ID статьи: 1887
Последнее обновление: 21 ноя, 2024
Product: DCFW Version: 8.x Technology: VPN
VPN-подключение, с помощью которого пользователи могут получить защищенный доступ к корпоративной сети компании через Интернет, называется Remote access VPN. В этом подключении межсетевой экран UserGate (DCFW) выступает в роли VPN-сервера, а устройства пользователей — в роли VPN-клиентов. В качестве клиентского ПО на устройствах пользователей может использоваться UserGate Client, также поддерживаются нативные клиенты большинства популярных операционных систем. Для организации защищенного подключения используются следующие протоколы:
Для создания Remote Access VPN необходимо произвести настройки соответствующих параметров на VPN-сервере (DCFW), а затем настроить и подключить VPN-клиент на оборудовании пользователя. Настройка VPN-сервераАлгоритм настройки VPN-сервера на UserGate DCFW включает в себя следующие основные этапы: Контроль доступа зоныНеобходимо разрешить сервис VPN в контроле доступа зоны, c которой будут подключаться VPN-клиенты. Это можно сделать в веб-консоли администратора, перейдя в раздел Сеть ➜ Зоны. Далее в настройках контроля доступа для той зоны, c которой будут подключаться VPN-клиенты, нужно разрешить сервис VPN. Как правило, это зона Untrusted. Подробнее о создании и настройках зон смотрите в статье Настройка зон. Создание зоны для VPN-подключенийНеобходимо создать зону, в которую будут помещены подключаемые по VPN клиенты. В веб-консоли администратора зона создается в разделе Сеть ➜ Зоны. Эту зону в дальнейшем можно будет использовать в политиках безопасности. Подробнее о создании и настройках зон смотрите в статье Настройка зон. Настройка параметров аутентификации1. При создании защищенного соединения IPsec возможны следующие методы аутентификации узлов:
2. Для аутентификации пользователей VPN нужно создать соответствующий профиль аутентификации. Профили аутентификации создаются в разделе Пользователи и устройства ➜ Профили аутентификации. Допускается использовать тот же профиль, что используется для аутентификации пользователей с целью получения доступа к сети интернет. Следует учесть, что для аутентификации VPN нельзя использовать методы прозрачной аутентификации, такие как Kerberos, NTLM, SAML IDP. При аутентификации пользователей VPN возможно использование многофакторной аутентификации. Второй фактор может быть получен через одноразовые коды TOTP. VPN с TOTP работает для клиента UserGate Client только с IKEv2 (код вводится в отдельном окне), для других клиентов — только с IKEv1 (код вводится в пароле через двоеточие: пароль_пользователя:totp_code). Подробнее о профилях аутентификации читайте в разделе руководства Профили аутентификации. Создание профиля безопасности VPNВ настройках профиля безопасности VPN определяются типы и параметры алгоритмов шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов. Для создания профиля безопасности в веб-консоли администратора VPN-сервера необходимо перейти в раздел VPN ➜ Серверные профили безопасности: Нажать кнопку Добавить в панели инструментов раздела и заполнить необходимые поля в свойствах профиля безопасности: Вкладка Общие предназначена для выбора версии протоколов VPN и задания параметров аутентификации при установлении защищенного соединения. 1. Протокол. Возможны следующие варианты выбора поля:
2. Режим работы IKE (доступно только для IKEv1) (Подробнее о режимах IKEv1 читайте в статье VPN). Возможны следующие варианты выбора поля:
3. Тип идентификации (параметр IKE local ID). Необходим для идентификации DCFW на соседнем узле при установлении VPN-соединения с оборудованием некоторых производителей. Возможные значения выбора поля:
4. Тип аутентификация удаленного узла при установлении защищенного соединения.
Далее необходимо задать криптографические параметры первой и второй фаз согласования защищенного соединения. Во время первой фазы происходит согласование и установление IKE SA. Необходимо указать следующие параметры: 5. Время жизни ключа — по истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы. 6. Режим работы механизма Dead peer detection (DPD) — для проверки работоспособности канала и его своевременного отключения/переподключения при обрыве связи. DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Возможны 3 режима работы механизма:
7. Diffie-Hellman группы — выбор групп Диффи-Хеллмана, которые будет использоваться для обмена ключами. 8. Безопасность — выбор алгоритмов аутентификации и шифрования. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка переместите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже. Во второй фазе осуществляется выбор способа защиты передаваемых данных в IPsec подключении. Необходимо указать следующие параметры: 9. Время жизни ключа — по истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще. 10. Максимальный размер данных, шифруемых одним ключом — время жизни ключа может быть задано в байтах. Если заданы оба значения (Время жизни ключа и Максимальный размер данных, шифруемых одним ключом), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии. 11. NAT keepalive — применяется в сценариях, когда IPsec трафик проходит через узел с NAT. Записи в таблице трансляций NAT активны в течение ограниченного времени. Если за этот промежуток времени не было трафика по VPN туннелю, записи в таблице трансляций на узле с NAT будут удалены и трафик по VPN туннелю в дальнейшем не сможет проходить. С помощью функции NAT keepalive VPN-сервер, находящийся за шлюзом NAT, периодически отправляет пакеты keepalive в сторону peer-узла для поддержания сессии NAT активной. 12. Безопасность — алгоритмы аутентификации и шифрования используются в порядке, в котором они отображены. Для изменения порядка переместите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже. Для примера в веб-консоли администратора создан профиль безопасности Remote Access VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, необходимо изменить общий ключ шифрования при использовании протоколов IKEv1/IPsec. Создание VPN-интерфейсаVPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений. VPN-интерфейс в веб-консоли администратора создается в разделе Сеть ➜ Интерфейсы. Необходимо нажать кнопку Добавить и выбрать Добавить VPN, далее в настройках VPN-адаптера задать необходимые параметры: 1. Включено — включение/отключение интерфейса. 2. Название — название интерфейса, должно быть в виде tunnelN, где N — это порядковый номер VPN-интерфейса. 3. Зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к DCFW, будут также помещены в эту зону. В этом поле указывается зона, созданная ранее на этапе создания зоны для VPN подключений. 4. Профиль netflow, используемый для данного интерфейса. Подробнее о профилях netflow читайте в статье Профили netflow. Опциональный параметр. 5. Алиас/Псевдоним интерфейса. Опциональный параметр. 6. Режим — тип присвоения IP-адреса. Возможные опции выбора — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Если интерфейс предполагается использовать для приема VPN-подключений (Remote access VPN), то необходимо использовать статический IP-адрес. 7. MTU — размер MTU для выбранного интерфейса. Если пакеты, передаваемые через VPN-туннель, превышают максимальный размер MTU на любом из промежуточных устройств, они могут быть разделены на фрагменты. Это может привести к увеличению задержки и потере производительности. Путем установки оптимального значения MTU на туннельном интерфейсе можно избежать фрагментации и снизить задержку. 8. Поле добавления IP-адреса VPN-интерфейса в случае, если выбран статический режим присвоения адреса. Для примера в веб-консоли администратора создан VPN-интерфейс tunnel1, который может быть использован для Remote Access VPN. Создание сети VPNСеть VPN определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и маршруты, которые будут переданы клиентам для применения, если клиенты поддерживают применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов. Сеть VPN в веб-консоли администратора создается в разделе VPN ➜ Сети VPN, Необходимо нажать кнопку Добавить и заполнить необходимые поля в свойствах VPN-сети: 1. Название сети VPN. 2. Описание сети VPN. Опциональный параметр. 3. Диапазон IP-адресов, которые будут использованы клиентами. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу DCFW, используемому совместно с данной сетью. Не указывайте здесь адрес сети и широковещательный адрес. 4. Маска сети VPN. 5. Указать DNS-серверы, которые будут переданы клиенту, или поставить флажок Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует DCFW. Важно! Можно указать не более двух DNS-серверов.
6. Маршруты VPN — маршруты, передаваемые VPN-клиенту в виде бесклассовой адресации (CIDR) или заранее созданного списка IP-адресов. 7. Вкладка Маршруты для UserGate client предназначена для настройки функциональности раздельного туннелирования (split tunneling) для UserGate Client. Для примера в веб-консоли администратора создана сеть Remote access VPN network с настройками по умолчанию. Для использования этой сети в ней необходимо добавить маршруты, передаваемые на клиент. Создание серверного правила VPNСерверные правила VPN в веб-консоли администратора создаются в разделе VPN ➜ Серверные правила. Далее необходимо нажать кнопку Добавить и заполнить необходимые поля в свойствах правила: 1. Включено — включение/отключение правила VPN. 2. Название серверного правила VPN. 3. Описание серверного правила VPN. Опциональный параметр. 4. Профиль безопасности VPN — профиль безопасности, созданный ранее. 5. Сеть VPN — сеть, созданная ранее на этапе создания сети VPN. 6. Профиль аутентификации — профиль аутентификации для пользователей VPN, созданный ранее. 7. Интерфейс — созданный ранее VPN-интерфейс. 8. Только для UserGate Client — опция (доступна начиная с релиза ПО 7.1.2) позволяет ограничить возможность подключения по данному правилу только для VPN-клиентов UserGate Client. 9. Источник — зоны и адреса, с которых разрешено принимать подключения к VPN. Как правило, клиенты находятся в сети интернет, следовательно, следует указать зону Untrusted. Важно! Обработка трафика происходит по следующей логике:
10. Пользователи — локальные или доменные группы учетных записей пользователей или отдельные учетные записи пользователей, которым разрешено подключаться по VPN. 11 Назначение — один или несколько адресов интерфейса, на который будет происходить подключение клиентов. Интерфейс должен принадлежать зоне, указанной на этапе контроля доступа зоны. Важно! Для применения различных серверных правил к разным клиентам необходимо использовать параметры Зона источника и Адрес источника. Параметр Пользователи не является условием выбора серверного правила, проверка пользователя происходит уже после установления соединения VPN.
Примечание При изменении настроек VPN-сервера (изменение серверных правил, изменение профилей безопасности, добавление новых VPN-сетей) не происходит перезагрузка VPN-сервера, благодаря чему ранее установленные активные сессии VPN-клиентов не обрываются. Перезагрузка VPN-сервера и переподключение активных сессий VPN-клиентов может произойти в случае смены IP-адреса туннельного интерфейса VPN-сервера.
Для примера в веб-консоли администратора создана сеть Remote access VPN network с настройками по умолчанию. Для использования этой сети в ней необходимо добавить маршруты, передаваемые на клиент. Контроль доступа к ресурсамКлиенты подключаются к VPN с использованием Point-to-Point протокола. Чтобы трафик мог ходить из созданной ранее зоны для VPN-подключений, необходимо создать правило NAT из этой зоны во все необходимые зоны. Правило создается в разделе Политики сети ➜ NAT и маршрутизация. Подробнее о правилах NAT читайте в разделе NAT и маршрутизация. Для примера в веб-консоли администратора создано правило NAT from VPN for remote access to Trusted and Untrusted, разрешающее подмену IP-адресов из зоны VPN for remote access в зоны Trusted и Untrusted. При необходимости предоставления доступа пользователям VPN в определенные сегменты сети, или, например, для предоставления доступа в интернет в разделе Политики сети ➜ Межсетевой экран необходимо создать правило межсетевого экрана, разрешающее трафик из зоны для VPN-подключений в требуемые зоны. Подробнее о создании и настройке правил межсетевого экрана смотрите в разделе руководства Межсетевой экран. Для примера в консоли администратора создано правило межсетевого экрана VPN for Remote Access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Remote Access в Trusted и Untrusted зоны. Правило отключено по умолчанию Настройка VPN-клиентаПосле настройки VPN-сервера необходимо настроить VPN-клиенты. В качестве клиентского ПО на устройствах пользователей может использоваться UserGate Client, также поддерживаются нативные клиенты большинства популярных операционных систем. Настройка параметров клиентского ПО зависит от типа устанавливаемого соединения. L2TP/IPsec VPNПри создании VPN с помощью L2TP/IPsec(IKEv1), протокол L2TP создает туннель, в котором передаются пакеты сетевого уровня в кадрах PPP. IPsec обеспечивает шифрование, аутентификацию и проверку целостности передаваемых данных. Взаимная аутентификация узлов осуществляется посредством общего ключа (Pre-shared key). Аутентификация пользователей VPN производится с помощью логина и пароля. В настройках клиентского ПО необходимо указать следующие параметры:
Операционные системы Windows версий 10 и выше, по умолчанию, не поддерживают L2TP-подключения к серверам, которые находятся за вышестоящими маршрутизаторами с функционалом NAT. Для возможности установки соединения необходимо внести следующие правки в реестр ОС Windows:
Важно! После внесения изменений в реестр их необходимо применить, например, перезагрузив компьютер.
Для получения более подробной информации обратитесь к статье Microsoft (https://docs.microsoft.com/en-US/troubleshoot/windows-server/networking/configure-l2tp-IPsec-server-behind-nat-t-device). IPsec (IKEv2) VPN с аутентификацией посредством сертификатов, использующих инфраструктуру открытых ключей (PKI)При создании VPN с помощью IPsec(IKEv2) защищенный VPN-туннель создается только протоколами группы IPsec с протоколом IKE версии 2 (IKEv2). В процессе создания туннеля происходит взаимная аутентификации узлов с проверкой подлинности сертификатов. Проверка сертификатов происходит следующим образом:
При настройке клиентского ПО необходимо выполнить следующие операции:
IPsec (IKEv2) VPN с аутентификацией с помощью протокола EAP с методом MSCHAPv2 (AAA)При создании VPN с помощью IPsec (IKEv2) защищенный VPN-туннель создается только протоколами группы IPsec с протоколом IKE версии 2 (IKEv2). В режиме аутентификации с помощью протокола EAP MSCHAPv2 (AAA) во время фазы обмена IKE_AUTH VPN-сервер отвечает клиенту, что требуется авторизация через EAP. Клиент обменивается с VPN-сервером несколькими EAP-пакетами. VPN-сервер транслирует пакеты на внешний доменный RADIUS-сервер, который принимает решение об авторизации. После получения разрешения от RADIUS-сервера, VPN-сервер по полученному логину запрашивает у сервера домена информацию о пользователе и принадлежности его к тем или иным группам, после чего принимает решение о подключении пользователя к VPN. Также в процессе установления соединения VPN-клиент производит проверку подлинности сертификата VPN-сервера. При настройке клиентского ПО необходимо выполнить следующие операции:
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 1887
Последнее обновление: 21 ноя, 2024
Ревизия: 4
Просмотры: 1
Комментарии: 0
Теги
|