UserGate позволяет создавать VPN-подключения двух типов:
-
Remote access VPN - режим подключения, обеспечивающий доступ в сеть предприятия удалённым пользователям. В этом случае UserGate выступает в качестве сервера, а пользователи других устройств - клиентов VPN.
-
Site-to-Site VPN - VPN для защищённого объединения офисов в одну общую сеть. В этом случае один UserGate выступает в качестве сервера, а другой - VPN-клиента.
Рассмотрим настройку серверных правил при создании на UserGate одновременно двух VPN-подключений: Remote access VPN и Site-to-Site VPN. При настройке Site-to-Site VPN настраиваемый Usergate выступает в качестве сервера. С настройкой VPN-подключений более подробно можно ознакомиться в UserGate 6. Руководство администратора.
Примечание
Если при настройке в свойствах серверных правил была указана одинаковая зона, то при попытке подключения на разные VPN-сервера будет срабатывать только первое (верхнее) правило, даже если в правилах были указаны разные пользователи. Такое происходит по причине того, что UserGate изначально не знает, какое правило необходимо применить для обработки запроса на подключение, потому что пользователя узнаёт в процессе установки соединения на этапе авторизации.
В таком случае нужно уточнить серверные правила. Уточнение возможно сделать по адресу/зоне источника или по адресу назначения.
По адресу источника. Обычно Site-to-Site VPN настраивается между удалёнными офисами, роутеры которых имеют белые статические IP-адреса. Поэтому в серверном правиле для Site-to-Site VPN-подключения во вкладке Источник необходимо добавить IP-адрес стороны, с которой происходит подключение.
Для уточнения списка IP-адресов источника необходимо:
-
В разделе Библиотеки --> IP-адреса создать группу.
-
В созданную группу добавить нужные IP-адреса.
Создать список IP-адресов источников также можно при настройке серверных правил во вкладке Источник с использованием кнопки Создать и добавить новый объект.
Т.к. правила выполняются по очереди сверху вниз, то данное правило необходимо поместить выше правил, в которых в качестве источника указана только зона Untrusted. Благодаря такому уточнению UserGate поймет, что VPN-соединения из зоны Untrusted от указанных IP-адресов должно происходить по правилу Site-to-Site VPN, а все другие соединения, например подключения удалённых сотрудников, будут обрабатываться следующим правилом.
Можно сделать и наоборот: указать адреса, с которых будут происходить подключения удалённых пользователей (Remote Access VPN), если они известны.
По зоне источника. Если для выхода во внешнюю сеть используются несколько интерфейсов, то в свойствах интерфейсов в разделе Сеть --> Интерфейсы во вкладке Общие им необходимо назначить разные зоны.
Далее в свойствах серверных правил во вкладке Источник, необходимо выбрать зону, из которой будет происходить подключение.
По адресу назначения. Если на внешнем интерфейсе настроены 2 и более IP-адресов, то возможно уточнение серверных правил по адресу назначения (вкладка Назначение) - указывается один из IP-адресов интерфейса, по которому должно происходить соединение.
Данное правило необходимо поместить наверх списка правил.