12.6. Настройка VPN-соединения между UserGate и FortiGate

В данном разделе рассмотрена настройка VPN-соединения между UserGate и FortiGate. Соединение происходит по следующей схеме:

image238

Адреса:

  • IP-адрес сети за UserGate: 10.10.11.0/24.

  • IP-адрес интерфейса, через который происходит подключение к UserGate: 1.1.1.2.

  • IP-адрес сети оборудованием FortiGate: 10.10.10.0/24.

  • IP-адрес интерфейса, через который происходит подключение к FortiGate: 2.2.2.1.

О настройке VPN на продуктах FortiGate читайте в соответствующей документации. При настройке необходимо:

  1. Установить режим, используемый для создания защищенного канала, Aggressive.

  2. Указать группу Диффи - Хеллмана (Diffie-Hellman group, DH group) 1.

Настройка UserGate.

  1. В разделе Сеть --> Зоны разрешить доступ по VPN для зоны, из которой будет происходить соединение.

image239

  1. В разделе Сеть --> Интерфейсы создать или использовать созданный по умолчанию интерфейс VPN for Site-to-Site.

image240

Во вкладке Сеть настроек VPN-адаптера укажите статический IP-адрес туннельного VPN-интерфейса, используемого в правиле VPN; IP-адрес может быть любым при условии, что он не будет пересекаться с адресами других подсетей.

  1. Добавить или использовать существующее правило VPN Site-to-Site to Trusted and Untrusted в разделе Политики сети --> Межсетевой экран для разрешения трафика по VPN Site-to-Site. В свойствах правила можно указать пользователей/группу пользователей, которым будет разрешено подключение, сервис, приложения и время.

Далее представлены свойства созданного по умолчанию правила VPN Site-to-Site to Trusted and Untrusted.

image241

image242

image243

  1. Создать или использовать созданные по умолчанию профили безопасности VPN в разделе VPN --> Профили безопасности VPN. В свойствах профиля указать общий ключ (pre-shared key) и во вкладке Безопасность задать тип авторизации и шифрования, заданные на FortiGate.

image244

image245

  1. В разделе VPN --> Клиентские правила необходимо создать правило, выбрав профиль безопасности VPN, указав адрес сервера (IP-адрес интерфейса FortiGate, через который происходит соединение) и протокол VPN: IPsec туннель. Далее необходимо указать разрешённые подсети со стороны UserGate и FortiGate.

image246

При подключении FortiGate и UserGate версии 6.1.7 и выше:

  1. На FortiGate отключите опцию Perfect Forward Secrecy (PFS).

  2. Согласуйте настройки безопасности между UserGate и Fortinet (режим IKE, DH-группы, алгоритмы авторизации и шифрования).

На UserGate, по умолчанию, создан профиль безопасности Fortinet compatible VPN profile, определяющий следующие настройки:

image353

image354

image355