VPN для защищенного соединения офисов (Site-to-Site VPN)

Наименование

Описание

Шаг 1. Создать локального пользователя для авторизации сервера, выступающего в роли VPN-клиента

В разделе Пользователи и устройства --> Пользователи создать пользователей для каждого из удаленных UserGate-серверов, выступающих в роли VPN-клиентов, задать пароли. Рекомендуется поместить всех созданных пользователей в группу, которой будет дан доступ для подключения по VPN. По умолчанию для этой цели в UserGate создана группа VPN servers.

Шаг 2. Разрешить сервис VPN на зоне, к которой будут подключаться VPN-клиенты

В разделе Сеть-->Зоны отредактировать параметры контроля доступа для той зоны, к которой будут подключаться VPN-клиенты, разрешить сервис VPN. Как правило, это зона Untrusted.

Шаг 3. Создать зону, в которую будут помещены подключаемые по VPN серверы

В разделе Сеть-->Зоны создать зону, в которую будут помещены подключаемые по VPN серверы. Эту зону в дальнейшем можно будет использовать в политиках безопасности.

Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site .

Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны

В разделе Политики сети-->Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны.

По умолчанию в UserGate создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Site-to-Site в Trusted и Untrusted зоны. Правило выключено по умолчанию.

Шаг 5. Создать профиль авторизации

В разделе Пользователи и устройства-->Профили авторизации создать профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей, для получения доступа к сети интернет. Подробно о профилях авторизации смотрите в разделе данного руководства Пользователи и устройства.

Шаг 6. Создать профиль безопасности VPN

Профиль безопасности определяет такие настройки, как общий ключ шифрования (Preshared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов.

Для создания профиля безопасности необходимо перейти в раздел VPN-->Профили безопасности, нажать кнопку Добавить и заполнить следующие поля:

* Название - название профиля.

* Описание - описание профиля.

* Общий ключ - строка, которая должна совпадать на сервере и клиенте для успешного подключения.

* Безопасность-->Методы шифрования - пары алгоритмов аутентификации и шифрования. Алгоритмы используются в порядке, в котором они изображены (сверху вниз). При установлении соединения используется первая пара, которую поддерживают сервер и клиент. Для совместимости со стандартными клиентами VPN рекомендуется оставить значения по умолчанию.

По умолчанию в UserGate создан профиль безопасности Site-to-Site VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, необходимо изменить общий ключ шифрования.

Шаг 7. Создать VPN-интерфейс

VPN-интерфейс -- это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

В разделе Сеть-->Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры:

* Название -- название интерфейса, должно быть в виде tunnelN, где N -- это порядковый номер VPN-интерфейса.

* Описание -- описание интерфейса.

* Зона -- зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к серверу UserGate будут так же помещены в эту зону. Укажите зону, созданную на шаге 3.

* Профиль Netflow -- профиль Netflow, используемый для данного интерфейса. Не обязательный параметр.

* Режим - тип присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Если интерфейс предполагается использовать для приема VPN-подключений (Site-2-Site VPN или Remote access VPN, то необходимо использовать статический IP-адрес.

* MTU -- размер MTU для выбранного интерфейса.

По умолчанию в системе уже создан VPN-интерфейс tunnel2, который рекомендовано использовать для Site-to-Site VPN.

Шаг 8. Создать Туннель VPN

VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и - опционально - маршруты, которые будут переданы клиентам для применения, если клиенты поддерживает применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов.

Для создания туннеля VPN перейдите в раздел VPN-->Сети VPN, нажмите кнопку Добавить и заполните следующие поля:

* Название - название сети.

* Описание - описание сети.

* Диапазон IP-адресов, которые будут использованы клиентами и сервером. Исключите из диапазона адреса, которые назначены VPN-интерфейсу, используемым совместно с данной сетью. Не указывайте здесь адреса сети и широковещательный адрес.

* Укажите DNS-сервера, которые будут переданы клиенту, или поставьте галочку Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует UserGate.

* Укажите маршруты, передаваемые клиенту в виде бесклассовой адресации (CIDR)

В UserGate создана сеть Site-to-Site VPN network с настройками по умолчанию. Для использования этой сети в ней необходимо добавить маршруты, передаваемые на сервер-клиент.

Шаг 9. Создать серверное правило VPN

Создать серверное правило VPN, используя в нем созданные ранее туннель VPN и профиль VPN. Для создания правила необходимо перейти в раздел VPN-->Серверные правила, нажать кнопку Добавить и заполнить следующие поля:

* Название - название правила.

* Описание - описание правила.

* Серверный профиль - серверный профиль, созданный ранее.

* Туннель VPN - туннель VPN, созданный ранее.

* Профиль авторизации - профиль авторизации, созданный ранее.

* Источник - зоны и адреса, с которых разрешено принимать подключения к VPN. Как правило, клиенты находятся в сети интернет, следовательно, следует указать зону Untrusted.

* Интерфейс - созданный ранее интерфейс VPN.

* Пользователи - группа учетных записей серверов или отдельные учетные записи серверов, которым разрешено подключаться по VPN.

По умолчанию в UserGate создано серверное правило Site-to-Site VPN rule, в котором используются необходимые настройки для Site-to-Site VPN, а доступ к VPN разрешен членам локальной группе VPN servers.

Наименование

Описание

Шаг 1. Создать зону, в которую будут помещен интерфейс, используемый для подключения по VPN

В разделе Сеть-->Зоны создать зону, в которую будут помещены интерфейсы, используемые для подключения по VPN. Эту зону в дальнейшем можно будет использовать в политиках безопасности.

Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site.

Шаг 2. Создать разрешающее правило межсетевого экрана для трафика в созданную зону

Создать разрешающее правило межсетевого экрана в разделе Политики сети-->Межсетевой экран.

По умолчанию в UserGate создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик между зонами VPN for Site-to-Site, Trusted и Untrusted.

Шаг 3. Создать VPN-интерфейс

VPN-интерфейс -- это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

В разделе Сеть-->Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры:

* Название -- название интерфейса, должно быть в виде tunnelN, где N -- это порядковый номер VPN-интерфейса.

* Описание -- описание интерфейса.

* Зона -- зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к серверу UserGate будут так же помещены в эту зону. Укажите зону, созданную на шаге 3.

* Профиль Netflow -- профиль Netflow, используемый для данного интерфейса. Не обязательный параметр.

* Режим - тип присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Для использования интерфейса в качестве клиентского VPN, необходимо использовать режим получения адреса -- Динамический.

* MTU -- размер MTU для выбранного интерфейса.

По умолчанию в системе уже создан VPN-интерфейс tunnel3, который рекомендовано использовать для клиентского подключения Site-to-Site VPN.

Шаг 4. Создать клиентское правило VPN

Создать клиентское правило VPN, которое будет инициировать подключение к VPN-серверу. Для создания правила необходимо перейти в раздел VPN-->Клиентские правила, нажать кнопку Добавить и заполнить следующие поля:

* Название - название правила.

* Описание - описание правила.

* Общий ключ - строка, которая должна совпадать со строкой общего ключа, указанной на сервере.

* Безопасность-->Методы шифрования - пары алгоритмов аутентификации и шифрования. Алгоритмы используются в порядке, в котором они изображены (сверху вниз). При установлении соединения используется первая пара, которую поддерживают сервер и клиент.

* Адрес сервера - IP-адрес VPN-сервера, куда подключается данный VPN-клиент. Как правило, это IP-адрес интерфейса в зоне Untrusted на сервере UserGate, выполняющего роль VPN-сервера.

* Интерфейс - созданный ранее VPN-интерфейс.

* Имя пользователя и пароль - имя и пароль пользователя, созданного на шаге 1 при подготовке VPN-сервера.