12.7. Настройка VPN для удалённого доступа клиентов (Remote access VPN) при использовании двух провайдеров

image305

Подробнее о настройке VPN читайте в UserGate 6. Руководство администратора.

Необходимо настроить UserGate для предоставления удалённого доступа клиентам из подсетей 172.30.160.0/30, подключённой к UserGate через port1 с адресом 172.30.160.2, и 172.30.160.4/30, подключённой к UserGate через port2 с адресом 172.30.160.6.

В разделе Сеть --> Шлюзы были добавлены шлюзы с IP-адресами 172.30.160.1 и 172.30.160.5. Шлюз с адресом 172.30.160.1 указан как шлюз по умолчанию.

image306

  1. В разделе Сеть --> Зоны создайте зоны, с которых будет разрешено подключение по VPN, например, ISP-1 - зона для провайдера 1; ISP-2 - зона для провайдера 2. Для обеих зон во вкладке Контроль доступа разрешите сервис VPN.

image307

  1. Перейдите в раздел Сеть --> Интерфейсы, выберите интерфейс port1 и назначьте ему соответствующую первому провайдеру зону, созданную на шаге 1 (в данном примере: зону ISP-1).

image308

Выберите интерфейс port2 и назначьте ему соответствующую второму провайдеру зону, созданную на шаге 1 (в данном примере: зону ISP-2).

image309

  1. Создайте VPN-интерфейс в разделе Сеть --> Интерфейсы. Был использован созданный по умолчанию интерфейс tunnel1, который рекомендуется использовать для Remote access VPN.

  2. Перейдите в раздел VPN --> Сети VPN и добавьте сеть VPN, указав необходимые параметры. Можно, как в данном примере, использовать сеть Remote access VPN network, созданную по умолчанию.

  3. Перейдите в раздел Пользователи --> Профили авторизации и создайте профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей для получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP.

  4. Создайте профиль безопасности в разделе VPN --> Профили безопасности VPN. По умолчанию в UserGate создан серверный профиль Remote access VPN profile, задающий необходимые настройки. Данный профиль был использован в данном примере.

При использовании данного профиля необходимо изменить общий ключ шифрования.

  1. Создайте серверное правило в разделе VPN --> Серверные правила. Можно, как в данном примере, использовать правило, созданное по умолчанию Remote access VPN rule. Во вкладке Общие укажите:

    • Отметьте чекбокс Включено.

    • Название правила.

    • Описание (опционально).

    • Профиль безопасности, созадыннй в пункте 6.

    • Сеть VPN, созданную в пункте 4.

    • Профиль авторизации, созданный в пункте 5.

    • Интерфейс, созданный в пункте 3.

image310

Во вкладке Источник укажите зоны или адреса, с которых разрешено подключение (в данном случае - это зоны ISP-1 и ISP-2).

image311

Во вкладке Пользователи укажите пользователей, которым разрешено подключение по VPN.

image312

Список пользователей, подключённых по VPN, доступен во вкладке Диагностика и мониторинг в разделе Мониторинг --> VPN.

image313

В соответствии с данными настройками, если, запрос на подключение будет приходить на UserGate (port1 или port2), то ответ будет отправлен через порт первого провайдера (port1), т.к. первый провайдер указан в качестве шлюза по умолчанию. В таком случае первый провайдер при наличии защиты от антиспуфинга может отбросить пакет, т.к. он ожидает ответ от 172.30.160.2, а получает от 172.30.160.6. Чтобы исключить возникновение такой ситуации, необходимо настроить правила типа Policy-based routing. Т.к. в данном примере один из шлюзов указан в качестве шлюза по умолчанию, то достаточно настроить одно правило PBR. Если шлюз по умолчанию не обозначен, то необходимо настроить соответствующее правило и для другого провайдера.

Настройте правило для провайдера 2. Для этого перейдите в раздел Политики сети --> NAT и маршрутизация и нажмите Добавить. Во вкладке Общие укажите:

  • Отметьте чекбокс Включено.

  • Название правила.

  • Описание (опционально).

  • Тип: Policy-based routing.

  • Шлюз: выберите шлюз провайдера 2 (в примере: ISP-2).

image314

Во вкладке Источник на панели Адрес источника необходимо добавить IP-адрес интерфейса, к которому подключён провайдер 2. IP-адрес интерфейса должен быть добавлен в список IP-адресов, который можно создать в разделе Библиотеки --> IP-адреса или при настройке правила (для этого нажмите Создать и добавить новый объект и укажите название списка и адрес).

image315

Проверка. Для проверки использовалась программа-анализатор Wireshark.

Обратный пакет клиент из подсети 192.168.0.0/24 получает от port1 (172.30.160.2).

image316

Клиент из подсети 192.168.1.0/24 получает обратный пакет от port2 с IP-адресом 172.30.160.6.

image317