VPN в режиме полного туннелирования (full tunnel) — это способ подключения, при котором весь сетевой трафик со стороны VPN-клиента, включая обращения к корпоративным системам и к внешним интернет-ресурсам, передается через защищенный VPN-туннель и обрабатывается на VPN-сервере. При таком подходе трафик не разделяется на корпоративный и интернет-трафик — весь поток данных проходит через VPN.

В UserGate NGFW режим полного туннелирования может применяться в сценариях site-to-site VPN с использованием протокола IPsec/IKEv2.

Администратору филиала не нужно поддерживать список корпоративных подсетей — весь трафик по умолчанию передается в туннель, а дальнейшую маршрутизацию VPN-сервер головного офиса выполняет самостоятельно: в свои локальные сети, в другие филиалы или в интернет.

Основные преимущества режима полного туннелирования:

Полный контроль трафика.
Единая политика безопасности.
Централизованное журналирование.

К недостаткам сценария можно отнести повышенную нагрузку на VPN-сервер головного офиса и возможное увеличение сетевых задержек.

Принцип работы

На этапе согласования защищенного канала узел-инициатор соединения (VPN-клиент) запрашивает для селектора трафика VPN-сервера (TSr) значение 0.0.0.0/0, которое принимается VPN-сервером. На узле-инициаторе изменяется таблица маршрутизации: маршрут по умолчанию назначается через VPN-интерфейс, и весь исходящий трафик направляется через корпоративный VPN-сервер. При этом доступ к самому VPN-серверу сохраняется по прямому маршруту вне туннеля.

При разрыве VPN-соединения — по инициативе пользователя, по команде сервера или по иной причине — узел-инициатор завершает VPN-сессию и восстанавливает исходный маршрут по умолчанию.

Настройка режима полного туннелирования на UserGate NGFW

Для создания VPN-подключения необходимо выполнить настройку обоих граничных узлов защищенного соединения: VPN-сервера и узла-инициатора соединения (VPN-клиента).

Настройка VPN-сервера

Настройку VPN-сервера выполните по алгоритму, описанному в разделе «Настройка UserGate NGFW в качестве узла-ответчика».

Особенности настройки для режима полного туннелирования:

На VPN-сервере должны быть настроены маршруты в корпоративные сети, сети филиалов и в интернет.
Должны быть созданы правила сетевых политик, разрешающие доступ к необходимым сетевым ресурсам.
Настроено правило подключения site-to-site с протоколом IKEv2 с ограничением по IP-адресам. Разрешена соответствующая зона источника.
Создано правило аутентификации site-to-site IKEv2, в котором:
- TSr (Local subnets) = 0.0.0.0/0 — VPN-сервер принимает весь трафик по умолчанию от удаленных шлюзов, использующих такую политику.
- Для удаленных сетей может быть активирована опция «Не проверять сети инициатора», при которой VPN-сервер принимает любые TSi (Remote subnets). Это упрощает конфигурацию.
- Если опция «Не проверять сети инициатора» отключена, необходимо явно указать подсети, которые VPN-сервер будет проверять при получении трафика от узла-инициатора. Эти подсети добавятся в таблицу маршрутизации VPN-сервера. В этом случае VPN-сервер согласует только те подсети, объявленные узлом-инициатором, которые полностью совпадают с указанными.

Настройка узла-инициатора (VPN-клиента)

Настройку узла-инициатора выполните по алгоритму, описанному в разделе «Настройка UserGate NGFW в качестве узла-инициатора подключения».

Особенности настройки для режима полного туннелирования:

До установления VPN-соединения VPN-сервер должен быть доступен согласно текущей таблице маршрутизации (через шлюз по умолчанию, другой L3-шлюз или по L2 — в зависимости от выбранного варианта).
Должно быть создано правило подключения с протоколом IKEv2 со следующими параметрами:
- Remote subnets (TSr): 0.0.0.0/0;
- Local subnets (TSi): указываются только те подсети, которые разрешены на VPN-сервере согласно действующей политике.
VPN-клиент выполняет роль шлюза по умолчанию для всех локальных подсетей.