Установление защищённого соединения с VPN-сервером UserGate (NGFW) с помощью протокола IPsec (IKEv2).
Аутентификация пользователей посредством сертификата или логина с паролем.
Поддержка функции раздельного туннелирования (split tunneling). Функция позволяет модифицировать таблицу маршрутизации компьютера пользователя с ПО UserGate Client при установлении VPN-соединения в соответствии с настройками администратора VPN-сервера. Подробнее читайте в статье Настройка раздельного туннелирования для UserGate Client.

Основными элементами ПО UserGate Client являются:

VM UserGate Client — VPN-клиент. Отвечает за реализацию протокола IKEv2, веб-консоли, обработку маршрутов (split tunneling), хранение учётных данных и сертификатов пользователей.
Manager — сервис, необходимый для взаимодействия с машиной узла. Отвечает за управление маршрутизацией, взаимодействием с NGFW.
UI — сервис, запускаемый под учётной записью пользователя. Необходим для настройки VPN-клиента.

Работа UserGate Client в связке с NGFW

Под конечным устройством будет подразумеваться пользовательский компьютер с установленным ПО UserGate Client.

Установление VPN-соединения с помощью UserGate Client возможно только с серверами, настроенными на UserGate NGFW.

Встроенный в ПО VPN-клиент использует следующие настройки для установки соединения VPN:

Группы Диффи-Хеллмана: группа 2 Prime 1024, группа 14 Prime 2048, группа 16 Prime 4096;
Алгоритмы аутентификации и шифрования: SHA1/AES128, SHA256/AES128, SHA384/AES128, SHA1/AES256, SHA256/AES256, SHA384/AES256, SHA1/3DES, SHA256/3DES, SHA384/3DES;
Время жизни ключей фазы 1 — 2 часа, фазы 2 — 1 час. За 30 секунд до истечения времени жизни отправляется запрос на обновление ключей. Если запрос прошёл, фаза обновлена, если нет — запросы отправляются каждые 5 секунд в течение 30 секунд. Если ни на один запрос не получен ответ, обновление ключей не произошло и соединение разрывается с ошибкой Rekeying failed.
Dead Peer Detection (DPD): режим On idle с интервалом 15 секунд и максимальным количеством неудачных попыток 6. Проверка доступности соседнего узла активируется в случае отсутствия трафика в туннеле в течение двойного интервала времени, т.е. в данном случае — 30 секунд. Если не получен ответ от сервера на запрос проверки, то пакеты продолжают отсылаться до максимально разрешенного количества попыток с интервалом 5 секунд. Если ответ получен, то происходит возврат к первоначальному интервалу, если не получен ответ ни на один пакет — соединение разрывается.

Для организации защищённого VPN-соединения с NGFW необходимо:

1. Настроить VPN-сервер на UserGate NGFW.

2. Установить ПО UserGate Client на конечном устройстве.

3. Настроить VPN-клиент на конечном устройстве.

Настройка VPN-сервера на UserGate NGFW

Подробнее о настройках VPN-сервера читайте в разделе VPN для удалённого доступа клиентов в руководстве администратора NGFW.

UserGate Client для Linux поддерживает установление защищённого соединения по протоколу IPsec (IKEv2) с аутентификацией по сертификатам (режим PKI) и логину с паролем (режим AAA). Поддерживается режим мультифакторной аутентификации (MFA).

Установка ПО UserGate Client для Linux

Минимальные требования для установки ПО:

Операционная система:
- Astra Linux версий 1.7 или 1.8;
- Ubuntu версий 22.04 или 24.04;
RAM на устройстве: не менее 4 ГБ;
Свободного пространства на жёстком диске: не менее 500 МБ.

ПримечаниеПеред установкой VPN-клиента рекомендуется заранее включить опцию аппаратной виртуализации (Hardware virtualization) на компьютере пользователя.

ПримечаниеРаботающее ПО UserGate Client использует KVM, что может оказывать влияние на работоспособность других систем виртуализации на компьютере пользователя.

ПО UserGate Client для Linux поставляется в виде deb-пакета. Для установки ПО необходимо выполнить следующую команду:

sudo dpkg -i {ug_client.deb}

Если появится сообщение, что не хватает каких-то пакетов, то необходимо выполнить команду:

sudo apt install -f

Пакетный менеджер загрузит нужные пакеты и установит клиент.

Для проверки статусов сервисов клиента использовать команды:

service usergate-client-manager status

service usergate-client-vm status

В ПО UserGate Client реализована возможность отображения событий в журналах сервисов. На данный момент ведутся следующие журналы:

/var/log/usergate-client/manager.log

/var/log/usergate-client/ui.log

Удалить клиент можно с помощью команды:

sudo dpkg -r usergate-client

Удалить клиент вместе с журналами можно с помощью команды:

sudo dpkg --purge usergate-client

ПримечаниеУстановка новой версии ПО производится поверх старой, без сохранения пользовательских настроек. Настройки VPN-клиента можно перенести с помощью функций экспорта/импорта настроек на вкладке Controls VPN-клиента.

ПримечаниеСервис UI в системе может быть запущен только под одним пользователем, под вторым он не запустится.

ПримечаниеЕсли у одного пользователя установлено VPN-соединение, то при входе в систему другого пользователя VPN-соединение первого пользователя будет разорвано.

После установки ПО в списке приложений пользователя появится приложение "UserGate Client".

Окно приложения имеет следующие вкладки:

На вкладке Settings расположены настройки установления VPN-соединения:

Адрес VPN-сервера (IP-адрес или FQDN);
Выбор режима и параметров аутентификации (логин/пароль или сертификат).

ПримечаниеПри использовании FQDN для подключения, если имени VPN-сервера соответствует несколько IP-адресов, клиент устанавливает соединение по первому адресу, который отвечает на запросы.

ПримечаниеВвод пароля является обязательным при каждом сохранении учётных данных пользователя при выборе режима Login and Password.

На вкладке Info содержится информация о конечном устройстве и статусе VPN-подключения:

Host — имя узла;
OS — операционная система;
User — пользователь, с учётной записью которого установлено VPN-соединение;
Server IP — IP-адрес сервера VPN;
Tunnel IP — VPN IP-адрес, который получил клиент;
Uptime — продолжительность подключения;
Bytes In/Bytes Out — количество байтов, полученных/переданных с момента подключения по VPN

На вкладке Controls находится управление экспортом и импортом настроек VPN-клиента и управление режимом журналирования.

У пользователя есть возможность сохранить текущие настройки для подключения по VPN в файл и восстановить эти настройки после обновления.

Возможен выбор уровня детализации журналирования — Off, Error, Info (по умолчанию), Debug.

При экспорте журналов формируется zip-архив c названием в формате: logs_{YYYY-MM-DD}_{HH-MM-SS}. Архив будет сохранён в разделе загрузок домашней директории пользователя.

Вкладка Certificates предназначена для управления сертификатами пользователя (загрузка, удаление), которые необходимы для установления IKEv2 PKI VPN-соединения.

ПримечаниеСертификат и приватный ключ должны содержаться в одном файле в формате .pem.

Настройка VPN-соединения на конечном устройстве с помощью UserGate Client для Linux

Для настройки конечного устройства необходимо в приложении UserGate Client на вкладке Settings указать адрес VPN-сервера и выбрать режим и параметры аутентификации пользователя. Если предполагается использовать аутентификацию по сертификатам, на вкладке Certificates необходимо добавить соответствующий сертификат.

ПримечаниеПри использовании MFA код запрашивается в отдельном окне при попытке установить соединение.

Для установления VPN-соединения необходимо в строке состояния нажать на иконку UserGate Client и в появившемся меню выбрать Connect:

В случае успешного установления соединения на иконке UserGate Client появится индикация в виде точки зелёного цвета:

В случае использования функции раздельного туннелирования (Split Tunneling) маршруты, полученные от сервера, будут добавлены в таблицу маршрутизации конечного устройства. Команда для просмотра добавленных маршрутов в терминале: ip r show table 777

Для разрыва VPN-соединения необходимо в строке состояния нажать на иконку UserGate Client и в появившемся меню выбрать Disconnect: