В качестве примера для создания VPN-подключения на конечным устройстве на Astra Linux будет рассмотрена следующая схема.

В этом примере UserGate NGFW выступает в роли VPN-сервера, а компьютер пользователя на Astra Linux с установленным ПО UserGate Client — в роли конечного устройства. Аутентификация пользователя будет происходить с помощью сертификата, при настройке сервера будет использован режим раздельного туннелирования (передача маршрута до сети за сервером). 

Сначала необходимо настроить VPN-сервер, затем настроить VPN-клиент на конечном устройстве и инициировать подключение к VPN-серверу.

Настройка VPN-сервера

Для настройки UserGate NGFW в качестве VPN-сервера выполните следующие шаги: 

1. Разрешите сервис VPN в контроле доступа зоны, из которой будут подключаться конечные устройства.

В веб-консоли администратора в разделе Настройки ➜ Сеть ➜ Зоны создайте зону LAN1. В параметрах контроля доступа зоны разрешите сервис VPN. Подробнее о создании и настройке зон — в разделе «Настройка зон».

2. Создайте зону для VPN-подключений.

В этом примере воспользуемся уже созданной по умолчанию на узле зоной VPN for remote access. Подробнее о создании и настройке зон — в разделе «Настройка зон».

3. Настройте параметры аутентификации:

• Импортируйте созданные сертификаты: сертификат VPN-сервера и корневой сертификат. Примеры создания самоподписанных сертификатов приведены в Приложении.

В разделе Настройки ➜ Консоль администратора ➜ Сертификаты нажмите Импортировать.  В открывшемся окне укажите название сертификата и добавьте созданные ранее файлы сертификата VPN-сервера и его закрытого ключа. В этом же разделе импортируйте корневой сертификат без указания закрытого ключа.

Создайте профиль клиентских сертификатов в веб-консоли администратора NGFW. Для этого перейдите в раздел Настройки ➜ Консоль администратора ➜ Профили клиентских сертификатов и нажмите Добавить. В открывшемся окне укажите название профиля, добавьте импортированный на предыдущем шаге корневой сертификат и выберите Commоn-name, Subject altname email или Principal name для получения имени пользователя.

• Создайте профиль аутентификации for pki для пользователей VPN. Подробно о профилях аутентификации — в разделе «Профили аутентификации». Для этого примера был создан профиль аутентификации в домене ADTEST1 через LDAP-коннектор ad2016:

4. Создайте профиль безопасности VPN.

В разделе Настройки ➜ VPN ➜ Серверные профили безопасности создайте профиль безопасности, указав следующие ключевые параметры:

• Протокол. В этом примере для создания защищенного канала будет использоваться протокол IKEv2.

• Тип идентификации (параметр IKE local ID). В рассматриваемом примере можно не указывать тип идентификации.

• Укажите сертификат сервера, импортированный ранее на шаге 3.

• В качестве режима аутентификации выберите PKI.

• Выберите профиль клиентского сертификата, созданный ранее на шаге 3.

Далее необходимо задать параметры первой и второй фаз согласования защищенного соединения. Для рассматриваемого примера оставим заданные по умолчанию параметры.  

 5. Создайте VPN-интерфейс.

В этом примере воспользуемся уже созданным по умолчанию на узле VPN-интерфейсом tunnel1, который может быть использован для настройки remote access VPN. Рассмотрим ключевые параметры этого интерфейса:

• Поставьте флажок включения интерфейса.

• Название — название интерфейса уже задано (tunnel1).

• Зона, к которой будет относится интерфейс. Все клиенты, подключившиеся по VPN к NGFW, будут также помещены в эту зону. В этом примере указывается зона VPN for remote access.

• Режим — тип присвоения IP-адреса. При использовании интерфейса для приема VPN-подключений необходимо использовать статический IP-адрес.

• MTU — размер MTU в этом примере оставим по умолчанию.

• Добавьте статический IP-адрес туннельного интерфейса tunnel1 172.30.250.1 c маской 255.255.255.0.

6. Создайте сеть VPN.

Создайте сеть split tun include route. Рассмотрим ключевые параметры этой сети:

• Диапазон IP-адресов, которые будут использованы клиентами. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу NGFW 1 (172.30.250.1), используемому совместно с этой сетью.

• Маска сети VPN.

• Оставьте флажок Использовать системные DNS-серверы, в этом случае клиенту будут назначены DNS-серверы, которые использует NGFW.

• Маршруты для UserGate Client — в этом примере добавлена сеть 10.153.0.0/16. Подробнее о настройке параметров режима раздельного туннелирования — в разделе «Настройки раздельного туннелирования для UserGate Client».

 7. Создайте серверное правило VPN.

Рассмотрим ключевые для нашего примера параметры правила:

• Включено — включить правило VPN.

• Профиль безопасности VPN — серверный профиль безопасности VPN, созданный ранее на шаге 4 (for pki).

• Сеть VPN — сеть VPN, созданная ранее на шаге 6 (split tun include route).

• Профиль аутентификации — профиль аутентификации для пользователей VPN (for pki), созданный ранее на шаге 3.

• Интерфейс — созданный ранее на шаге 5 интерфейс VPN (tunnel1).

• Источник — зоны и адреса, с которых разрешено принимать подключения к VPN. В данном примере укажем зону LAN1.

8. Настройте контроль доступа к ресурсам.

• Чтобы трафик мог исходить из созданной на шаге 2 зоны, создайте правило NAT, разрешающее подмену IP-адресов при поступлении трафика из зоны VPN for remote access в зоны LAN1 и LAN2.. Правило создается в разделе Политики сети ➜ NAT и маршрутизация.

• При необходимости предоставления доступа пользователям VPN в определенные сегменты сети в разделе Настройки ➜ Политики сети ➜ Межсетевой экран необходимо создать правило межсетевого экрана, разрешающее трафик из созданной зоны в требуемые зоны. Для этого примера создано правило межсетевого экрана, разрешающее весь трафик из зоны VPN for remote access в зону LAN2. 

Настройка VPN-клиента

Рассмотрим пример настройки UserGate Client для удаленного подключения на компьютере с операционной системой Astra Linux. Предполагается, что ПО UserGate Client уже установлено на конечном устройстве (подробнее об установке ПО  — в разделе «UserGate Client для Linux»).

Для настройки VPN-клиента необходимо выполнить следующие шаги:

1. Откройте окно настройки приложения UserGate Client и перейдите на вкладку Certificates. Нажмите Add certificate и добавьте заранее созданный сертификат пользователя.

2. Перейдите на вкладку Settings. Укажите имя VPN-сервера. Выберите режим аутентификации Certificate и укажите добавленный на предыдущем шаге сертификат пользователя.

3. Сохраните параметры, нажав Save.

Настройка VPN-клиента завершена.

Для установления VPN-соединения необходимо в строке состояния в правом нижнем углу нажать на иконку UserGate Client и в появившемся меню выбрать Connect.

В случае успешного установления соединения на иконке UserGate Client появится индикация в виде точки зеленого цвета.

Проверка подключения

После установлении VPN-соединения в веб-консоли администратора UserGate NGFW на вкладке Диагностика и мониторинг в разделе VPN появится индикация нового VPN-соединения.

В Журнале событий на вкладке Журналы и отчеты отобразится соответствующая запись.

На стороне конечного устройства добавится маршрут в сеть 10.153.0.0/16, узел в удаленной сети (10.153.0.5) доступен.

Приложение UserGate Client для Linux является компонентом экосистемы UserGate SUMMA. Приложение устанавливается на компьютеры пользователей и обеспечивает безопасный доступ в корпоративную сеть, защищенную системами безопасности UserGate.

UserGate Client для Linux поддерживает следующие функции:

• Установление защищенного соединения с VPN-сервером UserGate NGFW.

• Аутентификация пользователей посредством сертификата или логина с паролем.

• Поддержка функции раздельного туннелирования (split tunneling). Функция позволяет модифицировать таблицу маршрутизации компьютера пользователя при установлении VPN-соединения в соответствии с параметрами, заданными администратором на VPN-сервере.

Основными элементами UserGate Client являются:

• VM UserGate Client — VPN-клиент. Отвечает за реализацию протокола IKEv2, веб-консоли, обработку маршрутов, хранение учетных данных и сертификатов пользователей.

• Manager — сервис, необходимый для взаимодействия с операционной системой компьютера пользователя. Отвечает за управление маршрутизацией, взаимодействием с UserGate NGFW.

• UI — сервис, запускаемый под учетной записью пользователя. Необходим для настройки VPN-клиента.

Минимальные системные требования для установки приложения:

• Операционная система:

  • Astra Linux версий 1.7 или 1.8;

  • Ubuntu версий 22.04 или 24.04.

• Оперативная память (RAM): не менее 4 ГБ.

• Свободное дисковое пространство: минимум 500 МБ.

UserGate Client для Linux поставляется в виде deb-пакета. Скачать последнюю версию приложения можно с официального сайта UserGate.

Для установки клиента на компьютере пользователя выполните следующую команду в окне терминала:

sudo dpkg -i {ug_client.deb}

Если появится сообщение об отсутствии в системе необходимых для работы приложения программных пакетов, выполните команду:

sudo apt install -f

Пакетный менеджер загрузит необходимые пакеты и установит клиент.

Для проверки статуса сервисов установленного клиента используйте команду:

service usergate-client-manager status

service usergate-client-vm status

Записи событий UserGate Client сохраняются в системных журналах:

• /var/log/usergate-client/manager.log;

• /var/log/usergate-client/ui.log.

Для удаления клиента используйте команду:

sudo dpkg -r usergate-client

Для удаления клиента вместе с журналами используйте команду:

sudo dpkg --purge usergate-client

После установки клиента в списке приложений пользователя появится приложение UserGate Client.

Окно приложения имеет следующий вид.

На вкладке Settings указываются параметры установления VPN-соединения:

• адрес VPN-сервера (IP-адрес или FQDN);

• режим и параметры аутентификации (логин с паролем или сертификат). 

На вкладке Info содержится информация о компьютере пользователя и статусе VPN-подключения:

• Host — имя компьютера;

• OS — операционная система;

• User — пользователь, с учетной записью которого установлено VPN-соединение;

• Server IP — IP-адрес сервера VPN;

• Tunnel IP — IP-адрес VPN-соединения, который получил клиент;

• Uptime — длительность соединения;

• Bytes In — количество байтов, полученных с момента подключения по VPN;

• Bytes Out — количество байтов, переданных с момента подключения по VPN.

Вкладка Controls позволяет управлять экспортом и импортом параметров VPN-клиента, а также режимом журналирования.

Пользователь может сохранить в файле текущие параметры для подключения по VPN и восстановить их после обновления.

При экспорте журналов формируется ZIP-архив c названием в формате: logs_<YYYY-MM-DD>_<HH-MM-SS>. Архив будет сохранен в разделе загрузок домашней папки пользователя.

Можно выбрать уровень детализации журналирования — Off, Error, Info (по умолчанию), Debug.

Вкладка Certificates предназначена для управления сертификатами пользователя (загрузка, удаление), которые необходимы для установления IKEv2 PKI VPN-соединения.

Установление VPN-соединения с помощью UserGate Client возможно только с серверами, настроенными на UserGate NGFW.

Встроенный в ПО VPN-клиент использует следующие параметры для установления VPN-соединения:

• Протоколы IPsec (IKEv2), DTLS с аутентификацией по сертификатам или логину с паролем. Поддерживается режим многофакторной аутентификации (MFA). 

• Группы Диффи — Хеллмана: группа 2 Prime 1024, группа 14 Prime 2048, группа 16 Prime 4096.

• Алгоритмы аутентификации и шифрования: SHA1/AES128, SHA256/AES128, SHA384/AES128, SHA1/AES256, SHA256/AES256, SHA384/AES256, SHA1/3DES, SHA256/3DES, SHA384/3DES.

• Время жизни ключей фазы 1 — 2 часа, фазы 2 — 1 час. За 30 секунд до истечения времени жизни ключа отправляется запрос на обновление ключей. Если получен ответ на запрос, значит фаза обновлена, если ответ не получен — запросы будут отправляться каждые 5 секунд в течение 30 секунд. Если ни на один запрос не получен ответ, значит ключи не обновились, и соединение разрывается с ошибкой Rekeying failed.

• Функция DPD (Dead Peer Detection), работающая в режиме On idle (при отсутствии трафика) с интервалом 15 секунд и максимальным количеством неудачных попыток — 6. Проверка доступности соседнего узла активируется в случае отсутствия трафика в туннеле в течение двойного интервала времени (30 секунд). Если не получен ответ от сервера на запрос проверки, пакеты продолжают отсылаться до максимально разрешенного количества попыток с интервалом 5 секунд. Если ответ получен, происходит возврат к первоначальному интервалу. Если не получен ответ ни на один пакет — соединение разрывается.

Для организации защищенного VPN-соединения с UserGate NGFW необходимо:

1. Настроить VPN-сервер на UserGate NGFW.

2. Установить приложение UserGate Client на компьютере пользователя.

3. Настроить VPN-клиент на компьютере пользователя.

О настройке VPN-сервера читайте в документации UserGate NGFW в разделе «VPN для удаленного доступа клиентов».

UserGate Client для Linux поддерживает установление защищенного соединения по протоколам IPsec (IKEv2), DTLS  с аутентификацией по сертификатам или логину с паролем. Поддерживается режим многофакторной аутентификации (MFA). 

Компьютер пользователя с установленным приложением UserGate Client называется конечным устройством.

Для настройки VPN-соединения на конечном устройстве:

1. В приложении UserGate Client на вкладке Settings укажите адрес VPN-сервера и выберите режим и параметры аутентификации пользователя.

2. Если планируется использовать аутентификацию по сертификатам, добавьте на вкладке Certificates соответствующий сертификат.  

Для установления VPN-соединения: в строке состояния нажмите на значок UserGate Client и в появившемся меню выберите Connect.

В случае успешного установления соединения на значке UserGate Client появится индикация в виде точки зеленого цвета:

Если администратором VPN-сервера настроена функция раздельного туннелирования, маршруты, полученные от VPN-сервера, будут добавлены в таблицу маршрутизации конечного устройства при установлении соединения. Добавленные маршруты можно посмотреть в терминале конечного устройства с помощью команды: ip r show table 777.

Чтобы разорвать VPN-соединение, в строке состояния нажмите на иконку UserGate Client и в появившемся меню выберите Disconnect: