При совместном использовании GRE и IPsec могут быть созданы 2 типа соединений: IPsec over GRE и GRE over IPsec.
При использовании соединения IPsec over GRE происходит передача шифрованного трафика по незащищённому GRE-туннелю, т.е. сначала происходит инкапсуляция IPsec, а затем инкапсуляция GRE.
Для настройки IPsec over GRE необходимо:
Наименование |
Описание |
---|---|
Шаг 1. Настройка туннеля GRE. |
Подробнее о настройке туннельного интерфейса GRE читайте в разделе Интерфейс туннель. Важно! При настройке туннельного GRE интерфейса в качестве адресов источника (локальный IP) и назначения (удалённый IP) должны быть указаны внешние IP-адреса интерфейсов устройства. |
Шаг 2. Настройка Site-to-Site VPN-соединения. |
Подробнее о настройке Site-to-Site VPN-соединения читайте в разделе VPN для защищенного соединения офисов (Site-to-Site VPN). Важно! При настройке клиентского правила VPN в качестве адреса сервера необходимо указать IP-адрес туннельного интерфейса GRE. |
Недостаток IPsec over GRE: не поддерживается передача многоадресных и широковещательных пакетов. Эта проблема отсутствует при использовании соединения GRE over IPsec.
GRE over IPsec позволяет использовать преимущества GRE (поддержка многоадресной и широковещательной рассылки) и IPsec (передача трафика в зашифрованном виде). При использовании соединения GRE over IPsec происходит инкапсуляция в GRE пакеты, а затем их передача по зашифрованному каналу связи (инкапсуляция IPsec).
Для настройки GRE over IPsec необходимо:
Наименование |
Описание |
---|---|
Шаг 1. Настройка Site-to-Site VPN-соединения. |
Подробнее о настройке Site-to-Site VPN-соединения читайте в разделе VPN для защищенного соединения офисов (Site-to-Site VPN). |
Шаг 2. Настройка туннеля GRE. |
Подробнее о настройке туннельного интерфейса GRE читайте в разделе Интерфейс туннель. Важно! При настройке туннельного GRE интерфейса в качестве адресов источника (локальный IP) и назначения (удалённый IP) должны быть указаны IP-адреса VPN-интерфейсов. |
VPN (Virtual Private Network — виртуальная частная сеть) — обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, интернет). NGFW позволяет создавать VPN-подключения следующих типов:
VPN-сервер для удаленного доступа клиентов (Remote access VPN). В данном случае NGFW выступает в качестве сервера, а пользователи других устройств выступают в качестве клиентов VPN. NGFW поддерживает работу со стандартными клиентами большинства популярных операционных систем, например, таких, как Windows, Linux, Mac OS X, iOS, Android и другие.
VPN для защищенного соединения офисов (Site-to-Site VPN). В данном случае один NGFW выступает в качестве сервера, а другой NGFW выступает в роли клиента. Клиент инициирует соединение с сервером. Подключение сервер-сервер позволяет объединить разобщенные офисы компании в единую логическую сеть.
Для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных — протокол IPsec. Поддерживается многофакторная аутентификация пользователей при подключении к сервису VPN.
Для подключения VPN-клиентов к корпоративной сети необходимо настроить NGFW для выполнения роли VPN-сервера. Для этого необходимо выполнить следующие шаги:
Наименование |
Описание |
---|---|
Шаг 1. Разрешить сервис VPN на зоне, к которой будут подключаться VPN-клиенты. |
В разделе Сеть ➜ Зоны отредактировать параметры контроля доступа для той зоны, к которой будут подключаться VPN-клиенты, разрешить сервис VPN. Как правило, это зона Untrusted. |
Шаг 2. Создать зону, в которую будут помещены подключаемые по VPN клиенты. |
В разделе Сеть ➜ Зоны создать зону, в которую будут помещены подключаемые по VPN клиенты. Эту зону в дальнейшем можно использовать в политиках безопасности. Рекомендуется использовать уже существующую по умолчанию зону VPN for remote access. |
Шаг 3. Создать правило NAT для созданной зоны. |
Клиенты подключаются к VPN с использованием Point-to-Point протокола. Чтобы трафик мог ходить из созданной на предыдущем шаге зоны, необходимо создать правило NAT из этой зоны во все необходимые зоны. Создайте соответствующее правило в разделе Политики сети ➜ NAT и маршрутизация. По умолчанию вNGFW создано правило NAT from VPN for remote access to Trusted and Untrusted, разрешающее наттирование из зоны VPN for remote access в зоны Trusted и Untrusted. |
Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны. |
В разделе Политики сети ➜ Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны. По умолчанию в NGFW создано правило межсетевого экрана VPN for remote access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for remote access в зоны Trusted и Untrusted. |
Шаг 5. Создать профиль аутентификации. |
В разделе Пользователи и устройства ➜ Профили аутентификации создать профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей для получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP. VPN поддерживает многофакторную аутентификацию. Второй фактор может быть получен через одноразовые коды TOTP. Для ввода второго фактора аутентификации пользователь при подключении к VPN серверу должен указать свой пароль в виде: пароль:одноразовый_код где пароль — это пароль пользователя : — разделитель одноразовый_код — второй фактор аутентификации. Подробно о профилях авторизации смотрите в разделе данного руководства Профили аутентификации. Внимание! В версиях NGFW старше 6.1.8 данный раздел носит название Профили авторизации
|
Шаг 6. Создать профиль безопасности VPN. |
Профиль безопасности VPN определяет такие настройки, как общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей и использовать их для построения соединений с разными типами клиентов. Для создания профиля необходимо перейти в раздел VPN ➜ Профили безопасности VPN, нажать кнопку Добавить и заполнить следующие поля:
Далее необходимо задать параметры первой и второй фаз согласования. Во время первой фазы происходит согласование защиты IKE. Аутентификация происходит на основе общего ключа в режиме, выбранном ранее. Необходимо указать следующие параметры:
ВажноПри работе с операционными системами Windows и Android необходимо отключать проверку dead peer detection.
Во второй фазе осуществляется выбор способа защиты IPsec подключения. Необходимо указать:
По умолчанию в NGFW создан серверный профиль Remote access VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, то необходимо изменить общий ключ шифрования. Для упрощения настройки соединения с устройствами других вендоров по умолчанию созданы дополнительные профили безопасности (Cisco compatible VPN profile — для работы с устройствами Cisco и Fortinet compatible VPN profile — для работы с устройствами Fortinet). |
Шаг 7. Создать VPN-интерфейс. |
VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах NGFW, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений. В разделе Сеть ➜ Интерфейсы нажмите кнопку Добавить и выберите Добавить VPN. Задайте следующие параметры:
По умолчанию в системе уже создан VPN-интерфейс tunnel1, который рекомендовано использовать для Remote access VPN. |
Шаг 8. Создать сеть VPN. |
VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и — опционально — маршруты, которые будут переданы клиентам для применения, если клиенты поддерживают применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов. Важно! Добавление сетей VPN лучше делать в технологическое окно, так как при добавлении новой сети VPN происходит рестарт сервиса из за чего текущие VPN соединения прерываются на несколько десятков секунд.
Для создания туннеля VPN перейдите в раздел VPN ➜ Сети VPN, нажмите кнопку Добавить и заполните следующие поля:
В NGFW создана сеть Remote access VPN network с рекомендуемыми настройками. |
Шаг 9. Создать серверное правило VPN. |
Создать серверное правило VPN, используя в нем созданные ранее сеть VPN, интерфейс VPN и профиль VPN. Для создания правила необходимо перейти в раздел VPN ➜ Серверные правила, нажать кнопку Добавить и заполнить следующие поля:
По умолчанию в NGFW создано серверное правило Remote access VPN rule, в котором используются необходимые настройки для Remote Access VPN, а доступ к VPN разрешен членам локальной группы VPN users. Важно! Для применения различных серверных правил к разным клиентам необходимо использовать параметры Исходная зона и Адрес источника. Параметр Пользователь не является условием выбора серверного правила, проверка пользователя происходит уже после установления соединения VPN.
|
Шаг 10. Настроить VPN на клиентском компьютере. |
Для настройки клиентского подключения к VPN на компьютере пользователя необходимо указать следующие параметры:
Важно! Операционные системы Microsoft Windows требуют изменения параметров реестра для корректной работы с VPN-сервером L2TP/IPsec.
Операционные системы Windows версий 10 и выше, по умолчанию, не поддерживают L2TP-подключения к серверам, которые находятся за вышестоящими маршрутизаторами с функционалом NAT. Для возможности установки соединения необходимо внести следующие правки в реестр ОС Windows:
Важно! После внесения изменений в реестр их необходимо применить, например, перезагрузив компьютер.
Для получения более подробной информации обратитесь к статье Microsoft (https://docs.microsoft.com/en-US/troubleshoot/windows-server/networking/configure-l2tp-IPsec-server-behind-nat-t-device). |
Хотя настройка NGFW для выполнения роли VPN-сервера близка к настройке сервера для удаленного доступа, мы рекомендуем произвести все настройки отдельно, поскольку часть настроек может отличаться.
Настройка сервера, выполняющего роль VPN-сервера для объединения офисов:
Наименование |
Описание |
---|---|
Шаг 1. Создать локального пользователя для авторизации сервера, выступающего в роли VPN-клиента. |
В разделе Пользователи и устройства ➜ Пользователи создать пользователей для каждого из удаленных NGFW, выступающих в роли VPN-клиентов, задать пароли. Рекомендуется поместить всех созданных пользователей в группу, которой будет дан доступ для подключения по VPN. По умолчанию для этой цели в NGFW создана группа VPN servers. |
Шаг 2. Разрешить сервис VPN на зоне, к которой будут подключаться VPN-клиенты. |
В разделе Сеть ➜ Зоны отредактировать параметры контроля доступа для той зоны, к которой будут подключаться VPN-клиенты, разрешить сервис VPN. Как правило, это зона Untrusted. |
Шаг 3. Создать зону, в которую будут помещены подключаемые по VPN серверы. |
В разделе Сеть ➜ Зоны создать зону, в которую будут помещены подключаемые по VPN серверы. Эту зону в дальнейшем можно будет использовать в политиках безопасности. Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site. |
Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны. |
В разделе Политики сети ➜ Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны. По умолчанию в NGFW создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Site-to-Site в Trusted и Untrusted зоны. Правило выключено по умолчанию. Чтобы трафик передавался клиенту из нужной зоны сервера через VPN-туннель, необходимо создать разрешающее правило межсетевого экрана, указав нужную зону источника и зону назначения VPN for Site-to-Site. |
Шаг 5. Создать профиль авторизации. |
В разделе Пользователи и устройства ➜ Профили авторизации создать профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей с целью получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP. Подробно о профилях авторизации смотрите в разделе данного руководства Профили авторизации. |
Шаг 6. Создать профиль безопасности VPN. |
Профиль безопасности определяет такие настройки, как общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов. Для создания профиля безопасности необходимо перейти в раздел VPN ➜ Профили безопасности, нажать кнопку Добавить и заполнить следующие поля:
Далее необходимо задать параметры первой и второй фаз согласования. Во время первой фазы происходит согласование защиты IKE. Аутентификация происходит на основе общего ключа в режиме, выбранном ранее. Необходимо указать следующие параметры:
Во второй фазе осуществляется выбор способа защиты IPsec подключения. Необходимо указать:
По умолчанию в NGFW создан профиль безопасности Site-to-Site VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, необходимо изменить общий ключ шифрования. |
Шаг 7. Создать VPN-интерфейс. |
VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах NGFW, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений. Внимание! Редактирование кластерного интерфейса возможно только для узла кластера cluster(даже если кластер не собран и узел всего один).
В разделе Сеть ➜ Интерфейсы нажмите кнопку Добавить и выберите Добавить VPN. Задайте следующие параметры:
По умолчанию в системе уже создан VPN-интерфейс tunnel2, который рекомендовано использовать для Site-to-Site VPN. |
Шаг 8. Создать сеть VPN. |
VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и — опционально — маршруты, которые будут переданы клиентам для применения, если клиенты поддерживают применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов. Важно! Добавление сетей VPN лучше делать в технологическое окно, так как при добавлении новой сети VPN происходит рестарт сервиса из за чего текущие VPN соединения прерываются на несколько десятков секунд.
Для создания туннеля VPN перейдите в раздел VPN ➜ Сети VPN, нажмите кнопку Добавить и заполните следующие поля:
В NGFW создана сеть Site-to-Site VPN network с настройками по умолчанию. Для использования этой сети в ней необходимо добавить маршруты, передаваемые на сервер-клиент. Чтобы VPN-сервер узнал о подсетях клиента, необходимо прописать статический маршрут на сервере, указав в качестве адреса назначения адрес VPN-туннеля, используемый на сервере-клиенте. |
Шаг 9. Создать серверное правило VPN. |
Создать серверное правило VPN, используя в нем созданные ранее сеть и профиль VPN. Для создания правила необходимо перейти в раздел VPN ➜ Серверные правила, нажать кнопку Добавить и заполнить следующие поля:
По умолчанию в NGFW создано серверное правило Site-to-Site VPN rule, в котором используются необходимые настройки для Site-to-Site VPN, а доступ к VPN разрешен членам локальной группе VPN servers. Важно! Для применения различных серверных правил к разным клиентам необходимо использовать параметры Исходная зона и Адрес источника. Параметр Пользователь не является условием выбора серверного правила, проверка пользователя происходит уже после установления соединения VPN.
|
Для настройки сервера, выступающего в роли VPN-клиента, необходимо выполнить следующие шаги:
Наименование |
Описание |
---|---|
Шаг 1. Создать зону, в которую будут помещен интерфейс, используемый для подключения по VPN. |
В разделе Сеть ➜ Зоны создать зону, в которую будут помещены интерфейсы, используемые для подключения по VPN. Эту зону в дальнейшем можно будет использовать в политиках безопасности. Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site. |
Шаг 2. Создать разрешающее правило межсетевого экрана для трафика в созданную зону. |
Создать разрешающее правило межсетевого экрана в разделе Политики сети ➜ Межсетевой экран. По умолчанию в NGFW создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик между зонами VPN for Site-to-Site, Trusted и Untrusted. Чтобы трафик передавался на сервер из нужной зоны сервера-клиента через VPN-туннель, необходимо создать разрешающее правило межсетевого экрана, указав нужную зону источника и зону назначения VPN for Site-to-Site. |
Шаг 3. Создать профиль безопасности VPN. |
Профиль безопасности определяет такие настройки, как общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов. Для создания профиля необходимо перейти в раздел VPN ➜ Профили безопасности VPN, нажать кнопку Добавить и заполнить следующие поля:
Далее необходимо задать параметры первой и второй фаз согласования. Во время первой фазы происходит согласование защиты IKE. Аутентификация происходит на основе общего ключа в режиме, выбранном ранее. Необходимо указать следующие параметры:
Во второй фазе осуществляется выбор способа защиты IPsec подключения. Необходимо указать:
По умолчанию в NGFW создан профиль Client VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, то необходимо изменить общий ключ шифрования. |
Шаг 4. Создать VPN-интерфейс. |
VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах NGFW, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений. В разделе Сеть ➜ Интерфейсы нажмите кнопку Добавить и выберите Добавить VPN. Задайте следующие параметры:
По умолчанию в системе уже создан VPN-интерфейс tunnel3, который рекомендовано использовать для клиентского подключения Site-to-Site VPN. Важно! Если при настройке туннельного интерфейса на стороне сервера был выбран уже существующий интерфейс tunnel2 с настройками по умолчанию, то на клиенте при подключении к серверу возникнет конфликт IP-адресов, поскольку на клиенте также существует аналогичный интерфейс tunnel2 с тем же диапазоном адресов. Для корректной работы диапазоны адресов туннельных интерфейсов не должны пересекаться. Рекомендуется изменить диапазон адресов на клиенте на уникальный.
|
Шаг 5. Создать клиентское правило VPN. |
Создать клиентское правило VPN, которое будет инициировать подключение к VPN-серверу. Для создания правила необходимо перейти в раздел VPN ➜ Клиентские правила, нажать кнопку Добавить и заполнить следующие поля:
|
После завершения настройки VPN-сервера и VPN-клиента клиент инициирует соединение на сервер, и в случае корректности настроек, поднимается VPN-туннель. Для отключения туннеля выключите клиентское (на клиенте) или серверное правило VPN (на сервере).