VPN в режиме полного туннелирования (full tunnel) — это способ подключения, при котором весь сетевой трафик со стороны VPN-клиента, включая обращения к корпоративным системам и к внешним интернет-ресурсам, передается через защищенный VPN-туннель и обрабатывается на VPN-сервере. В отличие от режима раздельного туннелирования (split tunnel), при таком подходе трафик не разделяется на корпоративный и интернет-трафик — весь поток данных проходит через VPN.

В UserGate NGFW режим полного туннелирования может применяться в сценариях site-to-site VPN с использованием протокола IPsec/IKEv2.

Администратору филиала не нужно поддерживать список корпоративных подсетей — весь трафик по умолчанию передается в туннель, а дальнейшую маршрутизацию VPN-сервер головного офиса выполняет самостоятельно: в свои локальные сети, в другие филиалы или в интернет.

Основные преимущества режима полного туннелирования:

простота интеграции филиалов компании;
полный контроль трафика;
единая политика безопасности;
централизованное журналирование.

К недостаткам сценария можно отнести повышенную нагрузку на VPN-сервер головного офиса и возможное увеличение сетевых задержек.

Принцип работы

На этапе согласования защищенного канала удаленный шлюз (VPN-клиент) запрашивает для селектора трафика VPN-сервера (TSr) значение 0.0.0.0/0, которое принимается VPN-сервером. На удаленном шлюзе изменяется таблица маршрутизации: маршрут по умолчанию назначается через VPN-интерфейс, и весь трафик от удаленного шлюза направляется через корпоративный VPN-сервер. При этом доступ к самому VPN-серверу сохраняется по прямому маршруту вне туннеля.

При разрыве VPN-соединения — по инициативе пользователя, по команде сервера или по иной причине — шлюз завершает VPN-сессию и восстанавливает исходный маршрут по умолчанию.

Настройка режима полного туннелирования на UserGate NGFW

Для создания VPN-подключения необходимо выполнить настройку обоих граничных узлов защищенного соединения: удаленного шлюза (VPN-клиента) и VPN-сервера.

Настройка VPN-сервера

Настройку VPN-сервера выполните по алгоритму, описанному в разделе «Настройка UserGate NGFW в качестве узла-ответчика».

Особенности настройки для режима полного туннелирования:

На VPN-сервере должны быть настроены маршруты в корпоративные сети, сети филиалов и в интернет.
Должны быть созданы правила сетевых политик, разрешающие доступ к необходимым сетевым ресурсам.
Для подключаемых шлюзов настроено правило подключения с протоколом IKEv2 с ограничением по IP-адресам. Разрешена соответствующая зона источника.
Для всех подключаемых шлюзов создано правило аутентификации S2S IKEv2, в котором:
- TSr (Local subnets) = 0.0.0.0/0 — VPN-сервер принимает весь трафик по умолчанию от удаленных шлюзов, использующих такую политику.
- Для удаленных сетей может быть активирована опция «Не проверять сети инициатора», при которой VPN-сервер принимает любые TSi (Remote subnets). Это упрощает конфигурацию. Если опция отключена, администратор должен явно указать подсети, которые VPN-сервер будет проверять при получении трафика от удаленного шлюза. В этом случае VPN-сервер согласует только те подсети, которые полностью совпадают с объявленными шлюзом.

Настройка удаленного шлюза

Настройку удаленного шлюза выполните по алгоритму, описанному в разделе «Настройка UserGate NGFW в качестве узла-инициатора подключения».

Особенности настройки для режима полного туннелирования:

До установления VPN-соединения VPN-сервер должен быть доступен согласно текущей таблице маршрутизации (через шлюз по умолчанию, другой L3-шлюз или по L2 — в зависимости от выбранного варианта).
Должно быть создано правило подключения с протоколом IKEv2 со следующими параметрами:
- Remote subnets (TSr): 0.0.0.0/0;
- Local subnets (TSi): указываются только те подсети, которые разрешены на VPN-сервере согласно действующей политике.
VPN-клиент выполняет роль шлюза по умолчанию для всех локальных подсетей.