10.2. VPN для защищенного соединения офисов (Site-to-Site VPN)

Для создания Site-to-Site VPN необходимо настроить один UserGate для выполнения роли VPN-клиента, а другой - для выполнения роли VPN-сервера. Хотя настройка UserGate для выполнения роли VPN-сервера близка к настройке сервера для удаленного доступа, мы рекомендуем произвести все настройки отдельно, поскольку часть настроек может отличаться.

Настройка сервера, выполняющего роль VPN-сервера для объединения офисов:

Наименование

Описание

Шаг 1. Создать локального пользователя для авторизации сервера, выступающего в роли VPN-клиента

В разделе Пользователи и устройства --> Пользователи создать пользователей для каждого из удаленных UserGate-серверов, выступающих в роли VPN-клиентов, задать пароли. Рекомендуется поместить всех созданных пользователей в группу, которой будет дан доступ для подключения по VPN. По умолчанию для этой цели в UserGate создана группа VPN servers.

Шаг 2. Разрешить сервис VPN на зоне, к которой будут подключаться VPN-клиенты

В разделе Сеть --> Зоны отредактировать параметры контроля доступа для той зоны, к которой будут подключаться VPN-клиенты, разрешить сервис VPN. Как правило, это зона Untrusted.

Шаг 3. Создать зону, в которую будут помещены подключаемые по VPN серверы

В разделе Сеть --> Зоны создать зону, в которую будут помещены подключаемые по VPN серверы. Эту зону в дальнейшем можно будет использовать в политиках безопасности.

Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site .

Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны

В разделе Политики сети --> Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны.

По умолчанию в UserGate создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Site-to-Site в Trusted и Untrusted зоны. Правило выключено по умолчанию.

Шаг 5. Создать профиль авторизации

В разделе Пользователи и устройства --> Профили авторизации создать профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей, для получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP.

Подробно о профилях авторизации смотрите в разделе данного руководства Профили авторизации.

Шаг 6. Создать профиль безопасности VPN

Профиль безопасности определяет такие настройки, как общий ключ шифрования (Preshared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов.

Для создания профиля безопасности необходимо перейти в раздел VPN --> Профили безопасности, нажать кнопку Добавить и заполнить следующие поля:

  • Название - название профиля.

  • Описание - описание профиля.

  • Общий ключ - строка, которая должна совпадать на сервере и клиенте для успешного подключения.

  • Безопасность --> Методы шифрования - пары алгоритмов аутентификации и шифрования. Алгоритмы используются в порядке, в котором они изображены (сверху вниз). При установлении соединения используется первая пара, которую поддерживают сервер и клиент. Для совместимости со стандартными клиентами VPN рекомендуется оставить значения по умолчанию.

По умолчанию в UserGate создан профиль безопасности Site-to-Site VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, необходимо изменить общий ключ шифрования.

Шаг 7. Создать VPN-интерфейс

VPN-интерфейс -- это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

В разделе Сеть --> Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры:

  • Название -- название интерфейса, должно быть в виде tunnelN, где N -- это порядковый номер VPN-интерфейса.

  • Описание -- описание интерфейса.

  • Зона -- зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к серверу UserGate будут так же помещены в эту зону. Укажите зону, созданную на шаге 3.

  • Профиль Netflow -- профиль Netflow, используемый для данного интерфейса. Не обязательный параметр.

  • Режим - тип присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Если интерфейс предполагается использовать для приема VPN-подключений (Site-2-Site VPN или Remote access VPN, то необходимо использовать статический IP-адрес.

  • MTU -- размер MTU для выбранного интерфейса.

По умолчанию в системе уже создан VPN-интерфейс tunnel2, который рекомендовано использовать для Site-to-Site VPN.

Шаг 8. Создать Туннель VPN

VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и - опционально - маршруты, которые будут переданы клиентам для применения, если клиенты поддерживает применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов.

Для создания туннеля VPN перейдите в раздел VPN --> Сети VPN, нажмите кнопку Добавить и заполните следующие поля:

  • Название - название сети.

  • Описание - описание сети.

  • Диапазон IP-адресов, которые будут использованы клиентами и сервером. Исключите из диапазона адреса, которые назначены VPN-интерфейсу, используемым совместно с данной сетью. Не указывайте здесь адреса сети и широковещательный адрес.

  • Укажите DNS-сервера, которые будут переданы клиенту, или поставьте галочку Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует UserGate.

  • Укажите маршруты, передаваемые клиенту в виде бесклассовой адресации (CIDR)

В UserGate создана сеть Site-to-Site VPN network с настройками по умолчанию. Для использования этой сети в ней необходимо добавить маршруты, передаваемые на сервер-клиент.

Шаг 9. Создать серверное правило VPN

Создать серверное правило VPN, используя в нем созданные ранее туннель VPN и профиль VPN. Для создания правила необходимо перейти в раздел VPN --> Серверные правила, нажать кнопку Добавить и заполнить следующие поля:

  • Название - название правила.

  • Описание - описание правила.

  • Серверный профиль - серверный профиль, созданный ранее.

  • Туннель VPN - туннель VPN, созданный ранее.

  • Профиль авторизации - профиль авторизации, созданный ранее.

  • Источник - зоны и адреса, с которых разрешено принимать подключения к VPN. Как правило, клиенты находятся в сети интернет, следовательно, следует указать зону Untrusted.

  • Интерфейс - созданный ранее интерфейс VPN.

  • Пользователи - группа учетных записей серверов или отдельные учетные записи серверов, которым разрешено подключаться по VPN.

По умолчанию в UserGate создано серверное правило Site-to-Site VPN rule, в котором используются необходимые настройки для Site-to-Site VPN, а доступ к VPN разрешен членам локальной группе VPN servers.

Важно! Для применения различных серверных правил к разным клиентам необходимо использовать параметры Исходная зона и Адрес источника. Параметр Пользователь не является условием выбора серверного правила, проверка пользователя происходит уже после установления соединения VPN.

Для настройки сервера, выступающего в роли VPN-клиента, необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать зону, в которую будут помещен интерфейс, используемый для подключения по VPN

В разделе Сеть --> Зоны создать зону, в которую будут помещены интерфейсы, используемые для подключения по VPN. Эту зону в дальнейшем можно будет использовать в политиках безопасности.

Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site.

Шаг 2. Создать разрешающее правило межсетевого экрана для трафика в созданную зону

Создать разрешающее правило межсетевого экрана в разделе Политики сети --> Межсетевой экран.

По умолчанию в UserGate создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик между зонами VPN for Site-to-Site, Trusted и Untrusted.

Шаг 3. Создать VPN-интерфейс

VPN-интерфейс -- это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

В разделе Сеть --> Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры:

  • Название -- название интерфейса, должно быть в виде tunnelN, где N -- это порядковый номер VPN-интерфейса.

  • Описание -- описание интерфейса.

  • Зона -- зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к серверу UserGate будут так же помещены в эту зону. Укажите зону, созданную на шаге 3.

  • Профиль Netflow -- профиль Netflow, используемый для данного интерфейса. Не обязательный параметр.

  • Режим - тип присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Для использования интерфейса в качестве клиентского VPN, необходимо использовать режим получения адреса -- Динамический.

  • MTU -- размер MTU для выбранного интерфейса.

По умолчанию в системе уже создан VPN-интерфейс tunnel3, который рекомендовано использовать для клиентского подключения Site-to-Site VPN.

Важно! Если при настройке туннельного интерфейса на стороне сервера был выбран уже существующий интерфейс tunnel2 с настройками по умолчанию, то на клиенте при подключении к серверу возникнет конфликт IP-адресов, поскольку на клиенте так же существует аналогичный интерфейс tunnel2 с тем же диапазоном адресов. Для корректной работы диапазоны адресов туннельных интерфейсов не должны пересекаться. Рекомендуется изменить диапазон адресов на клиенте на уникальный.

Шаг 4. Создать клиентское правило VPN

Создать клиентское правило VPN, которое будет инициировать подключение к VPN-серверу. Для создания правила необходимо перейти в раздел VPN --> Клиентские правила, нажать кнопку Добавить и заполнить следующие поля:

  • Название - название правила.

  • Описание - описание правила.

  • Общий ключ - строка, которая должна совпадать со строкой общего ключа, указанной на сервере.

  • Безопасность --> Методы шифрования - пары алгоритмов аутентификации и шифрования. Алгоритмы используются в порядке, в котором они изображены (сверху вниз). При установлении соединения используется первая пара, которую поддерживают сервер и клиент.

  • Адрес сервера - IP-адрес VPN-сервера, куда подключается данный VPN-клиент. Как правило, это IP-адрес интерфейса в зоне Untrusted на сервере UserGate, выполняющего роль VPN-сервера.

  • Интерфейс - созданный ранее VPN-интерфейс.

  • Имя пользователя и пароль - имя и пароль пользователя, созданного на шаге 1 при подготовке VPN-сервера.

После завершения настройки VPN-сервера и VPN-клиента клиент инициирует соединение на сервер, и в случае корректности настроек, поднимается VPN-туннель. Для отключения туннеля выключите клиентское (на клиенте) или серверное правило VPN (на сервере).