12.2. Настройка серверных правил

UserGate позволяет создавать VPN-подключения двух типов:

  • Remote access VPN - режим подключения, обеспечивающий доступ в сеть предприятия удалённым пользователям. В этом случае UserGate выступает в качестве сервера, а пользователи других устройств - клиентов VPN.

  • Site-to-Site VPN - VPN для защищённого объединения офисов в одну общую сеть. В этом случае один UserGate выступает в качестве сервера, а другой - VPN-клиента.

    Рассмотрим настройку серверных правил при создании на UserGate одновременно двух VPN-подключений: Remote access VPN и Site-to-Site VPN. При настройке Site-to-Site VPN настраиваемый Usergate выступает в качестве сервера. С настройкой VPN-подключений более подробно можно ознакомиться в UserGate 6. Руководство администратора.

Примечание

Если при настройке в свойствах серверных правил была указана одинаковая зона, то при попытке подключения на разные VPN-сервера будет срабатывать только первое (верхнее) правило, даже если в правилах были указаны разные пользователи. Такое происходит по причине того, что UserGate изначально не знает, какое правило необходимо применить для обработки запроса на подключение, потому что пользователя узнаёт в процессе установки соединения на этапе авторизации.

В таком случае нужно уточнить серверные правила. Уточнение возможно сделать по адресу/зоне источника или по адресу назначения.

По адресу источника. Обычно Site-to-Site VPN настраивается между удалёнными офисами, роутеры которых имеют белые статические IP-адреса. Поэтому в серверном правиле для Site-to-Site VPN-подключения во вкладке Источник необходимо добавить IP-адрес стороны, с которой происходит подключение.

Для уточнения списка IP-адресов источника необходимо:

  1. В разделе Библиотеки --> IP-адреса создать группу.

image218

  1. В созданную группу добавить нужные IP-адреса.

image219

Создать список IP-адресов источников также можно при настройке серверных правил во вкладке Источник с использованием кнопки Создать и добавить новый объект.

image220

Т.к. правила выполняются по очереди сверху вниз, то данное правило необходимо поместить выше правил, в которых в качестве источника указана только зона Untrusted. Благодаря такому уточнению UserGate поймет, что VPN-соединения из зоны Untrusted от указанных IP-адресов должно происходить по правилу Site-to-Site VPN, а все другие соединения, например подключения удалённых сотрудников, будут обрабатываться следующим правилом.

Можно сделать и наоборот: указать адреса, с которых будут происходить подключения удалённых пользователей (Remote Access VPN), если они известны.

По зоне источника. Если для выхода во внешнюю сеть используются несколько интерфейсов, то в свойствах интерфейсов в разделе Сеть --> Интерфейсы во вкладке Общие им необходимо назначить разные зоны.

Далее в свойствах серверных правил во вкладке Источник, необходимо выбрать зону, из которой будет происходить подключение.

image221

По адресу назначения. Если на внешнем интерфейсе настроены 2 и более IP-адресов, то возможно уточнение серверных правил по адресу назначения (вкладка Назначение) - указывается один из IP-адресов интерфейса, по которому должно происходить соединение.

image222

Данное правило необходимо поместить наверх списка правил.