Удаленные клиентские подключения L2TP

Удаленные клиентские подключения реализуют функцию VPN для конечных хостов удаленных и мобильных сотрудников. В качестве протокола подключения используется L2TP, который можно настроить штатными средствами операционной системы или при помощи сторонних VPN-клиентов. VPN-клиент UserGate не поставляется. Настройка VPN-сервера для подключения пользовательских хостов аналогична настройке VPN для передачи трафика между ВМ UserGate.

Шаг 1. Создать VPN-зону

Необходимо создать новую зону с выделенной IP-адресацией. Она станет подсетью, через которую будет передаваться зашифрованный трафик от ПК пользователя к серверной ВМ UserGate на центральной площадке.

Для создания VPN-зоны:

  1. Перейдите в раздел Сеть → Зоны.

  2. Нажмите Добавить.

  3. На вкладке Общие введите название и описание новой зоны.

  4. На вкладке Контроль доступа выберите пункты ICMP и VPN.

  5. Нажмите Сохранить.

Шаг 2. Создать туннельный VPN-интерфейс

VPN-интерфейс — это виртуальный сетевой адаптер, который используется для подключения к VPN-серверу UserGate на центральной площадке. Его IP-адресация назначается из отдельного блока адресов и не должна пересекаться с другими VPN-подсетями. Номер интерфейса может быть любым.

Создание туннельного VPN-интерфейса:

  1. В разделе Сеть → Интерфейсы нажмите Добавить и выберите Добавить VPN.

  2. На вкладке Общие окна Настройка VPN адаптера активируйте параметр Включено.

  3. В разделе Название введите номер интерфейса, начания с 4. Это локальный идентификатор VPN-интерфейса “tunnel4”.

  4. В разделе Зона выберите VPN-зону, которая была создана на Шаге 1.

  5. На вкладке Сеть установите режим адресации «Статический» для VPN-интерфейса.

  6. В разделе IP интерфейс нажмите Добавить и введите IP-адрес из диапазона, который был использован на серверной части для транзитной VPN-подсети.

  7. Дважды нажмите Сохранить.

Шаг 3. Создать правило NAT

Конечные хосты подключаются к VPN с использованием протокола Point-to-Point. Чтобы трафик можно быть передавать из VPN-зоны, необходимо создать правило NAT из этой зоны во все другие необходимые зоны.

Создание правила NAT:

  1. В разделе Политики сети → NAT и маршрутизация нажмите Добавить.

  2. В появившемся окне Свойства правила введите название и описание правила.

  3. В графе Тип выберите NAT.

  4. На вкладке Источник укажите VPN-зону, созданную на Шаге 1.

  5. На вкладке Назначение укажите сетевые зоны, доступ к которым нужен удаленным пользователям.

  6. Дважды нажмите Сохранить.

Шаг 4. Создать разрешающее правило межсетевого экрана для VPN-трафика

Для передачи VPN-трафика необходимо создать отдельное правило, в котором VPN-зона является исходной, а зоны, доступ к которым нужен удаленным пользователям, — зонами назначения.

Создание разрешающего правила для VPN-трафика:

  1. В разделе Политики сети → Межсетевой экран нажмите Добавить.

  2. Задайте название и описание правила. Для пункта Действие установите значение Разрешить.

  3. На вкладке Источник укажите VPN-зону.

  4. На вкладке Назначение укажите внутренние зоны, которые должны быть доступны через VPN-соединение.

  5. Нажмите Сохранить.

Шаг 5. Создать локальных VPN-пользователей и профиль авторизации

Для идентификации пользователей VPN-подключений и разграничения доступа к сети необходимо задать отдельные учетные записи и сформировать из них группу. Для каждого пользователя должна быть создана отдельная пара из имени пользователя и пароля. Профиль авторизации необходим для указания метода аутентификации пользователей в серверном VPN-правиле, которое будет создано позже. Следует учесть, что для авторизации VPN запрещено использовать методы прозрачной авторизации, например Kerberos, NTLM, SAML IDP.

Создание локального пользователя:

  1. В разделе Пользователи и устройства → Пользователи нажмите Добавить.

  2. На вкладке Общие активируйте опцию Включено и задайте имя пользователя (обычно используется название филиала организации) и пароль для аутентификации каждого клиентского VPN-соединения.

  3. Нажмите Сохранить.

После создания пользовательских учетных данных необходимо сформировать из них отдельную группу пользователей для PPTP VPN-подключений:

  1. В разделе Пользователи и устройства → Группы нажмите Добавить.

  2. На вкладке Свойства локальной группы введите название группы и ее описание.

  3. В разделе Пользователи нажмите Добавить и укажите все учетные записи, предназначенные для VPN-подключений.

  4. Нажмите Сохранить.

Для создания профиля авторизации:

  1. Перейдите в раздел Пользователи и устройства → Профили авторизации.

  2. Нажмите Добавить.

  3. На вкладке Общие введите название и описание профиля.

  4. На вкладке Методы аутентификации нажмите Добавить и выберите Локальный пользователь.

  5. Нажмите Сохранить.

Шаг 6. Создать профиль безопасности VPN

Профиль безопасности VPN определяет такие настройки, как общий ключ шифрования (Preshared key) и алгоритмы шифрования. Допускается наличие несколько профилей безопасности и использование их для построения соединений с различными типами клиентов.

Создание профиля VPN:

  1. Перейдите в раздел VPN → Профили безопасности VPN.

  2. Нажмите Добавить для создания нового профиля безопасности.

  3. На вкладке Общие введите название и описания данного профиля. Укажите параметры работы IKE в соответствующих строках.

  4. В разделе Общий ключ введите ключ шифрования, который должен совпадать у всех участников VPN-сети. Ключ шифрования должен состоять из сложных комбинаций букв, цифр и символов и иметь длину не менее 8 символов.

  5. На вкладке Фаза 1 при необходимости укажите параметры Время жизни ключа шифрования, интервал определения недоступных участников VPN-сети Интервал Dead Peer detection и количество неудачных попыток подключения (параметр Неудачные попытки), при достижении которого UserGate выдаст сообщение об ошибке подключения.

  6. В разделе Diffie-Hellmann группы укажите те группы, которые поддерживаются на стороне подключаемых клиентов VPN-подключений. Рекомендуемые группы: 2, 5, 14, 15, 16.

  7. В разделе Безопасность удалите существующие записи. Выберите алгоритм авторизации SHA1 и шифрование не ниже AES128. Допустимо использовать AES192, AES256. Если параметров не видно в интерфейсе, потяните мышью нижнюю синюю рамку окна настроек.

  8. На вкладке Фаза 2 при необходимости укажите время жизни ключа шифрования (параметр Время жизни ключа) и максимальный объем данных, которые можно зашифровать одним ключом (параметр Максимальный объем данных, шифруемых одним ключом). Смена ключа произойдет автоматически при достижении заданного объема переданного трафика.

  9. В разделе Безопасность выберите алгоритм авторизации SHA1 и шифрование не выше AES128. Более стойкое шифрование не поддерживается ОС Windows.

  10. Дважды нажмите Сохранить.

Шаг 7. Создать сети VPN

Сеть VPN определяет диапазоны адресов, которые будут анонсированы при подключении к VPN-серверу клиентских установок ВМ UserGate. Таким образом клиент UserGate будет обладать информацией, что данные подсети находятся в VPN-сети. Обычно в VPN-сети добавляются те филиальные подсети, между которыми необходимо обеспечить межсетевое взаимодействие.

Создание сети VPN:

  1. Перейдите в раздел VPN → Сети VPN, нажмите Добавить.

  2. В появившемся окне Свойства VPN-сети на вкладке Общие введите название и описание создаваемой VPN-сети.

  3. На вкладке Сеть укажите адресуемый диапазон внутри туннельного интерфейса, совпадающий диапазоном, который был указан на Шаге 2.

  4. На вкладке Маршруты введите диапазоны внутренних подсетей, которые должны передаваться клиентской ВМ UserGate и взаимодействие с которыми будет происходить через VPN-туннель.

  5. Нажмите Сохранить.

Шаг 8. Создать серверное правило VPN

Серверное правило VPN повторяет логику работы политики межсетевого взаимодействия. В нем указываются исходные зоны источника VPN-трафика и параметры конфигурации, которые были созданы выше.

Создание серверного правила:

  1. Перейдите в раздел VPN → Серверные правила и нажмите Добавить.

  2. В появившемся окне Свойства активируйте опцию Включено.

  3. Заполните поля Название и Описание серверного правила VPN.

  4. В полях Профиль безопасности VPN, Сеть VPN, Профиль авторизации и Интерфейс выберите элементы, созданные на предыдущих этапах.

  5. На вкладке Источник укажите внешнюю зону c доступом в интернет, которая принимает подключение от VPN-клиентов.

  6. Дважды нажмите Сохранить.

Шаг 9. Настроить подключение L2TP на клиентском компьютере с ОС Windows 10

  1. Откройте панель Пуск и выберите пункт Параметры.

    ../../_images/s__settings.png
  2. Выберите раздел Сеть и Интернет → VPN и нажмите Добавить VPN-подключение.

    ../../_images/s__vpn.png
  3. В появившемся окне Добавить VPN-подключение заполните информационные поля профиля подключения в соответствии с той информацией, которая была указана на предыдущих шагах.

    ../../_images/s__add-vpn.png

    Созданное VPN-подключение типа WAN Miniport (L2TP) будет отображаться вместе с остальными сетевыми адаптерами в настройках операционной системы.

  4. Перейдите в раздел Параметры Windows → Сеть и Интернет → Ethernet → Настройка параметров адаптера.

    ../../_images/s__ethernet-settings.png
  5. Нажмите правой кнопкой мыши на иконку с VPN-подключением и выберите пункт Свойства.

  6. Перейдите на вкладку Безопасность и установите значения для следующих параметров:

    • Обязательное (отключиться, если нет шифрования) для параметра Шифрование данных.

    • Незашифрованный пароль (PAP) для параметра Разрешить следующие протоколы.

../../_images/s__usergate-settings.png

Созданное VPN-подключение будет отображаться в иконке сетевых подключений на панели задач.

Чтобы создать ярлык на Рабочем столе для VPN-соединения, перетащите его иконку из окна Параметры Windows → Сеть и Интернет → Ethernet → Настройка параметров адаптера на Рабочий стол.

Операционная система Windows по умолчанию отправляет весь сетевой трафик на туннельный VPN-интерфейс, т.к. новый маршрут по умолчанию прописывается в системные настройки.

Чтобы избежать полного туннелирования трафика и отправлять в VPN-туннель трафик только для необходимых удаленных подсетей:

  1. Перейдите на вкладку Сеть, выберите IP версии 4 и нажмите Свойства.

  2. В появившемся окне на вкладке Общие нажмите Дополнительно.

  3. В появившемся окне Дополнительные параметры TCP/IP отключите опцию Использовать основной шлюз в удаленной сети.

  4. Нажмите ОК.

../../_images/s__windows-net-settings.png

Шаг 10. Внести изменения в реестр ОС Windows

Операционные системы Windows по умолчанию не поддерживают L2TP-подключения к серверам, которые находятся за вышестоящими маршрутизаторами с функционалом NAT. Например, такой метод внешней IP-адресации используется в платформе Advanced. Поэтому создать VPN-подключение в таком случае не удастся.

Для исправления этой ситуации необходимо внести изменения в реестр операционной системы, создав там специальное значение, которое позволит ОС использовать L2TP-подключения к VPN-серверам, расположенным за NAT-устройством.

  1. Используя поиск в панели задач, введите запрос «Редактор реестра» и выберите соответствующее приложение.

  2. Перейдите в раздел HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent.

  3. Выберите пункт меню Правка → Создать → Параметр DWORD (32-bit).

  4. Введите имя AssumeUDPEncapsulationContextOnSendRule и установите значение 1.

  5. Закройте редактор реестра.

Шаг 11. Внести изменения в реестр MAC OS

Чтобы принудительно использовать протокол PAP на клиентах MacOS, используйте любой из приведенных ниже вариантов.

  • Введите следующие команды в файл nano ~/.ppprc:

    refuse-chap
    refuse-mschap
    refuse-mschap-v2
    
  • На терминале клиента введите следующие команды:

    echo refuse-chap > ~/.ppprc
    echo refuse-mschap >> ~/.ppprc
    echo refuse-mschap-v2 >> ~/.ppprc
    

Шаг 12. Проверить межсетевой доступ

После установки VPN-соединения нужно провести диагностику доступности удаленных ресурсов. Если они недоступны, то требуется диагностика маршрутизации.

На Панели задач в строке поиска введите «cmd» и нажмите Enter. Откроется консоль командной строки ОС. Выполните следующие отладочные команды, где * - это октеты вашей IP-адресации:

  1. Просмотрите информацию о сетевых адаптерах и корректном назначении туннельной VPN-подсети при помощи команды ipconfig. Назначенный виртуальный VPN сетевой адаптер называется «Адаптер PPP».

  2. Просмотрите информацию о переданных от VPN-сервера сетевых маршрутах и их корректном назначении в таблице маршрутизации ОС. Удаленные подсети должны быть доступны через IP-адрес сервера UserGate туннельной VPN-сети.

  3. Для проверки доступности туннельного VPN-интерфейса выполните ICMP-запрос ping *.*.*.* к локальному IP-адресу туннельного интерфейса, а затем к туннельному VPN-интерфейсу, указанному на Шаге 2.

  4. Для проверки доступности удаленного ресурса выполните ICMP-запрос к нему ping *.*.*.*.

  5. Для трассировки сетевого пути до удаленного ресурса выполните команду tracert *.*.*.* и убедитесь, что первым хопом является туннельный VPN-интерфейс сервера UserGate. Это означает, что трафик ушел в VPN-туннель.

Запустили Evolution free tier
для Dev & Test
Получить