Хотя настройка UserGate для выполнения роли VPN-сервера близка к настройке сервера для удаленного доступа, мы рекомендуем произвести все настройки отдельно, поскольку часть настроек может отличаться.
Настройка сервера, выполняющего роль VPN-сервера для объединения офисов:
Наименование |
Описание |
---|---|
Шаг 1. Создать локального пользователя для авторизации сервера, выступающего в роли VPN-клиента. |
В разделе Пользователи и устройства --> Пользователи создать пользователей для каждого из удаленных UserGate-серверов, выступающих в роли VPN-клиентов, задать пароли. Рекомендуется поместить всех созданных пользователей в группу, которой будет дан доступ для подключения по VPN. По умолчанию для этой цели в UserGate создана группа VPN servers. |
Шаг 2. Разрешить сервис VPN на зоне, к которой будут подключаться VPN-клиенты. |
В разделе Сеть --> Зоны отредактировать параметры контроля доступа для той зоны, к которой будут подключаться VPN-клиенты, разрешить сервис VPN. Как правило, это зона Untrusted. |
Шаг 3. Создать зону, в которую будут помещены подключаемые по VPN серверы. |
В разделе Сеть --> Зоны создать зону, в которую будут помещены подключаемые по VPN серверы. Эту зону в дальнейшем можно будет использовать в политиках безопасности. Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site. |
Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны. |
В разделе Политики сети --> Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны. По умолчанию в UserGate создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Site-to-Site в Trusted и Untrusted зоны. Правило выключено по умолчанию. Чтобы трафик передавался клиенту из нужной зоны сервера через VPN-туннель, необходимо создать разрешающее правило межсетевого экрана, указав нужную зону источника и зону назначения VPN for Site-to-Site. |
Шаг 5. Создать профиль авторизации. |
В разделе Пользователи и устройства --> Профили авторизации создать профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей с целью получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP. Подробно о профилях авторизации смотрите в разделе данного руководства Профили авторизации. |
Шаг 6. Создать профиль безопасности VPN. |
Профиль безопасности определяет такие настройки, как общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов. Для создания профиля безопасности необходимо перейти в раздел VPN --> Профили безопасности, нажать кнопку Добавить и заполнить следующие поля:
Далее необходимо задать параметры первой и второй фаз согласования. Во время первой фазы происходит согласование защиты IKE. Аутентификация происходит на основе общего ключа в режиме, выбранном ранее. Необходимо указать следующие параметры:
Во второй фазе осуществляется выбор способа защиты IPsec подключения. Необходимо указать:
По умолчанию в UserGate создан профиль безопасности Site-to-Site VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, необходимо изменить общий ключ шифрования. Для упрощения настройки соединения с устройствами других вендоров по умолчанию созданы дополнительные профили безопасности (Cisco compatible VPN profile - для работы с устройствами Cisco и Fortinet compatible VPN profile - для работы с устройствами Fortinet). |
Шаг 7. Создать VPN-интерфейс. |
VPN-интерфейс - это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений. В разделе Сеть --> Интерфейсы нажмите кнопку Добавить и выберите Добавить VPN. Задайте следующие параметры:
По умолчанию в системе уже создан VPN-интерфейс tunnel2, который рекомендовано использовать для Site-to-Site VPN. |
Шаг 8. Создать сеть VPN. |
VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и - опционально - маршруты, которые будут переданы клиентам для применения, если клиенты поддерживают применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов. Для создания туннеля VPN перейдите в раздел VPN --> Сети VPN, нажмите кнопку Добавить и заполните следующие поля:
В UserGate создана сеть Site-to-Site VPN network с настройками по умолчанию. Для использования этой сети в ней необходимо добавить маршруты, передаваемые на сервер-клиент. Чтобы VPN-сервер узнал о подсетях клиента, необходимо прописать статический маршрут на сервере, указав в качестве адреса назначения адрес VPN-туннеля, используемый на сервере-клиенте. |
Шаг 9. Создать серверное правило VPN. |
Создать серверное правило VPN, используя в нем созданные ранее туннель VPN и профиль VPN. Для создания правила необходимо перейти в раздел VPN --> Серверные правила, нажать кнопку Добавить и заполнить следующие поля:
По умолчанию в UserGate создано серверное правило Site-to-Site VPN rule, в котором используются необходимые настройки для Site-to-Site VPN, а доступ к VPN разрешен членам локальной группе VPN servers. Важно! Для применения различных серверных правил к разным клиентам необходимо использовать параметры Исходная зона и Адрес источника. Параметр Пользователь не является условием выбора серверного правила, проверка пользователя происходит уже после установления соединения VPN. |
Для настройки сервера, выступающего в роли VPN-клиента, необходимо выполнить следующие шаги:
Наименование |
Описание |
---|---|
Шаг 1. Создать зону, в которую будут помещен интерфейс, используемый для подключения по VPN. |
В разделе Сеть --> Зоны создать зону, в которую будут помещены интерфейсы, используемые для подключения по VPN. Эту зону в дальнейшем можно будет использовать в политиках безопасности. Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site. |
Шаг 2. Создать разрешающее правило межсетевого экрана для трафика в созданную зону. |
Создать разрешающее правило межсетевого экрана в разделе Политики сети --> Межсетевой экран. По умолчанию в UserGate создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик между зонами VPN for Site-to-Site, Trusted и Untrusted. Чтобы трафик передавался на сервер из нужной зоны сервера-клиента через VPN-туннель, необходимо создать разрешающее правило межсетевого экрана, указав нужную зону источника и зону назначения VPN for Site-to-Site. |
Шаг 3. Создать профиль безопасности VPN. |
Профиль безопасности определяет такие настройки, как общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов. Для создания профиля необходимо перейти в раздел VPN --> Профили безопасности VPN, нажать кнопку Добавить и заполнить следующие поля:
Далее необходимо задать параметры первой и второй фаз согласования. Во время первой фазы происходит согласование защиты IKE. Аутентификация происходит на основе общего ключа в режиме, выбранном ранее. Необходимо указать следующие параметры:
Во второй фазе осуществляется выбор способа защиты IPsec подключения. Необходимо указать:
|
Шаг 4. Создать VPN-интерфейс. |
VPN-интерфейс - это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений. В разделе Сеть --> Интерфейсы нажмите кнопку Добавить и выберите Добавить VPN. Задайте следующие параметры:
По умолчанию в системе уже создан VPN-интерфейс tunnel3, который рекомендовано использовать для клиентского подключения Site-to-Site VPN. Важно! Если при настройке туннельного интерфейса на стороне сервера был выбран уже существующий интерфейс tunnel2 с настройками по умолчанию, то на клиенте при подключении к серверу возникнет конфликт IP-адресов, поскольку на клиенте также существует аналогичный интерфейс tunnel2 с тем же диапазоном адресов. Для корректной работы диапазоны адресов туннельных интерфейсов не должны пересекаться. Рекомендуется изменить диапазон адресов на клиенте на уникальный. |
Шаг 5. Создать клиентское правило VPN. |
Создать клиентское правило VPN, которое будет инициировать подключение к VPN-серверу. Для создания правила необходимо перейти в раздел VPN --> Клиентские правила, нажать кнопку Добавить и заполнить следующие поля:
|
После завершения настройки VPN-сервера и VPN-клиента клиент инициирует соединение на сервер, и в случае корректности настроек, поднимается VPN-туннель. Для отключения туннеля выключите клиентское (на клиенте) или серверное правило VPN (на сервере).