Работа UserGate Client в связке с UserGate NGFW

Установление VPN-соединения с помощью UserGate Client возможно только с серверами, настроенными на UserGate NGFW.

Встроенный в ПО VPN-клиент использует следующие параметры для установления VPN-соединения:

• Протокол IPsec (IKEv2):

  • Аутентификация по сертификатам X.509 или логину с паролем (EAP MSCHAPv2). Поддерживается режим многофакторной аутентификации (TOTP).

  • Группы Диффи — Хеллмана: группа 2 Prime 1024, группа 14 Prime 2048, группа 16 Prime 4096.

  • Алгоритмы аутентификации и шифрования:

    • SHA1/AES128;

    • SHA256/AES128;

    • SHA384/AES128;

    • SHA1/AES256;

    • SHA256/AES256;

    • SHA384/AES256;

    • SHA1/3DES;

    • SHA256/3DES;

    • SHA384/3DES.

  • Срок действия ключей первой фазы составляет 2 часа, второй фазы — 1 час. За 30 секунд до окончания срока действия инициируется запрос на их обновление. Если ответ получен, считается, что фаза успешно обновлена. В случае отсутствия ответа повторные запросы отправляются каждые 5 секунд на протяжении 30 секунд. Если ни один из запросов не получает ответа, обновление ключей признается неуспешным, и соединение завершается с ошибкой Rekeying failed.

  • Функция DPD (Dead Peer Detection) работает в режиме On idle (при отсутствии трафика) с базовым интервалом 15 секунд и допускает до 6 неудачных попыток. Проверка доступности удаленного узла запускается, если в туннеле отсутствует трафик в течение двойного интервала — 30 секунд. При отсутствии ответа от сервера на проверочный запрос пакеты продолжают отправляться с интервалом 5 секунд до достижения максимально допустимого числа попыток. Если ответ получен, система возвращается к стандартному интервалу опроса. Если же ни на один из отправленных пакетов ответ не поступает, соединение разрывается.

• Протокол DTLS (при работе с UserGate NGFW версии 7.5.0 и выше):

  • Аутентификация по сертификатам X.509 или логину с паролем (EAP MSCHAPv2). Поддерживается режим многофакторной аутентификации (TOTP).

  • Алгоритмы аутентификации и шифрования:

    • DTLS_ECDHE_RSA_WITH_AES_128_CBC_SHA;

    • DTLS_ECDHE_RSA_WITH_AES_256_CBC_SHA;

    • DTLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256;

    • DTLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384.

  • Срок действия ключа составляет 2 часа. За 30 секунд до окончания срока действия инициируется запрос на его обновление. Если ответ получен, считается, что ключ обновлен. В случае отсутствия ответа повторные запросы отправляются каждые 5 секунд на протяжении 30 секунд. Если ни один из запросов не получает ответа, обновление ключа признается неуспешным, и соединение завершается с ошибкой Rekeying failed.

  • Функция DPD работает в режиме On idle (при отсутствии трафика) с базовым интервалом 15 секунд и допускает до 5 неудачных попыток. Проверка доступности удаленного узла запускается, если в туннеле отсутствует трафик в течение двойного интервала — 30 секунд. При отсутствии ответа от сервера на проверочный запрос пакеты продолжают отправляться с интервалом 5 секунд до достижения максимально допустимого числа попыток. Если ответ получен, система возвращается к стандартному интервалу опроса. Если же ни на один из отправленных пакетов ответ не поступает, соединение разрывается.

Для организации защищенного VPN-соединения с UserGate NGFW необходимо:

1. Настроить VPN-сервер на UserGate NGFW. Подробнее о настройке VPN-сервера — в разделе «VPN для удаленного доступа клиентов».

2. Установить приложение UserGate Client на компьютере пользователя. Подробнее об установке приложения UserGate Client — в разделе «Установка UserGate Client».

3. Настроить VPN-клиент на компьютере пользователя. Подробнее о настройке VPN-клиента — в разделе «Настройка VPN-соединения на устройстве пользователя ».