Перейти к содержимому

Vpn для офиса как настроить

  • автор:

Vpn для офиса как настроить

VPN соединение с сервером удаленного доступа (RRAS) по протоколу L2TP/IPSEC

VPN соединение с сервером удаленного доступа(RRAS) по протоколу L2TP/IPSEC

Настройка VPN для безопасного подключения клиента к сети офиса.

Устанавливаем Windows Server 20xx и поднимаем на нём Сервер удалённого доступа / VPN (Маршрутизация и удалённый доступ). Как это делается можно посмотреть тут http://support.microsoft.com/kb/323441 или воспользоваться ссылками, приведёнными в «ЖТЯИ.00074-01 90 02. Руководство администратора безопасности» от КриптоПро IPsec.

Сервер:

На сервер устанавливаем КриптоПро CSP 3.6 R3 и КриптоПро IPsec. Перезагружаем машину по потребности.

Выпуск сертификатов в КриптоПро УЦ:

Для выпуска сертификатов IPsec необходимо произвести настройку КриптоПро ЦР и

КриптоПро ЦС (документация на КриптоПро УЦ доступна по ссылке:

• создать шаблон сертификата согласно «КриптоПро УЦ ЦР Руководство по эксплуата-

ции» (ЖТЯИ.00067 01 90 05) с OID «IKE-посредник IP-безопасности»

• добавить в Политики ЦР разрешение на обработку запроса и отзыв сертификата, со-

держащего OID «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2), согласно

«КриптоПро УЦ ЦР Руководство по эксплуатации» (ЖТЯИ.00067 01 90 05) глава 4.2

«Политики обработки запросов»;

• добавить в Модуль политики КриптоПро ЦС Использование ключа «IKE-посредник

IP-безопасности» (1.3.6.1.5.5.8.2.2) согласно «КриптоПро УЦ ЦС Руководство по

эксплуатации Windows 2003/2008» (ЖТЯИ.00067 01 90 03/ЖТЯИ.00067 01 90 04)

глава 3.1 «Настройка областей использования ключа, политик выдачи и политик

применения в сертификатах открытого ключа»;

• добавить в Модуль политики КриптоПро ЦС Расширения X.509 «Дополнительное

имя субъекта» (2.5.29.17).

Сертификаты IPsec (аутентификация компьютера в IKE) должны удовлетворять следующим требованиям:

• находиться в личном хранилище компьютера с привязкой к закрытому ключу;

• содержать назначение «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2)

• содержать назначение ключа («Key Usage» OID 2.5.29.15) «Цифровая подпись»

• содержать открытый ключ ГОСТ Р 34.10-2001, для которого имеется соответствующий контейнер закрытого ключа компьютера с кэшированным паролем или без пароля

• содержать «Дополнительное имя субъекта» (2.5.29.17) -> DNS со значениемFQDN (Fully Qualified Domain Name) компьютера.

В сертификате должен быть корректный адрес, для получения CRL (доступный через интернет):

Создаём на сервере «пользователя», например IPSEC, с паролем (без пароля), и в свойствах учётной записи проставим ему «Права доступ к сети» — «Разрешить доступ».

Настройка политики IP-безопасности на «Локальном компьютере»:

Настройка правил фильтрации:

Тип подключения — все сетевые подключения.

На вкладке «Методы проверки подлинности» добавляем Корневой сертификат.

Клиентская машина:

Настройка VPN подключения на Windows XР.

Создание подключения к VPN проводим согласно инструкции Microsoft «Настройка подключения к виртуальной частной сети (VPN) в Windows XP»


В Лог cp_ipsec_info можно удостовериться в том, что установленное соединение использует ГОСТ шифрование.

Как настроить удаленный доступ к офисной сети, используя маршрутизаторы TP-Link с поддержкой VPN

В связи с пандемией коронавируса COVID-2019 у многих работодателей возникла задача перевода своих сотрудников на удаленную работу из офиса.

Для решения этой задачи существует технология VPN.

Наиболее распространенная схема использования VPN для защищенного удаленного доступа к офисной сети является топология Client LAN через L2TP или PPTP туннель.

Применительно к этой схеме на офисном маршрутизаторе настраивается L2TP/PPTP-сервер, а на персональном компьютере настраивается L2TP/PPTP-клиент.

После поднятия VPN-туннеля, персональный компьютер получает от офисного маршрутизатора туннельный IP-адрес, через который он получает доступ ко всем ресурсам локальной офисной сети, начиная с серверов, заканчивая принтерами. Для удаленного пользователя подобный доступ к офисной локальной сети практически ничем не отличается от того, если бы он находился непосредственно в офисе.

Список маршрутизаторов TP-Link с поддержкой VPN

Как настроить VPN на домашних и офисных устройствах

Но что делать, если именно на этом ресурсе размещена нужная вам информация? Рассказываем, как настроить VPN дома и в офисе на различных устройствах, чтобы получить доступ к заблокированным сайтам.

VPN – это технология, которая обеспечивает одно или несколько сетевых соединений поверх первого соединения, таким образом скрывая оригинальный источник сигнала. Например, вы находитесь в Украине, а ваш сигнал идет из Германии. Эта технология используется теми, кто хочет утаить реальное местоположение своего устройства, с которого совершается выход в Интернет, или же выходить в Интернет по защищенному каналу, обезопасив себя от хищения данных. Настройка VPN для компьютера или смартфона не очень сложна, но требует совершения ряда действий, а также некоторых компьютерных знаний.

Как настроить VPN на Windows 10

Для использования VPN-соединения на Windows 10 нужно сначала настроить и сконфигурировать его как отдельное сетевое подключение. Но тут все просто:

  • нажмите комбинацию клавиш [Win]+ [S] и найдите через поиск VPN;
  • «Изменить виртуальные частные сети (VPN);
  • «Добавить VPN-соединение»;
  • введите данные VPN-соединения: в графе «Поставщик услуг VPN» укажите «Windows (встроенные)», и придумайте название подключения;
  • в графе «Имя сервера» укажите данные подключения вашего провайдера или сети, которые можно узнать, зарегистрировавшись на сайте выбранного поставщика VPN;
  • в разделе «Имя пользователя» и «Пароль» введите свои регистрационные данные;
  • нажмите «Сохранить».

Как настроить VPN на Windows 7

Подключение VPN на компьютер с операционной системой Windows 7 несколько отличается. Порядок действий следующий:

  • откройте панель управления;
  • выберите «Сеть и Интернет», затем «Центр управления сетями и общим доступом»;
  • нажмите «Настройка нового подключения или сети»;
  • нажмите «Подключение к рабочему месту»;
  • при наличии существующих подключений VPN вы увидите ниже окно, тогда вам нужно выбрать пункт «Нет, создать новое подключение»;
  • далее нажмите «Использовать мое подключение к Интернету»;
  • укажите предоставленный сисадмином компании адрес сервера в поле «Адрес в Интернете»;
  • придумайте название подключения и впишите его в «Имя объекта»;
  • укажите имя и пароль пользователя;
  • нажмите «Подключить».

На этом настройка завершена, и в дальнейшем вы сможете подключаться к VPN, выбирая нужное подключение в правом нижнем углу экрана.

Как настроить VPN на Android

На смартфоне с операционной системой Android подключить VPN сложнее, чем на ПК или ноутбуке. Но если вы будете следовать приложенной ниже инструкции, то справитесь без проблем.

Порядок действий для настройки соединения PPTP и L2TP таков:

  • зайдите в настройки телефона;
  • зайдите в «Беспроводные сети»;
  • откройте «Еще»;
  • выберите «Виртуальная сеть»;
  • нажмите «Добавить сеть»;
  • определите подключение – PPTP или L2TP.;
  • если хотите подключить PPTP, в открывшемся меню укажите название сети, тип подключения (PPTP) и адрес сервера (IP-адрес или доменное имя MyQnapCloud);
  • если хотите подключить L2TP ,помимо названия сети, типа подключения (L2TP/ IPSec PSK) и адреса сервера (указанный выше), введите также установленный на сервере общий ключ IPSec;
  • запустите соединение, введите учетные данные и нажмите «Подключиться».

Также приводим инструкцию по подключению к OpenVPN-серверу.

На смартфонах с ОС Android нет приложения для подключения к OpenVPN-серверу по умолчанию, поэтому его нужно сначала скачать из Google Play Market. Приложение называется OpenVPN for Android.

После установки приложения на телефон запустите его и нажмите на «Импорт» в верхнем правом углу (иконка с открытой папкой), после чего выберите ранее скачанный файл конфигурации VPN с расширением «OVPN». Сохраните сертификат, нажав на кнопку в виде дискеты в правом нижнем углу экрана. Запустите подключение, укажите свой логин и пароль пользователя, зарегистрированного на сервере поставщика услуги, и нажмите на «ОК». Если все правильно, вы увидите на экране лог подключения к серверу, а в панели уведомлений отобразится ярлык подключения, которым можно воспользоваться для просмотра сведений о подключении.

Как настроить VPN на iPhone

На «яблочных» телефонах и iPad можно подключиться к серверу ретрансляции VPN Gate с помощью встроенного клиента.

Сначала создаем конфигурацию:

  • выберите на главном экране «Настройки»;
  • зайдите в меню «Основные» и выберите VPN (или сразу выберите опцию VPN);
  • нажмите «Добавить конфигурацию VPN»;
  • в настройках выберите тип подключения L2TP, и в поле описания добавьте название соединения;
  • введите либо имя узла, либо IP-адреса сервера из предложенных открытых серверов VPN Gate на сайте: http://www.vpngate.net/en/;
  • проверьте, чтобы в столбце L2TP/IPsec Windows, Mac, iPhone, Android No client required стояла галочка, подтверждающая поддержку настраиваемого протокола;
  • скопируйте имя узла DDNS или или IP-адрес сервера и введите его в поле «Сервер» на экране конфигурации;
  • Введите vpn в поля «Учетная запись», «Пароль» и «Общий ключ», нажмите «Готово».

Теперь вы можете в любое время запустить приложение, выбрав в меню настроек VPN необходимую конфигурацию и установив статус «Подключено».

Как настроить VPN на роутере Mikrotik

Ниже приводим инструкцию, которая позволяет легко и быстро подключить VPN через роутер Mikrotik даже тем, кто с компьютером «на Вы»:

  • в настройках роутера нажмите Quick Set и в правом нижнем углу включите VPN;
  • введите придуманный вами надежный пароль.

В окне авторизации вы увидите адрес ********.sn.mynetname.net, где цифры – это серийный номер роутера. Это и есть адрес вашей домашней сети, который позволяет настроить VPN-доступ к домашней сети. А далее подключаем VPN с помощью встроенного клиента Windows, как мы это описали выше.

Как настроить VPN на роутере TP Link

Сначала включаем на роутере VPN-сервер и настраиваем PPTP-соединение. Для этого:

  • войдите в веб-интерфейс роутера;
  • зайдите в «Дополнительные настройки», потом в «VPN-сервер», далее – «PPTP VPN» и нажмите кнопку «Запустить VPN-сервер»;
  • введите до 10 адресов, которые будут подключаться к серверу, в поле «IP-адрес клиента»;
  • в «Дополнительных настройках» укажите необходимые разрешения для PPTP-соединения;
  • нажмите «Сохранить».

Теперь вы можете создать до 16 учетных записей. Для этого нужно нажать «Добавить», ввести имя пользователя и пароль, и нажать «ОК».

Следующий шаг – настройка PPTP-соединения на удаленном устройстве через «Панель управления» так, как мы описывали ранее – и ваше VPN-соединение готово к использованию.

Теперь вы знаете, как подключить VPN как на рабочем, так и на домашнем компьютере, на смартфоне или айпад. А если у вас что-то не получается, обращайтесь к Ланет ХЕЛП, мы оперативно и профессионально решим вашу проблему.

VPN для защищенного соединения офисов (Site-to-Site VPN)

[u]text[/u]Подчеркнутый текст.

[i]text[/i]Курсивный текст.

[s]text[/s]Зачеркнутый текст.

[color=green]text[/color] — Цветной текст.

[url=kbpublisher.com]text[/url] — text

[quote]text[/quote] — Цитируемый текст

[h1]text[/h1] — Заголовок.

[code]text[/code] — Код text

[list]
[*] пункт1
[*] пункт2
[/list]

  1. пункт 1
  2. пункт 2

[ulist]
[*] пункт1
[*] пункт2
[/ulist]

  • пункт 1
  • пункт 2

Documentation:
Version: 5.x, 6.1.9, 7.0.1

Хотя настройка UserGate для выполнения роли VPN-сервера близка к настройке сервера для удаленного доступа, мы рекомендуем произвести все настройки отдельно, поскольку часть настроек может отличаться.

Настройка сервера, выполняющего роль VPN-сервера для объединения офисов:

Шаг 1. Создать локального пользователя для авторизации сервера, выступающего в роли VPN-клиента.

В разделе Пользователи и устройства ➜ Пользователи создать пользователей для каждого из удаленных UserGate-серверов, выступающих в роли VPN-клиентов, задать пароли. Рекомендуется поместить всех созданных пользователей в группу, которой будет дан доступ для подключения по VPN. По умолчанию для этой цели в UserGate создана группа VPN servers.

Шаг 2. Разрешить сервис VPN на зоне, к которой будут подключаться VPN-клиенты.

В разделе Сеть ➜ Зоны отредактировать параметры контроля доступа для той зоны, к которой будут подключаться VPN-клиенты, разрешить сервис VPN. Как правило, это зона Untrusted.

Шаг 3. Создать зону, в которую будут помещены подключаемые по VPN серверы.

В разделе Сеть ➜ Зоны создать зону, в которую будут помещены подключаемые по VPN серверы. Эту зону в дальнейшем можно будет использовать в политиках безопасности.

Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site.

Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны.

В разделе Политики сети ➜ Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны.

По умолчанию в UserGate создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Site-to-Site в Trusted и Untrusted зоны. Правило выключено по умолчанию.

Чтобы трафик передавался клиенту из нужной зоны сервера через VPN-туннель, необходимо создать разрешающее правило межсетевого экрана, указав нужную зону источника и зону назначения VPN for Site-to-Site.

Шаг 5. Создать профиль авторизации.

В разделе Пользователи и устройства ➜ Профили авторизации создать профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей с целью получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP.

Подробно о профилях авторизации смотрите в разделе данного руководства Профили авторизации.

Шаг 6. Создать профиль безопасности VPN.

Профиль безопасности определяет такие настройки, как общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов.

Для создания профиля безопасности необходимо перейти в раздел VPN ➜ Профили безопасности, нажать кнопку Добавить и заполнить следующие поля:

  • Название — название профиля безопасности.
  • Описание — описание профиля.
  • Версия протокола IKE (Internet Key Exchange). Протокол IKE используется для создания защищённого канала связи между двумя сетями. В UserGate используется IKEv1.
  • Режим IKE: Основной или Агрессивный. Разница между режимами: в агрессивном режиме используется меньшее количество пакетов, что позволяет достичь более быстрого установления соединения. Агрессивный режим не передает некоторые параметры согласования, что требует предварительной идентичной настройки их на точках подключения.
    • Основной режим. В основном режиме происходит обмен шестью сообщениями. Во время первого обмена (сообщения 1 и 2) происходит согласование алгоритмов шифрования и аутентификации. Второй обмен (сообщения 3 и 4) предназначен для обмена ключами Диффи-Хеллмана (DH). После второго обмена служба IKE на каждом из устройств создаёт основной ключ, который будет использоваться для защиты проверки подлинности. Третий обмен (сообщения 5 и 6) предусматривает аутентификацию инициатора соединения и получателя (проверка подлинности); информация защищена алгоритмом шифрования, установленным ранее.
    • Агрессивный режим. В агрессивном режиме происходит 2 обмена, всего 3 сообщения. В первом сообщении инициатор передаёт информацию, соответствующую сообщениям 1 и 3 основного режима, т.е. информацию об алгоритмах шифрования и аутентификации и ключ DH. Второе сообщение предназначено для передачи получателем информации, соответствующей сообщениям 2 и 4 основного режима, а также аутентификации получателя. Третье сообщение аутентифицирует инициатора и подтверждает обмен.

    Далее необходимо задать параметры первой и второй фаз согласования.

    Во время первой фазы происходит согласование защиты IKE. Аутентификация происходит на основе общего ключа в режиме, выбранном ранее. Необходимо указать следующие параметры:

    • Время жизни ключа. По истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.
    • Интервал проверки dead peer detection — для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Минимальный интервал: 10 секунд; значение 0 отключает проверку.
    • Неудачных попыток — максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным.
    • Diffie-Hellman группы: выбор группы Диффи-Хеллмана, которая будет использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.
    • Алгоритмы авторизации и шифрования. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка перетащите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже.

    Во второй фазе осуществляется выбор способа защиты IPsec подключения. Необходимо указать:

    • Время жизни ключа. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.
    • Максимальный размер данных, шифруемых одним ключом. Время жизни ключа может быть задано в байтах. Если заданы оба значения (Время жизни ключа и Максимальный размер данных, шифруемых одним ключом), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии.
    • Алгоритмы авторизации и шифрования. Алгоритмы используются в порядке, котором они отображены. Для изменения порядка перетащите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже.

    По умолчанию в UserGate создан профиль безопасности Site-to-Site VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, необходимо изменить общий ключ шифрования.

    Для упрощения настройки соединения с устройствами других вендоров по умолчанию созданы дополнительные профили безопасности (Cisco compatible VPN profile — для работы с устройствами Cisco и Fortinet compatible VPN profile — для работы с устройствами Fortinet).

    Шаг 7. Создать VPN-интерфейс .

    VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

    Внимание! Редактирование кластерного интерфейса возможно только для узла кластера cluster(даже если кластер не собран и узел всего один).

    В разделе Сеть ➜ Интерфейсы нажмите кнопку Добавить и выберите Добавить VPN. Задайте следующие параметры:

    • Название — название интерфейса, должно быть в виде tunnelN, где N — это порядковый номер VPN-интерфейса.
    • Описание — описание интерфейса.
    • Зона — зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к серверу UserGate, будут также помещены в эту зону. Укажите зону, созданную на шаге 3.
    • Профиль Netflow — профиль Netflow, используемый для данного интерфейса. Не обязательный параметр.
    • Режим — тип присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес , полученный по DHCP . Если интерфейс предполагается использовать для приема VPN-подключений (Site-2-Site VPN или Remote access VPN, то необходимо использовать статический IP-адрес .
    • MTU — размер MTU для выбранного интерфейса.

    По умолчанию в системе уже создан VPN-интерфейс tunnel2, который рекомендовано использовать для Site-to-Site VPN.

    Шаг 8. Создать сеть VPN.

    VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и — опционально — маршруты, которые будут переданы клиентам для применения, если клиенты поддерживают применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов.

    Для создания туннеля VPN перейдите в раздел VPN ➜ Сети VPN, нажмите кнопку Добавить и заполните следующие поля:

    • Название — название сети.
    • Описание — описание сети.
    • Диапазон IP-адресов, которые будут использованы клиентами и сервером. Исключите из диапазона адреса, которые назначены VPN-интерфейсу, используемому совместно с данной сетью. Не указывайте здесь адреса сети и широковещательный адрес.
    • Укажите DNS-серверы, которые будут переданы клиенту, или отметьте чекбокс Использовать системные DNS , в этом случае клиенту будут назначены DNS-серверы, которые использует UserGate. Важно! Можно указать не более двух DNS-серверов.
    • Укажите маршруты, передаваемые клиенту в виде бесклассовой адресации (CIDR).

    В UserGate создана сеть Site-to-Site VPN network с настройками по умолчанию. Для использования этой сети в ней необходимо добавить маршруты, передаваемые на сервер-клиент.

    Чтобы VPN-сервер узнал о подсетях клиента, необходимо прописать статический маршрут на сервере, указав в качестве адреса назначения адрес VPN-туннеля, используемый на сервере-клиенте.

    Шаг 9. Создать серверное правило VPN.

    Создать серверное правило VPN, используя в нем созданные ранее сеть и профиль VPN. Для создания правила необходимо перейти в раздел VPN ➜ Серверные правила, нажать кнопку Добавить и заполнить следующие поля:

    • Название — название правила.
    • Описание — описание правила.
    • Профиль безопасности — профиль безопасности VPN, созданный ранее.
    • Сеть VPN — сеть VPN, созданная ранее.
    • Профиль авторизации — профиль авторизации, созданный ранее.
    • Источник — зоны и адреса, с которых разрешено принимать подключения к VPN. Как правило, клиенты находятся в сети интернет, следовательно, следует указать зону Untrusted. Важно! Обработка трафика происходит по следующей логике:
      • условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
      • условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.

      По умолчанию в UserGate создано серверное правило Site-to-Site VPN rule, в котором используются необходимые настройки для Site-to-Site VPN, а доступ к VPN разрешен членам локальной группе VPN servers.

      Важно! Для применения различных серверных правил к разным клиентам необходимо использовать параметры Исходная зона и Адрес источника. Параметр Пользователь не является условием выбора серверного правила, проверка пользователя происходит уже после установления соединения VPN.

      Для настройки сервера, выступающего в роли VPN-клиента, необходимо выполнить следующие шаги:

      Шаг 1. Создать зону, в которую будут помещен интерфейс, используемый для подключения по VPN.

      В разделе Сеть ➜ Зоны создать зону, в которую будут помещены интерфейсы, используемые для подключения по VPN. Эту зону в дальнейшем можно будет использовать в политиках безопасности.

      Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site.

      Шаг 2. Создать разрешающее правило межсетевого экрана для трафика в созданную зону.

      Создать разрешающее правило межсетевого экрана в разделе Политики сети ➜ Межсетевой экран.

      По умолчанию в UserGate создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик между зонами VPN for Site-to-Site, Trusted и Untrusted.

      Чтобы трафик передавался на сервер из нужной зоны сервера-клиента через VPN-туннель, необходимо создать разрешающее правило межсетевого экрана, указав нужную зону источника и зону назначения VPN for Site-to-Site.

      Шаг 3. Создать профиль безопасности VPN.

      Профиль безопасности определяет такие настройки, как общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов.

      Для создания профиля необходимо перейти в раздел VPN ➜ Профили безопасности VPN, нажать кнопку Добавить и заполнить следующие поля:

      • Название — название профиля безопасности.
      • Описание — описание профиля.
      • Версия протокола IKE (Internet Key Exchange). Протокол IKE используется для создания защищённого канала связи между двумя сетями. В UserGate используется IKEv1.
      • Режим IKE: Основной или Агрессивный. Разница между режимами: в агрессивном режиме используется меньшее количество пакетов, что позволяет достичь более быстрого установления соединения. Агрессивный режим не передает некоторые параметры согласования, что требует предварительной идентичной настройки их на точках подключения.
        • Основной режим. В основном режиме происходит обмен шестью сообщениями. Во время первого обмена (сообщения 1 и 2) происходит согласование алгоритмов шифрования и аутентификации. Второй обмен (сообщения 3 и 4) предназначен для обмена ключами Диффи-Хеллмана (DH). После второго обмена служба IKE на каждом из устройств создаёт основной ключ, который будет использоваться для защиты проверки подлинности. Третий обмен (сообщения 5 и 6) предусматривает аутентификацию инициатора соединения и получателя (проверка подлинности); информация защищена алгоритмом шифрования, установленным ранее.
        • Агрессивный режим. В агрессивном режиме происходит 2 обмена, всего 3 сообщения. В первом сообщении инициатор передаёт информацию, соответствующую сообщениям 1 и 3 основного режима, т.е. информацию об алгоритмах шифрования и аутентификации и ключ DH. Второе сообщение предназначено для передачи получателем информации, соответствующей сообщениям 2 и 4 основного режима, а также аутентификации получателя. Третье сообщение аутентифицирует инициатора и подтверждает обмен.

        Далее необходимо задать параметры первой и второй фаз согласования.

        Во время первой фазы происходит согласование защиты IKE. Аутентификация происходит на основе общего ключа в режиме, выбранном ранее. Необходимо указать следующие параметры:

        • Время жизни ключа. По истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.
        • Интервал проверки dead peer detection — для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Минимальный интервал: 10 секунд; значение 0 отключает проверку.
        • Неудачных попыток — максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным.
        • Diffie-Hellman группы: выбор группы Диффи-Хеллмана, которая будет использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.
        • Алгоритмы авторизации и шифрования. Алгоритмы используются в порядке, в котором они отображены. Для изменения порядка перетащите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже.

        Во второй фазе осуществляется выбор способа защиты IPsec подключения. Необходимо указать:

        • Время жизни ключа. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.
        • Максимальный размер данных, шифруемых одним ключом. Время жизни ключа может быть задано в байтах. Если заданы оба значения (Время жизни ключа и Максимальный размер данных, шифруемых одним ключом), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии.
        • Алгоритмы авторизации и шифрования. Алгоритмы используются в порядке, котором они отображены. Для изменения порядка перетащите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже.

        По умолчанию в UserGate создан профиль Client VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, то необходимо изменить общий ключ шифрования.

        Шаг 4. Создать VPN-интерфейс .

        VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

        В разделе Сеть ➜ Интерфейсы нажмите кнопку Добавить и выберите Добавить VPN. Задайте следующие параметры:

        • Название — название интерфейса, должно быть в виде tunnelN, где N — это порядковый номер VPN-интерфейса.
        • Описание — описание интерфейса.
        • Зона — зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к серверу UserGate, будут также помещены в эту зону. Укажите зону, созданную на шаге 1.
        • Профиль Netflow — профиль Netflow, используемый для данного интерфейса. Не обязательный параметр.
        • Режим — тип присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес , полученный по DHCP . Для использования интерфейса в качестве клиентского VPN, необходимо использовать режим получения адреса — Динамический.
        • MTU — размер MTU для выбранного интерфейса.

        По умолчанию в системе уже создан VPN-интерфейс tunnel3, который рекомендовано использовать для клиентского подключения Site-to-Site VPN.

        Важно! Если при настройке туннельного интерфейса на стороне сервера был выбран уже существующий интерфейс tunnel2 с настройками по умолчанию, то на клиенте при подключении к серверу возникнет конфликт IP-адресов, поскольку на клиенте также существует аналогичный интерфейс tunnel2 с тем же диапазоном адресов. Для корректной работы диапазоны адресов туннельных интерфейсов не должны пересекаться. Рекомендуется изменить диапазон адресов на клиенте на уникальный.

        Шаг 5. Создать клиентское правило VPN.

        Создать клиентское правило VPN, которое будет инициировать подключение к VPN-серверу. Для создания правила необходимо перейти в раздел VPN ➜ Клиентские правила, нажать кнопку Добавить и заполнить следующие поля:

        • Включено — включение/отключение данного правила.
        • Название — название правила.
        • Описание — описание правила.
        • Профиль безопасности VPN — созданный ранее профиль безопасности VPN.
        • Интерфейс — созданный ранее VPN-интерфейс .
        • Адрес сервера — IP-адрес VPN-сервера, куда подключается данный VPN-клиент. Как правило, это IP-адрес интерфейса в зоне Untrusted на сервере UserGate, выполняющего роль VPN-сервера.
        • Протокол VPN — Возможно выбрать вариант L2TP (для подключения к VPN-серверу UserGate) или IPSec туннель для подключения к VPN-серверу Cisco.
        • Подсети для Cisco VPN — IP адрес сети, которая будет доступна для клиентов со стороны UserGate (разрешенные подсети со стороны Cisco) и со стороны VPN-сервера Cisco (разрешенные подсети со стороны UserGate).
        • Имя пользователя и пароль (только для протокола L2TP) — имя и пароль пользователя, созданного на шаге 1 при подготовке VPN-сервера.

        После завершения настройки VPN-сервера и VPN-клиента клиент инициирует соединение на сервер, и в случае корректности настроек, поднимается VPN-туннель. Для отключения туннеля выключите клиентское (на клиенте) или серверное правило VPN (на сервере).

        Похожие публикации:
        1. Как открыть доступ к сд карте
        2. Как ускорить выборку данных mysql
        3. Приставка люмакс как подключиться к вай фай
        4. Что такое информационные системы и программирование

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *