коннектор ad16:

5. Создайте правило подключения.

В разделе Настройки ➜ VPN-сервер ➜ Правила подключения нажмите Добавить и выберите протокол IKE. Укажите следующие ключевые параметры:

• На вкладке Общие:

  • Укажите название правила подключения.

  • Выберите протокол подключения IKEv2.

• На вкладке Источник укажите зону или адреса, с которых разрешено принимать подключения к VPN. В этом примере разрешено запрашивать подключение к VPN из зоны WAN.

• На вкладке Назначение вы можете указать списки адресов, на которые будут приходить запросы на VPN-подключения от конечных устройств.

• На вкладке Фаза 1 укажите криптографические параметры фазы 1 согласования защищенного соединения. Для этого примера оставим значения параметров, заданные по умолчанию. 

6. Создайте правило аутентификации.

В разделе Настройки ➜ VPN-сервер ➜ Правила аутентификации нажмите Добавить и выберите Удаленный доступ ➜ IKEv2. Укажите следующие ключевые параметры:

• На вкладке Общие:

  • Укажите название правила аутентификации.

  • Выберите импортированный на шаге 4 сертификат VPN-сервера.

  • Выберите созданный на шаге 4 профиль аутентификации пользователя.

  • Выберите режим аутентификации посредством сертификатов (PKI).

  • Выберите созданный на шаге 4 профиль клиентского сертификата.

  • В разделе Правила подключения добавьте созданное на предыдущем шаге правило подключения.

• На вкладке Фаза 2 укажите параметры второй фазы согласования защищенного соединения. Для этого примера оставим значения параметров, заданные по умолчанию. 

7. Создайте политику VPN-подключения.

В разделе Настройки ➜ VPN-сервер ➜ Политики VPN нажмите Добавить и выберите Удаленный доступ ➜ UserGate Client. Укажите следующие ключевые параметры:

• На вкладке Общие:

  • Поставьте флажок для включения политики VPN.

  • Укажите название правила аутентификации.

  • В разделе Правила аутентификации добавьте созданное на предыдущем шаге правило аутентификации.

• На вкладке Пользователи вы можете добавить локальную или доменную учетную запись или группу, которые будут использоваться для аутентификации пользователей.

• На вкладке Подсети для VPN 

  • Укажите VPN-интерфейс tunnel1, который будет использоваться для подключения.

  • Укажите диапазон IP-адресов, которые будут использованы для подключения. Исключите из диапазона адрес, который назначен VPN-интерфейсу UserGate NGFW, используемому совместно с данной сетью.

  • Укажите маску сети VPN.

  • Оставьте флажок Использовать системные DNS-серверы для передачи клиенту туннельного адреса UserGate NGFW в качестве DNS-сервера.

• На вкладке Маршруты для UserGate Client укажите параметры маршрутов, передаваемых на конечное устройство с помощью функции раздельного туннелирования.

  • В этом примере на конечном устройстве будет добавлен маршрут к тестовому серверу devsite.ext (10.153.0.5).

8. Настройте контроль доступа к ресурсам.

• Создайте правило NAT, выполняющее трансляцию IP-адресов при поступлении трафика из зоны VPN for remote access в зону LAN. Правило создается в разделе Политики сети ➜ NAT и маршрутизация.

• При необходимости предоставления доступа пользователям VPN в определенные сегменты сети в разделе Настройки ➜ Политики сети ➜ Межсетевой экран необходимо создать правило межсетевого экрана, разрешающее трафик из созданной зоны в требуемые зоны. Для этого примера создано правило межсетевого экрана, разрешающее весь трафик из зоны VPN for remote access в зону LAN. 

Настройка VPN-клиента

Предполагается, что ПО UserGate Client уже установлено на конечном устройстве. Подробнее об установке ПО  — в разделе «Настройка VPN-соединения на конечном устройстве».

Для настройки VPN-клиента необходимо выполнить следующие шаги:

1. Откройте окно настройки приложения UserGate Client и на вкладке VPN-соединения нажмите Добавить. 

2. Настройте параметры профиля VPN-соединения:

• Укажите название соединения.

• Укажите IP-адрес или доменное имя VPN-сервера. В этом примере указано доменное имя сервера vpntest.net. Адрес должен быть прописан в серверном сертификате, импортированном на шаге 4 настройки VPN-сервера.

• Выберите протокол для установления VPN-соединения. В этом примере используется протокол IKEv2.

• Выберите один из способов аутентификации. В этом примере используется аутентификация посредством сертификатов.

• Выберите заранее созданные файл сертификата пользователя ADTEST1\user, закрытый ключ и введите пароль закрытого ключа.

3. Сохраните параметры профиля, нажав Сохранить.

Настройка VPN-клиента завершена.

Для установления VPN-соединения в строке состояния в правом нижнем углу нажмите на значок UserGate Client и в появившемся меню выберите профиль соединения ikev2 pki.

В случае успешного подключения на значке UserGate Client появится символ установленного соединения.

Проверка подключения

После установлении VPN-соединения в веб-консоли UserGate NGFW на вкладке Диагностика и мониторинг в разделе Мониторинг ➜VPN появилась информация о новом VPN-соединении.

В Журнале событий на вкладке Журналы и отчеты появилась соответствующая запись.

На конечном устройстве в таблице маршрутизации добавился маршрут к серверу devsite.ext (10.153.0.5) через туннельный интерфейс. Сервер доступен с конечного устройства..