Для подключения VPN-клиентов к корпоративной сети необходимо настроить UserGate для выполнения роли VPN-сервера. Для этого необходимо выполнить следующие шаги:
Наименование |
Описание |
Шаг 1. Разрешить сервис VPN на зоне, к которой будут подключаться VPN-клиенты |
В разделе Сеть-->Зоны отредактировать параметры контроля доступа для той зоны, к которой будут подключаться VPN-клиенты, разрешить сервис VPN. Как правило, это зона Untrusted. |
Шаг 2. Создать зону, в которую будут помещены подключаемые по VPN клиенты |
В разделе Сеть-->Зоны создать зону, в которую будут помещены подключаемые по VPN клиенты. Эту зону в дальнейшем можно использовать в политиках безопасности. Рекомендуется использовать уже существующую по умолчанию зону VPN for remote access. |
Шаг 3. Создать правило NAT для созданной зоны |
Клиенты подключаются к VPN с использованием Point-to-Point протокола. Чтобы трафик мог ходить из созданной на предыдущем шаге зоны, необходимо создать правило NAT из этой зоны во все необходимые зоны. Создайте соответствующее правило в разделе Политики сети-->NAT и маршрутизация. По умолчанию в UserGate создано правило NAT from VPN for remote access to Trusted and Untrusted, разрешающее наттирование из зоны VPN for remote access в зоны Trusted и Untrusted. |
Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны |
В разделе Политики сети-->Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны. По умолчанию в UserGate создано правило межсетевого экрана VPN for remote access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for remote access в зоны Trusted и Untrusted. |
Шаг 5. Создать профиль авторизации |
В разделе Пользователи и устройства-->Профили авторизации создать профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей для получения доступа к сети интернет. VPN поддерживает многофакторную авторизацию. Второй фактор авторизации может быть получен через одноразовые коды TOTP, sms или e-mail. Для ввода второго фактора авторизации пользователь при подключении к VPN серверу должен указать свой пароль в виде: пароль:одноразовый_код где пароль - это пароль пользователя Подробно о профилях авторизации смотрите в разделе данного руководства Пользователи и устройства. |
Шаг 6. Создать профиль безопасности VPN |
Профиль безопасности VPN определяет такие настройки, как общий ключ шифрования (Preshared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей и использовать их для построения соединений с разными типами клиентов. Для создания профиля необходимо перейти в раздел VPN-->Профили безопасности VPN, нажать кнопку Добавить и заполнить следующие поля: * Название - название профиля. * Описание - описание профиля. * Общий ключ - строка, которая должна совпадать на сервере и клиенте для успешного подключения. * Безопасность-->Методы шифрования - пары алгоритмов аутентификации и шифрования. Алгоритмы используются в порядке, в котором они изображены (сверху вниз). При установлении соединения используется первая пара, которую поддерживают сервер и клиент. Для совместимости со стандартными клиентами VPN рекомендуется оставить значения по умолчанию. По умолчанию в UserGate создан серверный профиль Remote access VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, то необходимо изменить общий ключ шифрования. |
Шаг 7. Создать VPN-интерфейс |
VPN-интерфейс -- это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений. В разделе Сеть-->Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры: * Название -- название интерфейса, должно быть в виде tunnelN, где N -- это порядковый номер VPN-интерфейса. * Описание -- описание интерфейса. * Зона -- зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к серверу UserGate будут так же помещены в эту зону. Укажите зону, созданную на шаге 2. * Профиль Netflow -- профиль Netflow, используемый для данного интерфейса. Не обязательный параметр. * Режим - тип присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Если интерфейс предполагается использовать для приема VPN-подключений (Site-2-Site VPN или Remote access VPN, то необходимо использовать статический IP-адрес. * MTU -- размер MTU для выбранного интерфейса. По умолчанию в системе уже создан VPN-интерфейс tunnel1, который рекомендовано использовать для Remote access VPN. |
Шаг 8. Создать сеть VPN |
VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и - опционально - маршруты, которые будут переданы клиентам для применения, если клиенты поддерживает применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов. Для создания туннеля VPN перейдите в раздел VPN-->Сети VPN, нажмите кнопку Добавить и заполните следующие поля: * Название - название сети. * Описание - описание сети. * Диапазон IP-адресов, которые будут использованы клиентами и сервером. Исключите из диапазона адреса, которые назначены VPN-интерфейсу, используемым совместно с данной сетью. Не указывайте здесь адреса сети и широковещательный адрес. * Укажите DNS-сервера, которые будут переданы клиенту, или поставьте галочку Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует UserGate. * Укажите маршруты, передаваемые клиенту в виде бесклассовой адресации (CIDR) В UserGate создана сеть Remote access VPN network с рекомендуемыми настройками. |
Шаг 9. Создать серверное правило VPN |
Создать серверное правило VPN, используя в нем созданные ранее сеть VPN, интерфейс VPN и профиль VPN. Для создания правила необходимо перейти в раздел VPN-->Серверные правила, нажать кнопку Добавить и заполнить следующие поля: * Вкл/Выкл - включает/отключает правило. * Название - название правила. * Описание - описание правила. * Профиль безопасности - профиль безопасности, созданный ранее. * Сеть VPN - сеть VPN, созданная ранее. * Профиль авторизации - профиль авторизации, созданный ранее. * URL инициализации TOTP - url, по которому пользователь может провести первоначальную инициализацию своего TOTP-устройства, в случае, если настроена многофакторная авторизация TOTP для авторизации VPN. * Интерфейс - интерфейс VPN, созданный ранее. * Источник - зоны и адреса, с которых разрешено принимать подключения к VPN. Как правило, клиенты находятся в сети интернет, следовательно, следует указать зону Untrusted. * Пользователи - группа пользователей или отдельные пользователи, которым разрешено подключаться по VPN. По умолчанию в UserGate создано серверное правило Remote access VPN rule, в котором используются необходимые настройки для Remote Access VPN, а доступ к VPN разрешен членам локальной группы VPN users. |
Шаг 10. Настроить VPN на клиентском компьютере |
Для настройки клиентского подключения к VPN на компьютере пользователя необходимо указать следующие параметры: * Используйте тип подключения VPN - L2TP over IPSec. * В качестве IP-адреса VPN-сервера укажите IP-адрес интерфейса зоны, указанной на шаге 1. * В качестве общего ключа (Preshared key, Shared secret) используйте общий ключ, указанный вами на шаге 6. * Укажите протокол PAP для авторизации пользователя. * В качестве имени пользователя укажите имя учетной записи пользователя в формате username@domain, например, testuser@testdomain.loc Важно! Операционные системы Microsoft Windows требуют изменения параметров реестра для корректной работы с VPN-сервером L2TP/IPSec. Обратитесь к статье Microsoft https://support.microsoft.com/en-us/help/926179/how-to-configure-an-l2tp-ipsec-server-behind-a-nat-t-device-in-windows за подробной инструкцией. |