Client for macOS 7.4.1

Общие сведения

Приложение UserGate Client for macOS является компонентом экосистемы UserGate SUMMA. Приложение устанавливается на компьютеры пользователей и обеспечивает безопасный доступ в корпоративную сеть, защищенную системами безопасности UserGate.

UserGate Client for macOS поддерживает следующие функции:

Установление защищенного соединения с VPN-сервером UserGate NGFW.
Аутентификация пользователей посредством сертификата или логина с паролем.
Поддержка функции раздельного туннелирования (split tunneling). Функция позволяет модифицировать таблицу маршрутизации компьютера пользователя при установлении VPN-соединения в соответствии с параметрами, заданными администратором на VPN-сервере.

Основными компонентами UserGate Client являются:

usergate-client-agent — системная служба приложения. Обеспечивает:
- поддержку VPN-протоколов;
- реализацию методов аутентификации;
- управление VPN-соединениями;
- настройку виртуальных сетевых интерфейсов, маршрутизации, раздельного туннелирования, DNS.
usergate-client-gui — модуль, отвечающий за взаимодействие с пользователем через графический интерфейс. Выполняет:
- отображение состояния VPN-соединения;
- управление профилями;
- взаимодействие с системным хранилищем секретов;
- управление журналированием;
- отображение событий, связанных с подключением.

Установка UserGate Client

UserGate Client for macOS поставляется в виде PKG-файла. Скачать последнюю версию приложения можно с официального сайта UserGate.

Минимальные системные требования

Минимальные системные требования для установки приложения:

Операционная система:
- macOS Tahoe (26);
- macOS Sequoia (15).
Оперативная память (RAM): не менее 4 ГБ.
Свободное дисковое пространство: минимум 500 МБ.

Порядок установки приложения

Для установки клиента запустите PKG-файл и следуйте указаниям установщика.

Загрузка корневого сертификата удостоверяющего центра

Для того чтобы UserGate Client при подключении мог проверять сертификат VPN-сервера, необходимо загрузить в систему корневой сертификат удостоверяющего центра.

Для загрузки корневого сертификата в систему добавьте сертификат в связку ключей (keychain) в раздел «Система».

ПримечаниеДля работы с клиентом на macOS время жизни серверного сертификата должно быть не более 825 дней.

Интерфейс приложения

После установки клиента в списке приложений пользователя появится приложение UserGate Client.

На вкладке VPN-соединения вы можете:

создавать профили VPN-соединений;
управлять VPN-соединением;
просматривать в онлайн-режиме информацию о параметрах текущего соединения и его статусе.

На вкладке Журналы вы можете управлять журналированием работы приложения:

устанавливать уровень детализации событий в журналах;
экспортировать журналы в формате ZIP-архива;
очищать журналы приложения;
открывать папку с журналами приложения.

На вкладке Статус соединения вы можете просматривать и копировать в буфер обмена историю последнего соединения, инициированного этим клиентом.

Подробнее о настройке VPN-соединений в приложении UserGate Client — в разделе «Настройка VPN-соединения на устройстве пользователя».

Работа UserGate Client в связке с UserGate NGFW

Установление VPN-соединения с помощью UserGate Client возможно только с серверами, настроенными на UserGate NGFW.

Встроенный в ПО VPN-клиент использует следующие параметры для установления VPN-соединения:

Протокол IPsec (IKEv2):
- Аутентификация по сертификатам X.509 или логину с паролем (EAP MSCHAPv2). Поддерживается режим многофакторной аутентификации (TOTP).
- Группы Диффи — Хеллмана: группа 2 Prime 1024, группа 14 Prime 2048, группа 16 Prime 4096.
- Алгоритмы аутентификации и шифрования:
  - SHA1/AES128;
  - SHA256/AES128;
  - SHA384/AES128;
  - SHA1/AES256;
  - SHA256/AES256;
  - SHA384/AES256;
  - SHA1/3DES;
  - SHA256/3DES;
  - SHA384/3DES.
- Срок действия ключей первой фазы составляет 2 часа, второй фазы — 1 час. За 30 секунд до окончания срока действия инициируется запрос на их обновление. Если ответ получен, считается, что фаза успешно обновлена. В случае отсутствия ответа повторные запросы отправляются каждые 5 секунд на протяжении 30 секунд. Если ни один из запросов не получает ответа, обновление ключей признается неуспешным, и соединение завершается с ошибкой Rekeying failed.
- Функция DPD (Dead Peer Detection) работает в режиме On idle (при отсутствии трафика) с базовым интервалом 15 секунд и допускает до 6 неудачных попыток. Проверка доступности удаленного узла запускается, если в туннеле отсутствует трафик в течение двойного интервала — 30 секунд. При отсутствии ответа от сервера на проверочный запрос пакеты продолжают отправляться с интервалом 5 секунд до достижения максимально допустимого числа попыток. Если ответ получен, система возвращается к стандартному интервалу опроса. Если же ни на один из отправленных пакетов ответ не поступает, соединение разрывается.
Протокол DTLS (при работе с UserGate NGFW версии 7.5.0 и выше):
- Аутентификация по сертификатам X.509 или логину с паролем (EAP MSCHAPv2). Поддерживается режим многофакторной аутентификации (TOTP).
- Алгоритмы аутентификации и шифрования:
  - DTLS_ECDHE_RSA_WITH_AES_128_CBC_SHA;
  - DTLS_ECDHE_RSA_WITH_AES_256_CBC_SHA;
  - DTLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256;
  - DTLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384.
- Срок действия ключа составляет 2 часа. За 30 секунд до окончания срока действия инициируется запрос на его обновление. Если ответ получен, считается, что ключ обновлен. В случае отсутствия ответа повторные запросы отправляются каждые 5 секунд на протяжении 30 секунд. Если ни один из запросов не получает ответа, обновление ключа признается неуспешным, и соединение завершается с ошибкой Rekeying failed.
- Функция DPD работает в режиме On idle (при отсутствии трафика) с базовым интервалом 15 секунд и допускает до 5 неудачных попыток. Проверка доступности удаленного узла запускается, если в туннеле отсутствует трафик в течение двойного интервала — 30 секунд. При отсутствии ответа от сервера на проверочный запрос пакеты продолжают отправляться с интервалом 5 секунд до достижения максимально допустимого числа попыток. Если ответ получен, система возвращается к стандартному интервалу опроса. Если же ни на один из отправленных пакетов ответ не поступает, соединение разрывается.

Для организации защищенного VPN-соединения с UserGate NGFW необходимо:

1. Настроить VPN-сервер на UserGate NGFW. Подробнее о настройке VPN-сервера — в разделе «VPN для удаленного доступа клиентов».

2. Установить приложение UserGate Client на компьютере пользователя. Подробнее об установке приложения UserGate Client — в разделе «Установка UserGate Client».

3. Настроить VPN-клиент на компьютере пользователя. Подробнее о настройке VPN-клиента — в разделе «Настройка VPN-соединения на устройстве пользователя».

Настройка VPN-соединения на устройстве пользователя

UserGate Client for macOS поддерживает установление защищенного соединения по протоколам IPsec (IKEv2) и DTLS (при работе с UserGate NGFW версии 7.5.0 и выше) с аутентификацией по сертификатам X.509 или логину с паролем с помощью метода EAP. Поддерживается режим многофакторной аутентификации с получением временных одноразовых паролей (TOTP).

Параметры подключения настраиваются в профиле VPN-соединения. В приложении можно создать несколько профилей с различными параметрами соединения для подключения к разным VPN-серверам.

Для создания профиля VPN-соединения откройте приложение UserGate Client, перейдите на вкладку VPN-соединения и нажмите Добавить.

Настройте параметры профиля соединения:

1. Укажите название соединения.

2. Укажите IP-адрес VPN-сервера или его доменное имя.

ПримечаниеЕсли DNS-сервер разрешает адрес VPN-сервера в несколько IP-адресов, VPN-клиент выполнит подключение к первому доступному адресу.

3. Выберите протокол для установления VPN-соединения.

4. Выберите один из способов аутентификации:

Логин и пароль. Введите логин пользователя и его пароль.
Сертификат. Выберите заранее созданные файл сертификата в форматах DER, PEM или PKCS12, закрытый ключ и введите пароль закрытого ключа.

5. Сохраните параметры профиля, нажав Сохранить.

ПримечаниеПри использовании многофакторной аутентификации код запрашивается в отдельном окне при попытке установить соединение.

Для установления соединения включите соответствующий профиль на странице VPN-соединения.

Статус соединения будет указан рядом с активным переключателем.

Статистику установленного соединения и параметры подключения можно посмотреть в свойствах активного профиля в окне приложения.

Чтобы завершить VPN-соединение, отключите активный профиль в окне приложения.

Историю последнего подключения можно посмотреть в окне приложения на вкладке Статус соединения.

Если установить VPN-соединение не удалось, будет отображено окно с кратким описанием ошибки.

Нажав Подробнее, вы перейдете в раздел Статус соединения, где можно увидеть, на каком этапе установления соединения произошла ошибка.

Подробнее об ошибках соединения и возможных причинах их возникновения — в разделе «Ошибки VPN-подключений».

Ошибки VPN-подключений

Ошибки, связанные с неудачными попытками подключения к VPN-серверу или с разрывом существующих VPN-соединений, записываются в журнал клиента и отображаются в разделе Статус соединения в окне приложения.

В таблице приведены варианты сообщений об ошибках и возможные причины их возникновения.

Ошибка соединения	Сообщение об ошибке в журнале	Возможная причина ошибки
Ошибка разрешения доменного имени / DNS resolution error	ErrorUnknownServer	Доменное имя VPN-сервера, указанное в параметрах подключения клиента, не определяется DNS-сервером. Вероятные причины: Не получен ответ от DNS-сервера. Неверно указано доменное имя VPN-сервера в параметрах подключения на клиенте. На DNS-сервере не определено доменное имя VPN-сервера
Сервер не отвечает / No response from server	NoResponse; DeadPeerDetected; IkeRekeyFailed; EspRekeyFailed	Ошибка появляется в момент истечения таймера на клиенте при ожидании пакета от VPN-сервера. Возможные причины: Тайм-аут ожидания IKE_INIT response. Тайм-аут механизма DPD (не получен ответ от VPN-сервера). Тайм-аут IKE_AUTH. Тайм-аут в процессе пересоздания ключей IKE-туннеля. Тайм-аут в процессе пересоздания ключей ESP-туннеля
Ошибка аутентификации / Authentication error	AuthenticationFailed; InvalidLoginOrPassword; MfaTimeout	Возможные причины: Неверный пароль, логин, сертификат клиента или временный пароль MFA. Тайм-аут ввода временного пароля MFA
Сертификат сервера недействителен / Server certificate is invalid	InvalidServerSignature; ServerNameNotFound	Ошибка проверки сертификата сервера. Возможные причины: Неуспешная проверка цифровой подписи сертификата VPN-сервера. CN, указанный в сертификате, не соответствует адресу VPN-сервера
Ошибка конфигурации / Configuration error	ConfigurationSystemFailed	Ошибка применения конфигурации на клиенте. Возможные причины: Ошибка применения маршрутов. Ошибка получения и применения IP-адреса клиента
Ошибка в параметрах криптографии / Error in cryptography parameters	InvalidDhGroups; IkeSecurityIncompatible; EspSecurityIncompatible	Параметры криптографии, предложенные сервером, не применимы для клиента. Возможные причины: Неподдерживаемая DH-группа. Неподдерживаемые параметры ESP (алгоритмы шифрования и аутентификации). Неподдерживаемые параметры IKE (алгоритмы шифрования и аутентификации). На сервере выключен туннельный интерфейс
Сервер принудительно разорвал соединение / Server forcibly terminated the connection	TerminateFromServer	Сервер завершил сессию: От сервера получено сообщение IKE_DELETE
Обнаружен вход в систему под другой учетной записью / Login detected under a different user account.	Logout	Отслеживание входа другого пользователя в систему: Агент обнаружил появление в операционной системе активной сессии с новой учетной записью во время установленного VPN-соединения. При установлении VPN-соединения агент обнаружил, что в операционной системе зарегистрировано более одной учетной записи c активными сессиями