Usergate vpn client linux

6. UserGate Getting Started. VPN

Приветствую читателей в шестой публикации цикла статей, посвященных продукции компании UserGate. В данной статье будет рассматриваться, каким образом можно предоставить доступ для удаленных пользователей к внутренним ресурсам компании средствами UserGate.

Я покажу, как настроить Remote access VPN и SSL VPN. В первом случае UserGate необходимо настроить в качестве сервера, а пользователи со своей стороны должны будут настроить клиент для подключения к UserGate (UserGate поддерживает работу со стандартными клиентами большинства популярных операционных систем). Во втором случае пользователям необходим только браузер, но не ко всем типам ресурсов можно настроить доступ таким образом.

VPN для удаленного доступа клиентов

У UserGate нет собственного клиента VPN, поэтому для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных — протокол IPSec. Так как протокол L2TP/IPsec поддерживается большинством современных операционных систем это позволяет настроить подключение к UserGate средствами стандартных клиентов. Как я писал выше, UserGate выступает в качестве сервера и для того чтобы настроить его необходимо выполнить следующие действия:

в разделе “Сеть” необходимо разрешить сервис VPN для зоны из которой будут подключаться клиенты, у меня это зона “Untrusted”. Далее в этом же разделе нужно создать зону, в которую помещаются клиенты, подключаемые через VPN, можно использовать уже существующую зону “VPN for remote access”.

Для того чтобы трафик мог ходить из зоны “VPN for remote access” в необходимые нам зоны, создаем в разделе “Политики сети” правило NAT или используем предустановленное правило “NAT from VPN for remote access to Trusted and Untrusted”. Оно разрешает наттирует трафик из зоны “VPN for remote access” в зоны “Trusted” и “Untrusted”.

Следующим шагом будет создания правила межсетевого экрана, для этого в разделе “Политики сети” включаем уже существующее правило “VPN for remote access to Trusted and Untrusted”или создаем свое правило (данное правило должно разрешать прохождения трафика из зоны “VPN for remote access” в зоны “Trusted” и “Untrusted”).

Далее создаем профиль авторизации в разделе “Пользователи и устройства”. Здесь можно использовать тот же профиль авторизации, что используется для авторизации пользователей для получения доступа к сети интернет, но согласно руководству UserGate для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP.

VPN поддерживает многофакторную авторизацию, но как видно из скриншота, я не буду настраивать MFA.

Создаем VPN-интерфейс, для этого переходим в раздел “Сеть”, “Интерфейсы”, где по умолчанию уже создан VPN-интерфейс tunnel1, который рекомендовано использовать для Remote access VPN, включаем его.

Приступаем к непосредственной настройке параметров VPN, для этого переходим в раздел “VPN”.

В подразделе “Профили безопасности VPN” уже есть преднастроенный профиль “Remote access VPN profile”, остается открыть его и на вкладке “Общие” изменить общий ключ шифрования (Preshared key). На вкладке “Безопасность” можно выбрать пары алгоритмов аутентификации и шифрования. Алгоритмы используются в порядке, в котором они изображены (сверху вниз) и при установлении соединения используется первая пара, которую поддерживают сервер и клиент. Алгоритмы авторизации и шифрования приведенные в примере подходят для большинства стандартных клиентов VPN. Допускается иметь несколько профилей и использовать их для построения соединений с разными типами клиентов.

Далее переходим в подраздел “Сети VPN”, и либо создаем новую сеть VPN, либо меняем имеющуюся “Remote access VPN network”:

Настроим диапазон IP-адресов, которые будут использованы клиентами. Исключаем из диапазона адреса, которые назначены VPN-интерфейсу, используемые совместно с данной сетью. Также не следует указывать широковещательный адрес.

Можно назначить свои DNS-сервера, которые будут переданы клиенту, или поставить галочку “Использовать системные DNS”, в этом случае клиенту будут назначены DNS-серверы, которые использует UserGate.

На вкладке “Маршруты VPN” указываются маршруты, передаваемые клиенту в виде бесклассовой адресации (CIDR), например, если указать любой, то весь трафик удаленного пользователя будет уходить в туннель, а потом маршрутизироваться как локальный трафик шлюзом. Если же необходимо пускать трафик только в локальную сеть, то указываем здесь эту сеть, а остальной трафик будет идти мимо туннеля.

Создавая серверное правило в подразделе “Серверные правила” мы используем ранее настроенные сеть VPN, интерфейс VPN и профиль VPN, а также выбираем зону “Untrusted”, с которой будут подключаться пользователи VPN, профиль авторизации “User auth profile” и пользователи VPN (у меня это локальная группа “VPN users” и доменный пользователь “test”).

Также если необходимо настроить MFA TOTP (Time-based One-time Password Algorithm), то здесь же производится первоначальная инициализация TOTP-устройства.

Следующим шагом является настройка VPN клиента на пользовательском компьютере. Для Windows 10 настройки показаны на скриншоте внизу, но есть несколько нюансов. Для подключения используется незашифрованный пароль (PAP), соответственно в настройках адаптера указываем данный протокол. Хоть здесь и используется незашифрованный пароль, но передается он по зашифрованному нашим общим ключом каналу. Также для корректной работы в данной системе необходимо изменение параметра реестра HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent в соответствии со статьей.

Для настройки на Linux клиентах, UserGate предлагает установить дополнительные пакеты network-manager-l2tp и network-manager-l2tp-gnome. После этого можно приступить к настройке:

создаем новое подключение VPN выбрав Layer 2 Tunneling Protocol (L2TP).

После этого настраиваем параметры подключения и указываем данные для аутентификации. В настройках PPP оставляем в качестве метода аутентификации PAP и отключаем все виды компрессии. В настройках IPsec указываем Pre-shared key и указываем следующие параметры:

Phase1 algorithms: aes128-sha1-modp1024!

Phase2 algorithm: aes128-sha1!

Веб-портал (SSL VPN)

Веб-портал позволяет предоставить доступ к внутренним веб-ресурсам, терминальным и ssh-серверам компании для удаленных или мобильных пользователей, используя при этом только протокол HTTPS.

Включить веб-портал необходимо в разделе “Настройки” кликнув на соответствующую кнопку.

В открывшемся окне настроек включаем чекбоксом “Включено” портал, задаем имя хоста, указываем порт, который будет использоваться сервисом веб-портала, профиль авторизации, шаблон страницы авторизации, шаблон портала. По желанию можно добавить на странице портала выбор домена AD/LDAP, а также показ CAPTCHA. Если не назначить свой сертификат для создания HTTPS-соединения, то будет использоваться сертификат для роли SSL Captive-портала. Также можно включить авторизацию пользователей по сертификату, но тогда необходимо добавить пользовательский сертификат в список сертификатов UserGate с ролью “Пользовательский сертификат” и сопоставить его с пользователем.

Чтобы разрешить доступ к сервису, нужно для зоны, из которой будут подключаться пользователи поставить, галочку напротив веб-портала.

Собственно теперь, у пользователей есть доступ на портал. Осталось добавить внутренние ресурсы. Для этого необходимо перейти в раздел “Глобальный портал” и в подразделе “Веб-портал” создать записи публикаций внутренних ресурсов.

Нажав кнопку «Добавить» в подразделе «Веб-портал», появляется окно настроек ресурса. Включив ресурс и заполнив название, переходим к полю “URL”, здесь необходимо указывать полный URL, начиная с http://, https://, ftp://, ssh:// или rdp://. Для работы RDP доступа необходимо отключить опцию Network Level Authentication на сервере терминалов. Поле “Домен прямого доступа” не обязательно к заполнению, если указать домен, то пользователь может получить доступ к публикуемому ресурсу, минуя веб-портал. В поле “Иконка” можно выбрать иконку, которая будет отображаться на веб-портале для данной закладки. На вкладке “Вспомогательные URL” указываются URL, необходимые для работы основного URL. На вкладке “Пользователи” выбираем пользователей, у которых будет отображаться ресурс.

Заключение

В данной статье были рассмотрены два метода доступа к ресурсом компании для удаленных пользователей. Также можно предоставить доступ к некоторым ресурсам с помощью DNAT/Порт-форвардинга и Reverse-прокси, но DNAT/Порт-форвардинг уже рассматривался ранее, а Reverse-прокси используется для публикации серверов HTTP/HTTPS только с некоторыми преимуществами (в отличие от DNAT/Порт-форвардинга):

Публикация по HTTPS серверов, работающих по HTTP и наоборот.

Балансировка запросов на ферму веб-серверов.

Возможность ограничения доступа к публикуемым серверам с определенных Useragent.

Возможность подмены доменов и путей публикуемых серверов.

Следует также отметить, что при публикаций внутренних ресурсов с помощью DNAT/Порт-форвардинга, Reverse-прокси и веб-портала порядок применения правил следующий: 1. Правила DNAT. 2. Правила Reverse-прокси. 3. Правила веб-портала.

Источник

Usergate vpn client linux

В данной статье будет рассказано о настройке VPN и особенностях его работы.

Описание.

В UserGate Proxy&Firewall 6 имеется VPN сервер, который позволяет производить подключения Клиент-Сервер и Сервер-Сервер.Это легкий и удобный способ получить доступ к локальным ресурсам сети, а также предоставления доступа в Интернет на удаленные клиентские компьютеры через UserGate Proxy&Firewall, с возможностью управления трафиком. Соединение к серверу с клиентского компьютера осуществляется с помощью специального VPN-клиента, который входит в состав дистрибутива UserGate Proxy&Firewall и находится в директории %UserGate%\tools. Прокси создает специальный виртуальный адаптер (обозначенный как Entensys VPN Device в сетевых настройках компьютера) для самого сервера, через который осуществляется соединение. При подключении типа Сервер-Сервер на шлюзе UserGate Proxy&Firewall будут создаваться виртуальные адаптеры по числу подключенных хостов. Все созданные адаптеры будут иметь тип LAN в разделе интерфейсы консоли администратора. Не рекомендуется самостоятельно отключать виртуальные адаптеры, или изменять их настройки в сетевых настройках вашего компьютера, потому что это может привести к непредсказуемой работе сервера.

Внимание, важно:

1) Для корректной работы VPN-сервера и VPN-клиентов в операционной системе должны быть активны и включены следующие службы (для тех, кто самостоятельно отключает службы на своей машине, по умолчанию они включены):

• DNS клиент;
• DHCP клиент;
• Рабочая станция;

2) VPN сервер UserGate Proxy&Firewall несовместим с MS VPN (RRAS), сторонними VPN решениями, при установке на один компьютер мы не гарантируем корректной работы нашего продукта.

Настройка VPN.

Для того, чтобы настроить VPN-сервер, требуется открыть консоль администратора —> Сервисы —> VPN, перевести его в состояние Включен, нажав на надпись Отключен.

В этом разделе находятся следующие настройки:

• Слушающий интерфейс — выбор того интерфейса, который будет принимать входящие подключения. По умолчанию — 0.0.0.0 — прослушивать все интерфейсы. Если пользователи будут подключаться только из внешней сети, тогда можно выбрать только WAN-интерфейс. Если же пользователи будут подключаться и из локальной сети (особенно в версии ГОСТ), тогда настройку по умолчанию менять не нужно !
• Адрес сервера — это тот адрес сервера, который будет выдан VPN-серверу (и соответствующему адаптеру, который будет создан). Во многом, этот параметр определит диапазон IP-адресов, выдаваемых сервером. Внимание! Во избежание конфликта IP-адресов и некорректной работы не рекомендуется присваивать совпадающий IP-адрес сервера с любым из других интерфейсов на UserGate или интерфейсов на другом сервере, с которым вы можете устанавливать соединение типа Сервер-Сервер. Лучше всего оставлять адрес по умолчанию 172.16.10.1, либо вносить изменения в последние два числа адреса (например, 172.16.100.1).
• Порт — эта настройка порта, на который будет происходить подключение. По умолчанию — 5455, если данный порт на вашем сервере не занят, то лучше оставить его по умолчанию.
• Маска подсети — этот параметр будет влиять на сетевую маску подключения. По умолчанию стоит 255.255.255.0 (/24). Это второй параметр, который влияет на диапазон адресов, выдаваемых клиентам. Внимание! Не рекомендуется ставить несуществующую маску, это может привести к непредсказуемой работе и ошибкам.
• Диапазон IP-адресов — этот параметр сам должен будет выставиться на основе параметров адреса сервера и маски подсети. Можно вручную изменить его на желаемый в пределах маски подсети.
• Использовать как основной шлюз — эта настройка распространяется только на VPN-клиентов. Этот параметр определяет, будет ли использоваться UserGate в качестве основного Интернет-шлюза для клиентов VPN или нет. По умолчанию стоит Использовать. Будучи включенной, данная опция не имеет смысла, если не создано NAT-правило в Межсетевом экране: Источник — LAN VPN, Назначение — WAN, Сервисы — ANY:FULL (либо такие, к которым хотите дать доступ), выберите группу или пользователей. Рекомендуется под VPN-пользователей выделить отдельную группу, к которой легко применять NAT и FW правила. Настройка Межсетевого экрана осложнится добавлением еще двух специальных правил FireWall, если вы перевели работу правила NON_USER в режим Запретить. Тогда требуется добавить еще два правила: Источник — LAN VPN, Назначение — Любой, Сервисы — ANY:FULL (либо те же самые, что вы выбрали самостоятельно), Действие — Разрешить и Источник — Любой, Назначение — LAN VPN, Сервисы, Разрешить. После этого настройка использования UserGate как основного шлюза закончена.
• Разрешить подключаться несколько раз — позволяет пользователям с одинаковым логином и паролем осуществлять авторизацию и подключение к серверу. Трафик, прошедший через UserGate, при таком способе будет учитываться только для пользователя, используемого для авторизации.
• Задание соединения Сервер-Сервер. Создание этого соединения описано ниже.
• Задание сетевых маршрутов — эта вкладка используется для задания маршрутов в вашу локальную сеть. Клиент при подключении к серверу получает все маршруты, указанные в этой вкладке, тем самым получая доступ к вашей локальной сети. Поддерживается два типа маршрутизации: прямой и удаленный.

Прямая маршрутизация — это маршрутизация до локальной сети, шлюзом у которой является непосредственно UserGate. Для того, чтобы создать для нее маршрут, требуется включить маршрут, ввести только IP-адрес самой локальной сети (если смотреть схему ниже, то требуется добавить адрес 192.168.2.0) и ее маску (255.255.255.0), то, что вы введете для интерфейса и шлюза не имеет значения. Если таких сетей несколько (на схеме ниже это еще и сеть 192.168.3.0/24 ), вы просто создаете на каждую локальную сеть отдельный маршрут.

Удаленная маршрутизация — это маршрутизация до удаленной локальной сети, то есть если внутри локальной сети стоит еще один шлюз, а к нему идет собственная локальная сеть, то в эту сеть также можно получать доступ (представим, что в схеме ниже в сети 192.168.2.0/24 имеется шлюз 192.168.2.254, за которым имеется локальная сеть с адресом 192.168.4.0/24). Для этого требуется ввести адрес удаленной локальной сети (192.168.4.0), ее маску (/24), в качестве шлюза указать внешний интерфейс шлюза (192.168.2.254), к которому присоединена локальная сеть, а в качестве интерфейса — локальный интерфейс на UserGate, к которому присоединен шлюз с удаленной локальной сетью (192.168.2.1).

• Задание DNS — используется для задания основного и альтернативных DNS-серверов для подключения, требуется вместе с настройкой Использовать в качестве шлюза по умолчанию. Как правило, проще всего использовать DNS-форвардинг, тогда можно указать только адрес сервера в качестве DNS. Если вы не используете форвардинг, тогда указываете рабочие внешние DNS-сервера. Внимание! Не рекомендуется ставить больше чем два DNS-сервера . После всех внесенных изменений требуется перезагрузка модуля VPN, которая предлагается по принятию всех настроек. Она произойдет автоматически, не отключая консоль от сервера. Также каждый раз, когда вы меняете какие-то параметры уже после настройки и включения, требуется перезапустить модуль VPN.

VPN-клиент

VPN-клиент — специальная утилита для соединения с VPN-сервером UserGate, поддерживает только платформу WIndows ! Она также устанавливает виртуальный адаптер для связи с адаптером на VPN-сервере. Установите утилиту нужной разрядности и запустите ее. Для соединения с VPN-сервером потребуется:

• Адрес VPN-сервера. При подключении снаружи таковым является внешний адрес. Это может быть как IP-адрес WAN-интерфейса на UserGate в случае белого IP-адреса, так и адресное имя машины с UserGate. В случае, если подключение осуществляется из локальной сети, тогда в качестве адреса указывается адрес LAN-интерфейса (чаще всего, он же является шлюзом). Через двоеточие к адресу указывается порт соединения (если используется порт по умолчанию, тогда вводить его не требуется). Т.е. если адресное имя вашей машины testcomp.test.ru, а порт был установлен 6000, тогда в качестве адреса сервера надо писать testcomp.test.ru:6000.
• Логин и пароль пользователя (с авторизацией Логин-пароль), заранее созданные в консоли в Пользователях.
• Тип соединения. Если у вас включено Использование UserGate в качестве основного шлюза, то у пользователя есть выбор подключаться к серверу как к основному каналу, либо оставить свой текущий канал основным и получить только заданные ранее маршруты на UserGate, чтобы получить доступ в локальную сеть. При выборе подключения в качестве основного канала в маршрутизации компьютера пользователя прописывается специальный маршрут. Однако, если Использование шлюза по умолчанию отключено, то выбора у пользователя нет, его текущий канал будет основным. В этом случае лучше использовать тип подключения Использовать настройки с сервера.
• Вы также можете поставить галочки сохранения пароля и переподключения. Переподключение осуществляется по разрыву сеанса связи (выпал кабель, отключился канал связи на стороне провайдера и др.), по умолчанию стоит 50 попыток подключения с интервалом в 60 секунд. Однако эти данные могут быть изменены через реестр. Вы можете создать bat-файл со следующим содержанием:

REG ADD «HKCU\Software\Entensys\UGVPN\client\settings\Default» /f

REG ADD «HKCU\Software\Entensys\UGVPN\client\settings\Default» /v Gateway /f

REG ADD «HKCU\Software\Entensys\UGVPN\client\settings\Default» /v RecennectAttempts /d 28800 /f

REG ADD «HKCU\Software\Entensys\UGVPN\client\settings\Default» /v Reconnect /d 1 /f

REG ADD «HKCU\Software\Entensys\UGVPN\client\settings\Default» /v ReconnectPeriod /d 3000 /f

После успешного подключения в консоли во вкладке VPN можно будет видеть пользователя, авторизованного со своими данными, подключенного как Пользователь, время его подключения и его IP-адрес.

Подключение Сервер-Сервер.

Подключение Сервер-Сервер осуществляется односторонне, т.е. для его создание требуется два сервера UserGate, но для настройки самого соединения требуется всего лишь один из них. Назовем эти серверы Принимающим сервером (ПС — к кому будет осуществляться подключение) и Соединяющийся сервер (СС — кто будет создавать подключение). Рекомендуемая схема подключения — звезда, то есть выбирается один Принимающий сервер, а все остальные будут являться Соединяющимися. Для создания нового соединения требуется:

1. На ПС создать пользователя с типом авторизации Логин-пароль (например, логин server и пароль 123). Если СС будет несколько, то под каждого создайте нового пользователя.
2. На СС пройти на вкладку Создание соединения и задать IP-адрес или адресное имя ПС, пользователя (server) и пароль (123), включить соединение. На всех системах (кроме XP и Server 2003) должен в течение минуты на обоих серверах появится значок создания нового интерфейса (девайса — это создался новый виртуальный адаптер, о котором упоминалось выше), когда устройство будет готово к использованию, проверьте на ПС на вкладке VPN, что СС соединился как Сервер под указанным логином (server). Адреса серверов на новых виртуальных адаптерах ставятся автоматически и по умолчанию 192.168.10.1 и 10.2 с маской /24. Внимание! Не пытайтесь поменять эти адреса вручную, их изменение может привести к непредсказуемым последствиям . Если на сервере уже используется данная подсеть, тогда будут выдана следующая пара адресов: 192.168.11.1 и 192.168.11.2 и т.д. Эти адреса используются только для связи серверов друг с другом и передачи необходимых маршрутов. Вся прелесть соединения Сервер-Сервер состоит в том, что, имея сетевые маршруты в свои локальные сети, сервера обмениваются ими, и любой клиент, подключенный к одному или другому серверу будет иметь доступ до всех локальных сетей, как одного сервера, так и другого. Также данное соединение оснащено автоматическим восстановлением подключения, если произошел сбой канала связи. СС посылает раз в минуту сигнал до другого сервера, проверяя его доступность. Как только сервер стал доступен, соединение восстанавливается автоматически.

После успешного подключения в консоли во вкладке VPN можно будет видеть пользователя, авторизованного со своими данными, подключенного как Сервер, время его подключения и пару IP-адресов, выделенное под данное подключение.

На этом настройка VPN завершена.

Если у вас возникают какие-либо ошибки с подключением, обратитесь, пожалуйста, к данной статье для возможного их решения.

Источник