tocdepth

2

Настройка VPN-клиента UserGate (L2TP)

Настройка клиентской части UserGate реализует клиентское подключение к серверной ВМ UserGate.

Шаг 1. Создать VPN-зону

Необходимо создать новую зону с выделенной IP-адресацией. Она станет транзитной подсетью, через которую будет передаваться трафик к серверной ВМ UserGate на центральной площадке.

Для создания VPN-зоны:

  1. Перейдите в раздел Сеть → Зоны.

  2. Нажмите Добавить.

  3. На вкладке Общие введите название и описание новой зоны.

  4. На вкладке Контроль доступа выберите пункты ICMP и VPN.

  5. Нажмите Сохранить.

Шаг 2. Создать туннельный VPN-интерфейс

VPN-интерфейс — это виртуальный сетевой адаптер, который используется для подключения к VPN-серверу UserGate на центральной площадке. Его IP-адресация должна быть последовательно выбрана из того диапазона адресов, который уже был назначен на аналогичном VPN-интерфейсе на VPN-сервере UserGate. Номер интерфейса может быть любым.

Создание туннельного VPN-интерфейса:

  1. В разделе Сеть → Интерфейсы выберите зону, которая имеет выход в интернет, чтобы разрешить работу VPN-соединений.

  2. Нажмите Редактировать и во всплывающем окне Свойства сетевой зоны на вкладке Контроль доступа включите опцию VPN и сохраните настройки.

  3. В разделе Сеть → Интерфейсы нажмите Добавить и выберите Добавить VPN.

  4. На вкладке Общие окна Настройка VPN адаптера активируйте параметр Включено.

  5. В разделе Название введите номер интерфейса, начания с 4. Это локальный идентификатор VPN-интерфейса “tunnel4”.

  6. В разделе Зона выберите VPN-зону, которая была создана на Шаге 1.

  7. На вкладке Сеть установите режим адресации «Статический» для VPN-интерфейса.

  8. В разделе IP интерфейс нажмите Добавить и введите IP-адрес из диапазона, которые был назначен на VPN-сервере UserGate.

  9. Дважды нажмите Сохранить.

Шаг 3. Создать разрешающее правило межсетевого экрана для VPN-трафика

Для передачи VPN-трафика необходимо создать отдельное правило, в котором VPN-зона должна фигурировать в качестве источника трафика, а зона с выходом в интернет и внутренние зоны, к которым необходим доступ через VPN-соединение, — в качестве назначения.

Для создания разрешающего правила для VPN-трафика:

  1. В разделе Политики сети → Межсетевой экран нажмите Добавить.

  2. Задайте название и описание правила. Для пункта Действие установите значение Разрешить.

  3. На вкладках Источник и Назначение укажите созданную VPN-зону и внутренние зоны, к которым необходимо обеспечить доступ из удаленных площадок.

  4. Нажмите Сохранить.

Шаг 4. Создать профиль безопасности VPN

  1. Перейдите в раздел VPN → Профили безопасности VPN.

  2. Нажмите Добавить для создания нового профиля безопасности.

  3. На вкладке Общие введите название и описание профиля. Укажите параметры работы IKE в соответствующих строках.

  4. В разделе Общий ключ введите ключ шифрования, который должен совпадать у всех участников VPN-сети. Ключ шифрования должен состоять из сложных комбинаций букв, цифр и символов и иметь длину не менее 8 символов.

  5. На вкладке Фаза 1 при необходимости укажите время жизни ключа шифрования (параметр Время жизни ключа), интервал определения недоступных участников VPN-сети (параметр Интервал Dead Peer detection) и количество неудачных попыток подключения (параметр Неудачные попытки), при достижении которого UserGate выдаст сообщение об ошибке подключения.

  6. В разделе Diffie-Hellmann группы укажите те группы, которые поддерживаются на стороне клиентов VPN-подключений. Рекомендуемые группы: 2, 5, 14, 15, 16.

  7. В разделе Безопасность удалите существующие записи. Выберите алгоритм авторизации SHA256 и шифрования не ниже AES128. Если параметров не видно в интерфейсе, потяните мышью нижнюю синюю рамку окна настроек.

  8. На вкладке Фаза 2 при необходимости укажите время жизни ключа шифрования (параметр Время жизни ключа) и максимальный объем данных, которые можно зашифровать одним ключом (параметр Максимальный объем данных, шифруемых одним ключом). Смена ключа произойдет автоматически при достижении заданного объема переданного трафика.

  9. В разделе Безопасность выберите алгоритм авторизации SHA256 и шифрования не ниже AES128.

  10. Дважды нажмите Сохранить.

Шаг 5. Создать клиентское правило VPN

Клиентское правило VPN предназначено для установки подключения к cерверной ВМ UserGate.

Создание клиентского правила VPN:

  1. Перейдите в раздел VPN → Клиентские правила. Нажмите Добавить.

  2. В появившемся окне Свойства введите название и описание клиентского правила VPN.

  3. На вкладке Общие в полях Профиль безопасности VPN и Интерфейс выберите настройки, созданные на предыдущих шагах.

  4. В поле Адрес сервера введите внешний IP-адрес VPN-сервера UserGate.

  5. В поле Протокол VPN укажите L2TP, если сервером является ВМ UserGate. Для другого сетевого оборудования выберите IPSEC туннель.

  6. В разделе Аутентификация введите имя пользователя и пароль, указанные на стороне VPN-сервера и соответствующие данной клиентской ВМ UserGate.

  7. Дважды нажмите Сохранить.

Запустили Evolution free tier
для Dev & Test
Получить