VPN для удаленного доступа клиентов (Remote access VPN)

​

VPN-подключение, с помощью которого пользователи могут получить защищенный доступ к корпоративной сети компании через Интернет, называется Remote access VPN.

В этом подключении межсетевой экран UserGate (NGFW) выступает в роли VPN-сервера, а устройства пользователей — в роли VPN-клиентов. В качестве клиентского ПО на устройствах пользователей может использоваться UserGate Client, также поддерживаются нативные клиенты большинства популярных операционных систем.

Для организации защищенного подключения используются следующие протоколы:

• L2TP/IPSec(IKEv1); 

• IPSec(IKEv2).

Для создания Remote Access VPN необходимо произвести настройки соответствующих параметров на VPN-сервере (NGFW), а затем настроить и подключить VPN-клиент на оборудовании пользователя. 

Настройка VPN-сервера

Алгоритм настройки VPN-сервера на UserGate NGFW включает в себя следующие основные этапы:

1. Контроль доступа зоны.

2. Создание зоны для VPN подключений.

3. Настройка параметров аутентификации.

4. Создание профиля безопасности VPN.

5. Создание VPN-интерфейса.

6. Создание сети VPN.

7. Создание серверного правила VPN.

8. Контроль доступа к ресурсам.

Контроль доступа зоны

Необходимо разрешить сервис VPN в контроле доступа зоны, c которой будут подключаться VPN-клиенты.

Это можно сделать в веб-консоли администратора, перейдя в раздел Сеть ➜ Зоны. Далее в настройках контроля доступа для той зоны, c которой будут подключаться VPN-клиенты, нужно разрешить сервис VPN. Как правило, это зона Untrusted. Подробнее о создании и настройках зон смотрите в статье Настройка зон.

Создание зоны для VPN-подключений

Необходимо создать зону, в которую будут помещены подключаемые по VPN клиенты. 

В веб-консоли администратора зона создается в разделе Сеть ➜ Зоны. Эту зону в дальнейшем можно будет использовать в политиках безопасности. Подробнее о создании и настройках зон смотрите в статье Настройка зон.

Настройка параметров аутентификации

1. При создании защищенного соединения IPsec возможны следующие методы аутентификации узлов:

• Аутентификация посредством общего ключа (Pre-shared key). Используется при выборе протокола IKEv1 для организации защищенного соединения. Общий ключ задается в настройках профиля безопасности VPN. Он должен совпадать на VPN-сервере и на VPN-клиентах для успешного подключения. 

• Аутентификация посредством сертификатов, использующих инфраструктуру открытых ключей (PKI). Используется при выборе протокола IKEv2 для организации защищенного соединения. Необходимо заранее создать сертификаты сервера и клиентов и импортировать их в NGFW и на клиентские компьютеры. Также в NGFW необходимо создать профили клиентских сертификатов. О примерах создания и использования сертификатов для IKEv2 VPN читайте в Приложении. О создании профилей клиентских сертификатов читайте в разделе Профили клиентских сертификатов.

2. Для аутентификации пользователей VPN нужно создать соответствующий профиль аутентификации. Профили аутентификации создаются в разделе Пользователи и устройства ➜ Профили аутентификации. Допускается использовать тот же профиль, что используется для аутентификации пользователей с целью получения доступа к сети интернет. Следует учесть, что для аутентификации VPN нельзя использовать методы прозрачной аутентификации, такие как Kerberos, NTLM, SAML IDP.

При аутентификации пользователей VPN возможно использование многофакторной аутентификации. Второй фактор может быть получен через одноразовые коды TOTP. VPN с TOTP работает для клиента UserGate Client только с IKEv2 (код вводится в отдельном окне), для других клиентов — только с IKEv1 (код вводится в пароле через двоеточие: пароль_пользователя:totp_code).

Подробнее о профилях аутентификации читайте в разделе руководства Профили аутентификации.

Создание профиля безопасности VPN

В настройках профиля безопасности VPN определяются типы и параметры алгоритмов шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов.

Для создания профиля безопасности в веб-консоли администратора VPN-сервера необходимо перейти в раздел VPN ➜ Серверные профили безопасности:

Нажать кнопку Добавить в панели инструментов раздела и заполнить необходимые поля в свойствах профиля безопасности:

 Вкладка Общие предназначена для выбора версии протоколов VPN и задания параметров аутентификации при установлении защищенного соединения.

1. Протокол. Возможны следующие варианты выбора поля:​​​​​

• ​​IPsec/L2TP.

• IKEv2.

• IPsec only/IKEv1 — не используется для организации соединений Remote access VPN (используется только для организации соединений Site-to-Site VPN).

2. Режим работы IKE (доступно только для IKEv1) (Подробнее о режимах IKEv1 читайте в статье VPN). Возможны следующие варианты выбора поля:

• Основной.

• Агрессивный.

3. Тип идентификации (параметр IKE local ID). Необходим для идентификации NGFW на соседнем узле при установлении VPN-соединения с оборудованием некоторых производителей. Возможные значения выбора поля:

• Отсутствует — значение поля по умолчанию. Используется в случае, когда для установления VPN-соединения не требуется использовать параметр IKE local ID. 

• IPv4 — IP-адрес узла.

• FQDN — адрес узла в формате полностью определенного доменного имени (FQDN).

• CIDR — адрес узла в формате бесклассовой адресации (CIDR).

• Значение идентификации — значение параметра IKE local ID в формате выбранного ранее типа.

4. Тип аутентификация удаленного узла при установлении защищенного соединения.

• При выборе протоколов IPsec/L2TP используется аутентификация с общим ключом (Pre-shared key). Необходимо задать общий ключ. Строка должна совпадать на VPN-сервере и VPN-клиенте для успешного подключения.

• При выборе протокола IKEv2 для организации туннеля указывается:

  • Заранее созданный сертификат сервера;

  • Режим аутентификации — возможна аутентификация с помощью сертификатов, использующих инфраструктуру открытых ключей (PKI), или с помощью протокола EAP с методом MSCHAPv2 (AAA). 

    • При выборе режима PKI необходимо указать сконфигурированный ранее профиль клиентского сертификата (подробнее о профилях клиентских сертификатов смотрите в разделе Профили клиентских сертификатов). 

    • В режиме аутентификации с помощью протокола EAP с методом MSCHAPv2 (AAA) клиент обменивается с VPN-сервером EAP-пакетами. VPN-сервер транслирует пакеты на внешний доменный RADIUS-сервер, который принимает решение об авторизации. После получения разрешения от RADIUS-сервера, VPN-сервер по полученному логину запрашивает у сервера домена информацию о пользователе, после чего принимает решение о подключении пользователя к VPN.

Далее необходимо задать криптографические параметры первой и второй фаз согласования защищенного соединения.

Во время первой фазы происходит согласование и установление IKE SA. Необходимо указать следующие параметры:

5. Время жизни ключа — по истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы. 

6. Режим работы механизма Dead peer detection (DPD) — для проверки работоспособности канала и его своевременного отключения/переподключения при обрыве связи. DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Возможны 3 режима работы механизма:

• Отключено — Механизм отключен. DPD запросы не отсылаются. 

• Всегда включено — DPD запросы всегда отсылаются через указанный интервал времени. Если ответ не пришел, последовательно с интервалом 5 сек отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если ответ есть, работа механизма возвращается к изначальному интервалу отправки DPD запросов, если нет ни одного ответа, соединение завершается.

• При отсутствии трафика — DPD запросы не отсылаются, пока есть ESP трафик через созданные SA. Если в течение двойного указанного интервала времени нет ни одного пакета, тогда производится отсылка DPD запроса. При ответе новый DPD запрос будет отправлен снова через двойной интервал указанного времени. При отсутствии ответа последовательно с интервалом 5 сек отсылаются дополнительные запросы в количестве, указанном в поле Неудачных попыток. Если нет ни одного ответа, соединение завершается.  

7. Diffie-Hellman группы — выбор групп Диффи-Хеллмана, которые будет использоваться для обмена ключами.

8. Безопасность — выбор алгоритмов аутентификации и шифрования. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка переместите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже. 

Во второй фазе осуществляется выбор способа защиты передаваемых данных в IPsec подключении. Необходимо указать следующие параметры:

9. Время жизни ключа — по истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.

10. Максимальный размер данных, шифруемых одним ключом — время жизни ключа может быть задано в байтах. Если заданы оба значения (Время жизни ключа и Максимальный размер данных, шифруемых одним ключом), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии.

11. NAT keepalive — применяется в сценариях, когда IPsec трафик проходит через узел с NAT. Записи в таблице трансляций NAT активны в течение ограниченного времени. Если за этот промежуток времени не было трафика по VPN туннелю, записи в таблице трансляций на узле с NAT будут удалены и трафик по VPN туннелю в дальнейшем не сможет проходить. С помощью функции NAT keepalive VPN-сервер, находящийся за шлюзом NAT, периодически отправляет пакеты keepalive в сторону peer-узла для поддержания сессии NAT активной.

12. Безопасность — алгоритмы аутентификации и шифрования используются в порядке, в котором они отображены. Для изменения порядка переместите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже.

Для примера в веб-консоли администратора создан профиль безопасности Remote Access VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, необходимо изменить общий ключ шифрования при использовании протоколов IKEv1/IPsec.

Создание VPN-интерфейса

VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

VPN-интерфейс в веб-консоли администратора создается в разделе Сеть ➜ Интерфейсы. Необходимо нажать кнопку Добавить и выбрать Добавить VPN, далее в настройках VPN-адаптера задать необходимые параметры: 

1. Включено — включение/отключение интерфейса.

2. Название — название интерфейса, должно быть в виде tunnelN, где N — это порядковый номер VPN-интерфейса. 

3. Зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к NGFW, будут также помещены в эту зону. В этом поле указывается зона, созданная ранее на этапе создания зоны для VPN подключений.

4. Профиль netflow, используемый для данного интерфейса. Подробнее о профилях netflow читайте в статье Профили netflow. Опциональный параметр.

5. Алиас/Псевдоним интерфейса. Опциональный параметр.

6. Режим — тип присвоения IP-адреса. Возможные опции выбора — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Если интерфейс предполагается использовать для приема VPN-подключений (Remote access VPN), то необходимо использовать статический IP-адрес.

7. MTU — размер MTU для выбранного интерфейса. Если пакеты, передаваемые через VPN-туннель, превышают максимальный размер MTU на любом из промежуточных устройств, они могут быть разделены на фрагменты. Это может привести к увеличению задержки и потере производительности. Путем установки оптимального значения MTU на туннельном интерфейсе можно избежать фрагментации и снизить задержку.

8. Поле добавления IP-адреса VPN-интерфейса в случае, если выбран статический режим присвоения адреса.

Для примера в веб-консоли администратора создан VPN-интерфейс tunnel1, который может быть использован для Remote Access VPN.

Создание сети VPN

Сеть VPN определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и маршруты, которые будут переданы клиентам для применения, если клиенты поддерживают применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов.

Сеть VPN в веб-консоли администратора создается в разделе VPN ➜ Сети VPN, Необходимо нажать кнопку Добавить и заполнить необходимые поля в свойствах VPN-сети:

1. Название сети VPN.

2. Описание сети VPN. Опциональный параметр. 

3. Диапазон IP-адресов, которые будут использованы клиентами. Необходимо исключить из диапазона адрес, который назначен VPN-интерфейсу NGFW, используемому совместно с данной сетью. Не указывайте здесь адрес сети и широковещательный адрес.

4. Маска сети VPN.

5. Указать DNS-серверы, которые будут переданы клиенту, или поставить флажок Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует NGFW.

6. Маршруты VPN — маршруты, передаваемые VPN-клиенту в виде бесклассовой адресации (CIDR) или заранее созданного списка IP-адресов.

 7. Вкладка Маршруты для UserGate client предназначена для настройки функциональности раздельного туннелирования (split tunneling) для UserGate Client. Подробнее читайте в разделе Настройка раздельного туннелирования для UserGate Client.

Для примера в веб-консоли администратора создана сеть Remote access VPN network с настройками по умолчанию. Для использования этой сети в ней необходимо добавить маршруты, передаваемые на клиент.

Создание серверного правила VPN

Серверные правила VPN в веб-консоли администратора создаются в разделе VPN ➜ Серверные правила. Далее необходимо нажать кнопку Добавить и заполнить необходимые поля в свойствах правила:

1. Включено — включение/отключение правила VPN.

2. Название серверного правила VPN.

3. Описание серверного правила VPN. Опциональный параметр.

4. Профиль безопасности VPN — профиль безопасности, созданный ранее.

5. Сеть VPN — сеть, созданная ранее на этапе создания сети VPN.

6. Профиль аутентификации — профиль аутентификации для пользователей VPN, созданный ранее.

7. Интерфейс — созданный ранее VPN-интерфейс.

8. Только для UserGate Client — опция (доступна начиная с релиза ПО 7.1.2) позволяет ограничить возможность подключения по данному правилу только для VPN-клиентов UserGate Client. 

9. Источник — зоны и адреса, с которых разрешено принимать подключения к VPN. Как правило, клиенты находятся в сети интернет, следовательно, следует указать зону Untrusted.

10. Пользователи — локальные или доменные группы учетных записей пользователей или отдельные учетные записи пользователей, которым разрешено подключаться по VPN.

11 Назначение — один или несколько адресов интерфейса, на который будет происходить подключение клиентов. Интерфейс должен принадлежать зоне, указанной на этапе контроля доступа зоны.

Для примера в веб-консоли администратора создана сеть Remote access VPN network с настройками по умолчанию. Для использования этой сети в ней необходимо добавить маршруты, передаваемые на клиент.

Контроль доступа к ресурсам

Клиенты подключаются к VPN с использованием Point-to-Point протокола. Чтобы трафик мог ходить из созданной ранее зоны для VPN-подключений, необходимо создать правило NAT из этой зоны во все необходимые зоны. Правило создается в разделе Политики сети ➜ NAT и маршрутизация. Подробнее о правилах NAT читайте в разделе NAT и маршрутизация. Для примера в веб-консоли администратора создано правило NAT from VPN for remote access to Trusted and Untrusted, разрешающее подмену IP-адресов из зоны VPN for remote access в зоны Trusted и Untrusted.

При необходимости предоставления доступа пользователям VPN в определенные сегменты сети, или, например, для предоставления доступа в интернет в разделе Политики сети ➜ Межсетевой экран необходимо создать правило межсетевого экрана, разрешающее трафик из зоны для VPN-подключений в требуемые зоны. Подробнее о создании и настройке правил межсетевого экрана смотрите в разделе руководства Межсетевой экран.

Для примера в консоли администратора создано правило межсетевого экрана VPN for Remote Access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Remote Access в Trusted и Untrusted зоны. Правило отключено по умолчанию

Настройка VPN-клиента

После настройки VPN-сервера необходимо настроить VPN-клиенты. В качестве клиентского ПО на устройствах пользователей может использоваться UserGate Client, также поддерживаются нативные клиенты большинства популярных операционных систем.

Настройка параметров клиентского ПО зависит от типа устанавливаемого соединения. 

L2TP/IPsec VPN

При создании VPN с помощью L2TP/IPsec(IKEv1), протокол L2TP создает туннель, в котором передаются пакеты сетевого уровня в кадрах PPP. IPsec обеспечивает шифрование, аутентификацию и проверку целостности передаваемых данных.

Взаимная аутентификация узлов осуществляется посредством общего ключа (Pre-shared key). Аутентификация пользователей VPN производится с помощью логина и пароля.

В настройках клиентского ПО необходимо указать следующие параметры:

• Тип VPN (L2TP/IPsec);

• Имя или IP-адрес VPN-сервера;

• Значение общего ключа (pre-shared key);

• Метод аутентификации пользователя (PAP);

• Параметры первой и второй фаз согласования защищенного соединения;

• Параметры аутентификации пользователя (логин и пароль).

Операционные системы Windows версий 10 и выше, по умолчанию, не поддерживают L2TP-подключения к серверам, которые находятся за вышестоящими маршрутизаторами с функционалом NAT. Для возможности установки соединения необходимо внести следующие правки в реестр ОС Windows:

• в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent создать параметр DWORD (32 бита) с названием AssumeUDPEncapsulationContextOnSendRule и значением 2;

• в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters изменить значение параметра AllowL2TPWeakCrypto на 1.

Для получения более подробной информации обратитесь к статье Microsoft (https://docs.microsoft.com/en-US/troubleshoot/windows-server/networking/configure-l2tp-IPsec-server-behind-nat-t-device).

Подробнее читайте в статье Пример настройки Remote access VPN с L2TP/IPsec(IKEv1).

IPsec (IKEv2) VPN с аутентификацией посредством сертификатов, использующих инфраструктуру открытых ключей (PKI)

При создании VPN с помощью IPsec(IKEv2) защищенный VPN-туннель создается только протоколами группы IPsec с протоколом IKE версии 2 (IKEv2). В процессе создания туннеля происходит взаимная аутентификации узлов с проверкой подлинности сертификатов.

Проверка сертификатов происходит следующим образом:  

• По шифрованному каналу VPN-клиент присылает свой сертификат и зашифрованные данные, подписанные приватным ключом.

• VPN-сервер расшифровывает данные публичным ключом клиента и сравнивает со своим контрольным набором, тем самым проверяется наличие приватного ключа у клиента.

• VPN-сервер проверяет сертификат клиента на соответствие указанной цепочки сертификатов, тем самым проверяется, что сертификат выписан от имени уполномоченного УЦ.

• VPN-сервер может проверить сертификат на отозванность.

• VPN-сервер извлекает имя пользователя из сертификата и ищет пользователя с использованием метода, указанного в настроенном профиле аутентификации.

• Если не пройдет любой из указанных пунктов проверки, соединение не установится.

• Если все проверки пройдены, VPN-сервер со своей стороны отправляет свой сертификат и зашифрованные данные, подписанные своим приватным ключом.

• VPN-клиент проверяет правильность подписи сервера и соответствие имени сервера из сертификата тому адресу, куда он подключился.

При настройке клиентского ПО необходимо выполнить следующие операции:

• Импортировать заранее созданный клиентский сертификат и сертификат корневого центра на рабочую станцию;

• Указать тип VPN (IKEv2);

• Указать адрес VPN-сервера;

• Указать метод аутентификации;

• Выполнить настройки параметров виртуального адаптера.

Подробнее читайте в статье Пример настройки Remote access VPN с IPsec (IKEv2).

IPsec (IKEv2) VPN с аутентификацией с помощью протокола EAP с методом MSCHAPv2 (AAA)

При создании VPN с помощью IPsec (IKEv2) защищенный VPN-туннель создается только протоколами группы IPsec с протоколом IKE версии 2 (IKEv2). 

В режиме аутентификации с помощью протокола EAP MSCHAPv2 (AAA) во время фазы обмена IKE_AUTH VPN-сервер отвечает клиенту, что требуется авторизация через EAP. Клиент обменивается с VPN-сервером несколькими EAP-пакетами. VPN-сервер транслирует пакеты на внешний доменный RADIUS-сервер, который принимает решение об авторизации. После получения разрешения от RADIUS-сервера, VPN-сервер по полученному логину запрашивает у сервера домена информацию о пользователе и принадлежности его к тем или иным группам, после чего принимает решение о подключении пользователя к VPN. Также в процессе установления соединения VPN-клиент производит проверку подлинности сертификата VPN-сервера.

При настройке клиентского ПО необходимо выполнить следующие операции:

• Импортировать сертификат корневого центра на рабочую станцию;

• Указать тип VPN (IKEv2);

• Указать адрес VPN-сервера;

• Указать метод аутентификации;

• Указать параметры аутентификации пользователя (логин и пароль);

• Выполнить настройки параметров виртуального адаптера.

Подробнее читайте в статье Пример настройки Remote access VPN с IPsec (IKEv2) с аутентификацией через EAP (MSCHAPv2).

​