VPN

VPN – это обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети, например сети Интернет.

ARMA FW поддерживает работу двух технологий VPN:

  • OpenVPN;

  • IPsec.

В ARMA FW реализована возможность просмотра конфигурации созданных серверов и клиентов при создании подключения OpenVPN или ГОСТ VPN (см. Диагностика RSPAN).

OpenVPN

OpenVPN – это реализация технологии VPN, использующая SSL/TLS для защиты туннелируемого трафика. В работе OpenVPN используется механизм TUN/TAP, реализованный в виде загружаемого драйвера ядра.

ARMA FW поддерживает работу OpenVPN в режимах «сеть - сеть» и «узел - сеть».

При настройке подключения OpenVPN рекомендуется придерживаться следующих криптографических установок:

  • «Пиринговая сеть (Общий ключ)»:

    • «Алгоритм шифрования» – «AES-256-CBC (256 bit key, 128 bit block)», «AES-128-CBC (128 bit key, 128 bit block)»;

    • «Дайджест-алгоритм аутентификации» – «SHA256 (256-bit)», «SHA512 (512-bit)»;

  • «Пиринговая сеть (SSL/TLS)»:

    • «Алгоритм шифрования» – «AES-256-CBC (256 bit key, 128 bit block)»;

    • «Дайджест-алгоритм аутентификации» – «SHA256 (256-bit)», «SHA512 (512-bit)»;

  • «Удаленный доступ (SSL/TLS)»:

    • «Алгоритм шифрования» – «AES-256-GCM (256 bit key, 128 bit block, TLS client/server mode only)»;

    • «Дайджест-алгоритм аутентификации» – «SHA256 (256-bit)»;

  • «Удаленный доступ (аутентификация пользователя)»:

    • «Алгоритм шифрования» – «AES-256-GCM (256 bit key, 128 bit block, TLS client/server mode only)»;

    • «Дайджест-алгоритм аутентификации» – «SHA256 (256-bit)»;

  • «Удаленный доступ (SSL/TLS+аутентификация пользователя)»:

    • «Алгоритм шифрования» – «AES-256-GCM (256 bit key, 128 bit block, TLS client/server mode only)»;

    • «Дайджест-алгоритм аутентификации» – «SHA256 (256-bit)».

Для режимов сервера «Удаленный доступ (SSL/TLS)», «Удаленный доступ (аутентификация пользователя)» и «Удаленный доступ (SSL/TLS+аутентификация пользователя)» рекомендуется не включать сжатие туннельных пакетов.

Настройка OpenVPN в режиме «сеть - сеть»

В качестве примера настройки OpenVPN в режиме «сеть - сеть» будет использоваться схема стенда, представленная на рисунке (см. Рисунок – Схема стенда для настройки OpenVPN в режиме «сеть - сеть»).

../../../_images/fw.rp.21.1.1.1.png

Рисунок – Схема стенда для настройки OpenVPN в режиме «сеть - сеть»

Перед началом настройки необходимо создать правила МЭ, разрешающие трафик ICMP, для интерфейсов «[WAN]» каждого ARMA FW (см. Создание правил межсетевого экранирования) и убедиться в следующем:

  • интерфейсы «WAN» каждого ARMA FW используют IP-адреса доступные друг другу при команде «ping»;

  • сегмент интерфейса «LAN» каждого ARMA FW использует уникальную сеть, в примере используются сети «192.168.0.0/24» и «192.168.1.0/24».

Примечание

При использовании динамической маршрутизации OSPF в туннеле OpenVPN необходимо учитывать следующие особенности:

  • при настройке сервера и клиента OpenVPN в режимах «Пиринговая сеть (Общий ключ)» или «Пиринговая сеть (SSL/TLS)» для параметра «Режим работы устройства» выбрать значение «tun», а поля параметров «Локальная сеть IPv4» и «Удаленная сеть IPv4» не должны быть заполнены;

  • при настройке сервера OpenVPN в режиме «Пиринговая сеть (SSL/TLS)» в блоке «Настройки клиента» установить флажок для параметра «Топология сети».

Настройка на ARMA FW1

Для настройки OpenVPN на ARMA FW1 необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки серверов OpenVPN («VPN» - «OpenVPN» - «Серверы») и нажать кнопку «+Добавить» для добавления нового сервера.

  2. В открывшейся форме указать параметры согласно таблице (см. Таблица «Параметры OpenVPN ARMA FW1») и нажать кнопку «Сохранить». Не указанные в таблице параметры оставить по умолчанию.

Таблица «Параметры OpenVPN ARMA FW1»

Параметр

Значение параметра

Описание

OpenVPN peer 1

Режим сервера

Пиринговая сеть (Общий Ключ)

Интерфейс

WAN

Локальный порт

1194

Совместно использующийся ключ

Флажок установлен

Туннельная сеть IPv4

10.10.0.0/24

Локальная сеть IPv4

192.168.0.0/24

Удаленная сеть IPv4

192.168.1.0/24

Сжатие

Включено с использованием адаптивного сжатия

Копирование ключа

После создания сервера в параметре «Совместно использующийся Ключ» будет отображён сгенерированный ключ (см. Рисунок – Совместно используемый ключ OpenVPN).

../../../_images/fw.rp.21.1.1.2.1.png

Рисунок – Совместно используемый ключ OpenVPN

Для копирования ключа необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки серверов OpenVPN («VPN» - «OpenVPN» - «Серверы») и нажать кнопку «bttn.pen» напротив созданного сервера.

  2. В открывшейся форме перейти в блок настроек «Криптографические установки» и скопировать в буфер обмена содержимое значения параметра «Совместно использующийся Ключ».

Настройка на ARMA FW2

Для настройки OpenVPN на ARMA FW2 необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки клиента OpenVPN («VPN» - «OpenVPN» - «Клиенты») и нажать кнопку «+Добавить» для добавления нового клиента.

  2. В открывшейся форме указать параметры согласно списку ниже и нажать кнопку «Сохранить»:

  • «Описание» – «OpenVPN peer 2»;

  • «Режим сервера» – «Пиринговая сеть (Общий Ключ)»;

  • «Интерфейс» – «WAN»;

  • «Удаленный сервер, Хост или адрес» – «78.106.95.219»;

  • «Удаленный сервер, Порт» – «1194»;

  • «Описание» – «OpenVPN peer 2»;

  • «Совместно использующийся ключ» – Флажок не установлен. Вставлено значение ранее скопированного ключа (см. раздел Копирование ключа);

  • «Туннельная сеть IPv4» – «10.10.0.0/24»;

  • «Удаленная сеть IPv4» – «192.168.0.0/24»;

  • «Сжатие» – «Включено с использованием адаптивного сжатия».

Настройки, не указанные в списке оставить по умолчанию.

В результате настройки OpenVPN будет создан VPN-канал со следующими характеристиками:

  • SSL/TLS используется;

  • туннелируемый трафик инкапсулируется в UDP-пакеты;

  • демон OpenVPN обрабатывает подключения только на IP-адрес, присвоенный WAN-адаптеру;

  • сертификаты не используются;

  • аутентификация по логину/паролю не используется;

  • аутентификация TLS не используется;

  • сжатие данных используется.

Создание правил МЭ

Для корректной работы VPN-туннеля необходимо настроить правила МЭ:

  • на ARMA FW1 правило для разрешения OpenVPN трафика и трафика из сети «192.168.1.0/24»;

  • на ARMA FW2 правило для разрешения трафика из сети «192.168.0.0/24».

Создание правил МЭ описано в разделе Создание правил межсетевого экранирования настоящего руководства, необходимо создать правила с параметрами, указанными в списке. Не указанные в списке параметры следует оставить по умолчанию.

  • ARMA FW1 (правило №1):

    • «Интерфейс» – «[WAN]»;

    • «Действие» – «Разрешить (Pass)»;

    • «Быстрая проверка» – «Включено»;

    • «Версии TCP/IP» – «IPv4»;

    • «Протокол» – «UDP»;

    • «Отправитель» – «Единственный хост или сеть, 85.174.192.162»;

    • «Диапазон портов назначения» – «OpenVPN»;

    • «Описание» – «Allow VPN»;

  • ARMA FW1 (правило №2):

    • «Интерфейс» – «[OpenVPN]»;

    • «Действие» – «Разрешить (Pass)»;

    • «Быстрая проверка – «Включено»;

    • «Версии TCP/IP» – «IPv4»;

    • «Протокол» – «Любой»;

    • «Отправитель» – «Единственный хост или сеть, 192.168.1.0/24»;

    • «Диапазон портов назначения» – «Любой»;

    • «Описание – «Allow VPN Traffic»;

  • ARMA FW2:

    • «Интерфейс» – «[OpenVPN]»;

    • «Действие» – «Разрешить (Pass)»;

    • «Быстрая проверка» – «Включено»;

    • «Версии TCP/IP» – «IPv4»;

    • «Протокол» – «Любой»;

    • «Отправитель» – «Единственный хост или сеть, 192.168.0.0/24»;

    • «Диапазон портов назначения» – «Любой»;

    • «Описание» – «Allow VPN Traffic».

После применения правил МЭ необходимо убедиться в работе канала, для этого на любом из ARMA FW перейти в подраздел статусов соединения OpenVPN («VPN» - «OpenVPN» - «Статус соединения»), значение столбца «Статус» должно быть «up» (см. Рисунок – Статус соединения OpenVPN).

../../../_images/fw.rp.21.1.1.4.1.png

Рисунок – Статус соединения OpenVPN

Настройка OpenVPN в режиме «узел - сеть»

В качестве примера настройки OpenVPN в режиме «узел - сеть» будет использоваться схема стенда, представленная на рисунке (см. Рисунок – Схема стенда для настройки OpenVPN в режиме «клиент - сеть»), авторизация пользователей осуществляется согласно локальной БД ARMA FW.

../../../_images/fw.rp.21.1.2.1.png

Рисунок – Схема стенда для настройки OpenVPN в режиме «клиент - сеть»

Для настройки OpenVPN в режиме «узел - сеть» необходимо выполнить следующие шаги:

  1. Создать доверенный центр сертификации.

  2. Создать сертификат сервера.

  3. Создать пользовательскую УЗ и клиентский сертификат.

  4. Настроить ARMA FW в качестве сервера OpenVPN.

Создание доверенного центра сертификации

Для создания доверенного центра сертификации необходимо выполнить следующие действия:

  1. Перейти в подраздел полномочий («Система» - «Доверенные сертификаты» - «Полномочия»).

  2. Нажать кнопку «+Добавить».

  3. В открывшейся форме указать параметры из таблицы (см. Таблица «Значения параметров центра сертификации»), не указанные параметры оставить по умолчанию.

  4. Нажать кнопку «Сохранить».

Таблица «Значения параметров центра сертификации»

Параметр

Значение

Описательное имя

ARMA CA

Метод

Создать внутренний центр сертификации

Время существования (дни)

365

Код страны

RU (Russia)

Область

Moscow

Город

Moscow

Организация

InfoWatch

Эл. почта

admin@infowatch.ru

Стандартное имя

ARMA CA

Параметры «Описательное имя», «Код страны», «Область», «Город», «Организация», «Эл. почта», «Стандартное имя» указаны справочно.

Создание сертификата сервера

Для создания сертификата сервера необходимо выполнить следующие действия:

  1. Перейти в подраздел сертификатов («Система» - «Доверенные сертификаты» - «Сертификаты»).

  2. Нажать кнопку «+Добавить».

  3. В открывшейся форме указать параметры из таблицы (см. Таблица «Значения параметров сертификата»), не указанные параметры оставить по умолчанию.

  4. Нажать кнопку «Сохранить».

Таблица «Значения параметров сертификата»

Параметр

Значение

Метод

Создать внутренний сертификат

Описательное имя

OpenVPN cert

Центр сертификации

ARMA CA

Тип

Сертификат сервера

Стандартное имя

OpenVPN cert

Параметры «Описательное имя» и «Стандартное имя» указаны справочно.

Создание пользовательской УЗ и клиентского сертификата

Создание пользовательской УЗ описано в разделе Учётные записи и права доступа настоящего руководства.

Для создания пользовательского сертификата необходимо выполнить следующие действия:

  1. Открыть форму создания сертификата:

  • при создании УЗ – установить флажок для параметра «Сертификат» и нажать кнопку «Сохранить»;

  • для созданной УЗ – нажать кнопку «bttn.plus» в параметре «Сертификаты пользователя».

  1. В открывшейся форме выбрать:

  • в параметре «Метод»«Создать внутренний сертификат»;

  • в параметре «Центр сертификации»«ARMA CA»;

и нажать кнопку «Сохранить».

  1. Нажать кнопку «Сохранить» в форме редактирования УЗ.

Настройка ARMA FW

Для настройки ARMA FW в качестве сервера OpenVPN необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки серверов OpenVPN («VPN» - «OpenVPN» - «Серверы») и нажать кнопку «+Добавить» для добавления нового сервера.

  2. В открывшейся форме указать параметры согласно списку и нажать кнопку «Сохранить»:

  • «Описание» – «OpenVPN Server»;

  • «Режим сервера» – «Удаленный доступ (SSL/TLS + аутентификация пользователя)»;

  • «Сервер для аутентификации» – «Локальная база данных»;

  • «Интерфейс» – «OPT1»;

  • «Локальный порт» – «1194»;

  • «Центр сертификации пиров» – «ARMA CA»;

  • «Сертификат сервера» – «OpenVPN cert (ARMA CA)»;

  • «Туннельная сеть IPv4» – «10.0.8.0/24»;

  • «Локальная сеть IPv4» – «192.168.1.0/24»;

  • «Сжатие» – «Выключено Без сжатия»;

  • «DNS-серверы» – Флажок установлен, указывается IP-адреc DNS сервера для локальной сети.

Настройки, не указанные в списке оставить по умолчанию.

После создания OpenVPN сервера необходимо создать правила МЭ для интерфейсов «[OPT1]» и «[OpenVPN]» с параметрами, указанными в списке ниже.

Создание правил МЭ описано в разделе Создание правил межсетевого экранирования настоящего руководства.

  • Правило для интерфейса [OPT1]:

    • «Действие» – «Разрешить (Pass)»;

    • «Быстрая проверка» – «Включено»;

    • «Версии TCP/IP» – «IPv4»;

    • «Протокол» – «UDP»;

    • «Отправитель» – «OPT 1 сеть»;

    • «Диапазон портов назначения» – «OpenVPN»;

    • «Описание» – «Allow VPN»;

  • Правило для интерфейса [OpenVPN]:

    • «Действие» – «Разрешить (Pass)»;

    • «Быстрая проверка» – «Включено»;

    • «Версии TCP/IP» – «IPv4»;

    • «Протокол» – «Любой»;

    • «Отправитель» – «OpenVPN сеть»;

    • «Диапазон портов назначения» – «Любой»;

    • «Описание» – «Allow VPN Traffic».

Настройка клиента

Для настройки клиента необходим конфигурационный файл OpenVPN.

Для создания конфигурационного файла необходимо выполнить следующие действия:

  1. Перейти в подраздел экспорта настроек клиента («VPN» - «OpenVPN» - «Экспорт настроек клиента») (см. Рисунок – Экспорт настроек клиента).

../../../_images/fw.rp.21.1.2.5.1.png

Рисунок – Экспорт настроек клиента

  1. Задать параметры для экспорта:

  • «Сервер удаленного доступа» – созданный сервер;

  • «Тип экспорта» – «Только файл»;

  • «Имя хоста» – имя или IP-адрес сервера, в примере «192.168.2.1».

  1. Остальные параметры оставить без изменения, нажать кнопку «bttn.dwnld» напротив имени пользователя внизу страницы и сохранить конфигурационный файл, следуя указаниям веб-браузера.

    Экспортированный конфигурационный файл необходимо импортировать в клиентскую часть ПО «OpenVPN» на ПК «Client» и выполнить подключение к созданному серверу на ARMA FW.

IPsec

IPsec – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP.

ARMA FW поддерживает работу IPsec в режимах «сеть - сеть» и «узел - сеть».

В случае временного отключения и последующего подключения участника IPsec-туннеля, восстановление туннеля происходит автоматически.

Примечание

При включении IPsec на виртуальных машинах возможны сбои в работе ARMA FW.

При настройке первой фазы туннеля IPsec возможно указать действие, выполняемое в случае потери связности с удалённым узлом:

  • «Отсутствует» – отключает действие;

  • «Сброс» – закрывает соединение без дальнейших действий;

  • «Удержание» – перехватывает трафик и повторно инициирует согласование соединения по требованию;

  • «Перезапуск» – немедленно инициирует согласование соединения.

Примечание

Для параметра «Действие закрытия» следует установить значение «Отсутствует», если узел использует повторную аутентификацию или проверку уникальных идентификаторов.

При настройке фазы 1 туннеля в режиме динамической маршрутизации необходимо в блоке «Дополнительные параметры» снять флажок для параметра «Политика установки».

Настройка IPsec в режиме «узел - сеть»

В качестве примера настройки IPsec в режиме «узел - сеть», используется схема стенда, представленная на рисунке (см. Рисунок – Схема стенда для настройки IPsec в режиме «узел - сеть»).

../../../_images/fw.rp.21.2.1.1.png

Рисунок – Схема стенда для настройки IPsec в режиме «узел - сеть»

Для настройки IPsec в режиме «узел - сеть» необходимо выполнить следующие шаги:

  1. Создать внутренний центр сертификации.

  2. Создать внутренний сертификат.

  3. Настроить мобильный клиент и туннель IPsec.

  4. Добавить ключ IPsec.

  5. Импортировать сертификат клиенту.

  6. Настроить новое сетевое подключение.

Шаг 1. Создание внутреннего центра сертификации

В примере доверенный центр сертификации создается с параметрами, приведёнными в таблице (см. Таблица «Значения параметров центра сертификации»), не указанные параметры необходимо оставить по умолчанию.

Таблица «Значения параметров центра сертификации»

Параметр

Значение

Описательное имя

ARMA CAF

Метод

Создать внутренний центр сертификации

Длина ключа (бит)

2048

Алгоритм дайджеста

SHA256

Время существования (дни)

365

Код страны

RU (Russia)

Область

МО

Город

Moscow

Организация

IWARMA

Эл. почта

info@infowatch.ru

Стандартное имя

internal-ca

Параметры «Описательное имя», «Код страны», «Область», «Город», «Организация», «Эл. почта», «Стандартное имя» указаны справочно.

Для создания доверенного центра сертификации необходимо выполнить следующие действия:

  1. Перейти в подраздел полномочий («Система» - «Доверенные сертификаты» - «Полномочия»).

  2. Нажать кнопку «+Добавить».

  3. В открывшейся форме указать параметры из таблицы (см. Таблица «Значения параметров центра сертификации»).

  4. Нажать кнопку «Сохранить».

Сертификат созданного центра сертификации необходимо экспортировать, нажав кнопку «Экспортировать сертификат CA» (см. Рисунок – Экспорт сертификата СА) в подразделе полномочий («Система» - «Доверенные сертификаты» - «Полномочия»).

../../../_images/fw.rp.21.2.1.1.1.png

Рисунок – Экспорт сертификата CA

Шаг 2. Создать внутренний сертификат

В примере внутренний сертификат создается с параметрами, приведёнными в таблице (см. Таблица «Значения параметров сертификата»), не указанные параметры необходимо оставить по умолчанию.

Таблица «Значения параметров сертификата»

Параметр

Значение

Метод

Создать внутренний сертификат

Описательное имя

IKEv2 cert

Центр сертификации

ARMA CAF

Тип

Сертификат сервера

Время существования (дни)

365

Код страны

RU (Russia)

Область

МО

Город

Moscow

Организация

IWARMA

Эл. почта

info@infowatch.ru

Стандартное имя

IPsecCA

Альтернативные Имена, Тип

IP-адрес

Альтернативные Имена, Значение

IP-адрес WAN интерфейса ARMA FW, на схеме – 192.168.2.1

Параметры «Описательное имя», «Код страны», «Область», «Город», «Организация», «Эл. почта», «Стандартное имя» указаны справочно.

Для создания внутреннего сертификата необходимо выполнить следующие действия:

  1. Перейти в подраздел сертификатов («Система» - «Доверенные сертификаты» - «Сертификаты»).

  2. Нажать кнопку «+Добавить».

  3. В открывшейся форме указать параметры из таблицы (см. Таблица «Значения параметров сертификата»).

  4. Нажать кнопку «Сохранить».

Шаг 3. Настройка мобильного клиента и туннеля IPsec

Для поддержки мобильных клиентов IPsec необходимо выполнить следующие действия:

  1. Перейти в подраздел настроек мобильных клиентов IPsec («VPN» - «IPsec» - «Мобильные клиенты») (см. Рисунок – Настройка мобильного клиента IPsec).

../../../_images/fw.rp.21.2.1.3.1.png

Рисунок – Настройка мобильного клиента IPsec

  1. Указать следующие настройки:

  • «Включить» – флажок установлен;

  • «Сервер для аутентификации» – «Локальная база данных»;

  • «Пул виртуальных IPv4-адресов» – флажок установлен и указано значение «10.0.8.0/24».

  1. Остальные параметры оставить по умолчанию и нажать кнопку «Сохранить». Появится предупреждение о необходимости создания фазы 1 (см. Рисунок – Предупреждение о необходимости создания фазы 1).

../../../_images/fw.rp.21.2.1.3.2.png

Рисунок – Предупреждение о необходимости создания фазы 1

  1. Нажать кнопку «Создайте Phase1» и указать следующие настройки в открывшейся форме (см. Рисунок – Настройка фазы 1):

  • «Метод аутентификации» – «EAP-MSCHAPV2»;

  • «Мой идентификатор» – «Уникальное имя», «192.168.2.1»;

  • «Алгоритм шифрования» – «AES, 256»;

  • «Группа ключей DH» – «2 (1024 bits), 14 (2048 bits)».

../../../_images/fw.rp.21.2.1.3.3.png

Рисунок – Настройка фазы 1

  1. Остальные параметры оставить по умолчанию и нажать кнопку «Сохранить», а затем кнопку «Применить изменения».

  2. Для созданной записи нажать кнопку «bttn.plus» (см. Рисунок – Добавление записи фазы 2) для добавления записи фазы 2.

../../../_images/fw.rp.21.2.1.3.4.png

Рисунок – Добавление записи фазы 2

  1. Указать следующие настройки в открывшейся форме (см. Рисунок – Настройка фазы 2):

  • «Алгоритмы шифрования» – флажки установлены на значениях «AES» и «3DES»;

  • «Алгоритмы хеша» – «SHA1».

../../../_images/fw.rp.21.2.1.3.5.png

Рисунок – Настройка фазы 2

  1. Остальные параметры оставить по умолчанию и нажать кнопку «Сохранить», а затем кнопку «Применить изменения».

  2. Установить флажок для параметра «Включить IPsec» и нажать кнопку «Сохранить».

Шаг 4. Добавление ключа IPsec

Для добавления ключа IPsec необходимо выполнить следующие действия:

  1. Перейти в подраздел предварительно выданных ключей («VPN» - «IPsec» - «Предварительно выданные ключи») и нажать кнопку «+Добавить».

  2. Указать следующие настройки в открывшейся форме (см. Рисунок – Добавление ключа IPsec):

  • «Идентификатор» – «User»;

  • «Предварительно выданный ключ» – «123»;

  • «Тип» – «EAP».

../../../_images/fw.rp.21.2.1.4.1.png

Рисунок – Добавление ключа IPsec

  1. Нажать кнопку «Сохранить», а затем кнопку «Применить изменения».

Шаг 5. Импорт сертификата клиенту

Перед началом импорта необходимо создать оснастку для работы с сертификатами, в качестве примера будет использоваться ОС «Windows».

Порядок создания оснастки для работы с сертификатами на ПК «Client» необходимо выполнить следующие действия:

  1. Нажать комбинацию клавиш «Win+R» и в появившемся меню «Выполнить» ввести «mmc» и нажать клавишу «Enter» для запуска консоли управления.

  2. В меню «Файл» открывшейся консоли управления выбрать «Добавить или удалить оснастку…».

  3. В открывшейся форме добавления и удаления оснасток из столбца «Доступные оснастки» выбрать «Сертификаты» и нажать «+Добавить».

  4. На первом шаге открывшейся оснастки выбрать значение «Учетной записи компьютера» и нажать кнопку «Далее», в следующем шаге выбрать значение «Локальным компьютером» и нажать кнопку «Готово».

  5. Нажать кнопку «ОК» в форме добавления и удаления оснасток (см. Рисунок – Создание оснастки для работы с сертификатами на ПК «Client»).

../../../_images/fw.rp.21.2.1.5.1.png

Рисунок – Создание оснастки для работы с сертификатами на ПК «Client»

  1. При необходимости сохранить консоль – выбрать значение «Сохранить» или «Сохранить как» меню «Файл». Рекомендуемое имя «armacertmngr».

Для импорта сертификата, экспортированного на шаге 1 (см. Шаг 1. Создание внутреннего центра сертификации), необходимо выполнить следующие действия:

  1. В оснастке для работы с сертификатами перейти в иерархии по пути:

  • «Сертификаты (локальный компьютер)» - «Доверенные корневые центры сертификации» - «Сертификаты».

  1. В меню «Действие» консоли управления выбрать «Все задачи», а затем «Импорт».

  2. Следовать указаниям мастера импорта сертификатов, выбрав сертификат, экспортированный на шаге 1 (см. Шаг 1. Создание внутреннего центра сертификации).

Шаг 6. Настройка нового сетевого подключения.

В качестве примера настройки нового сетевого подключения будет использоваться создание и настройка подключения в ОС «Windows».

Для создания и настройки VPN подключения на ПК «Client» необходимо выполнить следующие действия:

  1. Перейти в «Панель управления», установить режим просмотра «Мелкие значки», выбрать раздел «Центр управления сетями и общим доступом» и нажать «Создание и настройка нового подключения или сети».

  2. В открывшемся мастере выбрать «Подключение к рабочему месту» и нажать кнопку «Далее».

  3. На следующем шаге выбрать «Использовать мое подключение к интернету (VPN)», а в следующем шаге задать настройки подключения (см. Рисунок – Настройка нового сетевого подключения):

  • «Адрес в Интернете» – «192.168.2.1»;

  • «Имя объекта назначения» – «VPN-подключение»;

и нажать кнопку «Создать».

../../../_images/fw.rp.21.2.1.6.1.png

Рисунок – Настройка нового сетевого подключения

  1. Перейти в «Панель управления», установить режим просмотра «Мелкие значки», выбрать раздел «Центр управления сетями и общим доступом».

  2. Выбрать «Изменение параметров адаптера», нажать правой кнопкой мыши на созданное ранее подключение «VPN-подключение» и выбрать «Свойства».

  3. Перейти во вкладку «Безопасность» (см. Рисунок – Настройка параметров сетевого подключения) и указать следующие параметры:

  • «Тип VPN» – «IKEv2»;

  • «Шифрование данных» – «обязательное (отключиться, если нет шифрования)»;

  • «Проверка подлинности» – флажок установлен «Microsoft: защищённый пароль (EAP-MSCHAP v2) (шифрование включено)»;

и нажать кнопку «OK».

../../../_images/fw.rp.21.2.1.6.2.png

Рисунок – Настройка параметров сетевого подключения

Для подключения VPN соединения необходимо нажать правой кнопкой мыши на созданное ранее подключение «VPN-подключение» и выбрать «Подключить». Ввести аутентификационные данные, созданные на шаге 4 (см. Шаг 4. Добавление ключа IPsec) и нажать кнопку «OK» для подключения.

Проверка подключения

Для проверки успешного подключения необходимо убедиться в соответствующих записях в следующих подразделах:

  1. Статуса аренды адресов («VPN» - «IPsec» - «Статус аренды адресов») (см. Рисунок – «VPN» - «IPsec» - «Статус аренды адресов»).

../../../_images/fw.rp.21.2.1.7.1.png

Рисунок – «VPN» - «IPsec» - «Статус аренды адресов»

  1. Базы данных безопасных ассоциаций («VPN» - «IPsec» - «База данных безопасных ассоциаций (SAD)») (см. Рисунок – «VPN» - «IPsec» - «База данных безопасных ассоциаций (SAD)»).

../../../_images/fw.rp.21.2.1.7.2.png

Рисунок – «VPN» - «IPsec» - «База данных безопасных ассоциаций (SAD)»

  1. Базы данных политик безопасности («VPN» - «IPsec» - «База данных политик безопасности (SPD)») (см. Рисунок – «VPN» - «IPsec» - «База данных политик безопасности (SPD)»).

../../../_images/fw.rp.21.2.1.7.3.png

Рисунок – «VPN» - «IPsec» - «База данных политик безопасности (SPD)»

Настройка IPsec в режиме «сеть - сеть»

В качестве примера настройки IPsec в режиме «сеть - сеть», используется схема стенда, представленная на рисунке (см. Рисунок – Схема стенда для настройки IPsec в режиме «сеть - сеть»).

../../../_images/fw.rp.21.2.2.1.png

Рисунок – Схема стенда для настройки IPsec в режиме «сеть - сеть»

Для настройки IPsec в режиме «сеть - сеть» необходимо выполнить следующие шаги:

  1. Добавить ключ IPsec.

  2. Настроить туннель IPsec на ARMA FW1.

  3. Настроить туннель IPsec на ARMA FW2.

Примечание

В случае необходимости, при настройке записи фазы 2, в режимах «Туннель IPv4» или «Туннель IPv6», в блоке настроек «Общая информация» возможно выбрать протокол, трафик по которому будет направлен в туннель. При выборе протоколов «TCP» или «UDP» и типа сети «Адрес» или «Сеть» в блоках настроек «Локальная сеть» и «Удаленная сеть» дополнительно появятся параметры «Диапазон портов источника» и «Диапазон портов назначения» соответственно.

Примечание

В случае перезагрузки одного из ARMA FW автоматически осуществится перезапуск IPsec на обоих ARMA FW для дальнейшей корректной работы.

Шаг 1. Добавление ключа IPsec

Для добавления ключа IPsec необходимо выполнить следующие действия:

  1. На ПК «Server» в веб-интерфейсе ARMA FW1 перейти в подраздел предварительно выданных ключей («VPN» - «IPsec» - «Предварительно выданные ключи») и нажать кнопку «+Добавить».

  2. В открывшейся форме (см. Рисунок – Добавление ключа IPsec) указать следующие параметры:

  • «Идентификатор» – «ANY»;

  • «Предварительно выданный ключ» – «12345»;

  • «Тип» – «PSK».

../../../_images/fw.rp.21.2.2.1.1.png

Рисунок – Добавление ключа IPsec

  1. Нажать кнопку «Сохранить», а затем кнопку «Применить изменения».

Параметры созданного ключа необходимо будет указать при настройке туннеля IPsec на ARMA FW1 и ARMA FW2.

Шаг 2. Настройка туннеля IPsec на ARMA FW1

Для настройки туннеля IPsec ARMA FW1 необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки туннелей IPsec («VPN» - «IPsec» - «Настройки туннеля») и нажать кнопку «bttn.plus» для создания фазы 1.

  2. Указать следующие настройки в открывшейся форме (см. Рисунок – Настройка фазы 1 на ARMA FW1):

  • «Удалённый шлюз» – IP-адрес WAN интерфейса ARMA FW2, в примере «95.25.139.72»;

  • «Описание» – «peer 1»;

  • «Предварительно выданный ключ» – «12345»;

  • «Алгоритм шифрования» – «AES, 256»;

  • «Группа ключей DH» – «14 (2048 bits)»;

  • «Отключить MOBIKE» – флажок установлен;

  • «Обнаружение недоступных пиров» – флажок установлен.

../../../_images/fw.rp.21.2.2.2.1.png

Рисунок – Настройка фазы 1 на ARMA FW1

  1. Остальные параметры оставить по умолчанию и нажать кнопку «Сохранить», а затем кнопку «Применить изменения».

  2. Для созданной записи нажать кнопку «bttn.plus» (см. Рисунок – Добавление записи фазы 2 на ARMA FW1) для добавления записи фазы 2.

../../../_images/fw.rp.21.2.2.2.2.png

Рисунок – Добавление записи фазы 2 на ARMA FW1

  1. Указать следующие настройки в открывшейся форме (см. Рисунок – Настройка фазы 2 на ARMA FW1):

  • «Описание» – «peer 1»;

  • «Адрес» (Удаленная сеть) – адрес локальной сети ARMA FW2, в примере «192.168.2.0», «24»;

  • «Алгоритмы шифрования» – флажок установлен для значения «aes256gcm16»;

  • «Алгоритмы хеша» – «SHA1»;

  • «Автоматически пингуйте хост» – IP-адрес LAN интерфейса ARMA FW2, в примере «192.168.2.1».

../../../_images/fw.rp.21.2.2.2.3.png

Рисунок – Настройка фазы 2 на ARMA FW1

Примечание

В случае необходимости дополнительной настройки политик трафика, проходящего через интерфейс IPsec, следует ввести IP-адрес в формате CIDR в поле параметра «Ручные записи SPD».

  1. Остальные параметры оставить по умолчанию и нажать кнопку «Сохранить», а затем кнопку «Применить изменения».

  2. Установить флажок для параметра «Включить IPsec» и нажать кнопку «Сохранить».

Для разрешения прохождения трафика в сеть LAN необходимо создать разрешающее правило МЭ (см. Создание правил межсетевого экранирования) для интерфейса «[IPsec]», выбрав в параметре «IP-адрес назначения» «LAN-сеть».

Шаг 3. Настройка туннеля IPsec на ARMA FW2

Для настройки туннеля IPsec ARMA FW2 необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки туннелей IPsec («VPN» - «IPsec» - «Настройки туннеля») и нажать кнопку «bttn.plus» для создания фазы 1.

  2. Указать следующие настройки в открывшейся форме (см. Рисунок – Настройка фазы 1 на ARMA FW1):

  • «Удалённый шлюз» – IP-адрес WAN интерфейса ARMA FW1, в примере «85.175.16.192»;

  • «Описание» – «peer 2»;

  • «Предварительно выданный ключ» – «12345»;

  • «Алгоритм шифрования» – «AES, 256»;

  • «Группа ключей DH» – «14 (2048 bits)»;

  • «Отключить MOBIKE» – флажок установлен;

  • «Обнаружение недоступных пиров» – флажок установлен.

  1. Остальные параметры оставить по умолчанию и нажать кнопку «Сохранить», а затем кнопку «Применить изменения».

  2. Для созданной записи нажать кнопку «bttn.plus» для добавления записи фазы 2.

  3. Указать следующие настройки в открывшейся форме:

  • «Описание» – «peer 2»;

  • «Адрес» (Удаленная сеть) – IP-адрес локальной сети ARMA FW1, в примере «192.168.1.0», «24»;

  • «Алгоритмы шифрования» – флажок установлен для значения «aes256gcm16»;

  • «Алгоритмы хеша» – «SHA1»;

  • «Автоматически пингуйте хост» – IP-адрес LAN интерфейса ARMA FW1, в примере «192.168.1.1».

  1. Остальные параметры оставить по умолчанию и нажать кнопку «Сохранить», а затем кнопку «Применить изменения».

  2. Установить флажок для параметра «Включить IPsec» и нажать кнопку «Сохранить».

Для разрешения прохождения трафика в сеть LAN необходимо создать разрешающее правило МЭ (см. Создание правил межсетевого экранирования) для интерфейса «[IPsec]», выбрав в параметре «IP-адрес назначения» «LAN-сеть».

Проверка подключения

Для проверки работоспособности подключения необходимо на одном из ARMA FW перейти в подраздел статуса IPsec («VPN» - «IPsec» - «Информация о статусе») и убедиться в наличии активного соединения (см. Рисунок – Информация о статусе IPsec VPN).

../../../_images/fw.rp.21.2.2.4.1.png

Рисунок – Информация о статусе IPsec VPN

Клонирование фазы IPsec

ARMA FW поддерживает возможность клонирования фазы IPsec.

Для клонирования какой-либо фазы IPsec необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки туннелей IPsec («VPN» - «IPsec» - «Настройки туннеля») и нажать кнопку «bttn.copy» напротив фазы, которую требуется клонировать.

  2. При необходимости изменить параметры на открывшейся странице редактирования клонированной фазы.

  3. Нажать кнопку «Сохранить», а затем кнопку «Применить изменения».

Для одновременного клонирования фаз 1 и 2 следует выполнить следующие действия:

  1. Инициировать процесс клонирования фазы 1 (см. Рисунок – Клонирование фазы 1).

../../../_images/fw.rp.21.2.3.1.png

Рисунок – Клонирование фазы 1

  1. Установить флажок для параметра «Скопировать phase2» на открывшейся странице редактирования клонированной фазы 1 (см. Рисунок – Клонирование фаз 1 и 2).

../../../_images/fw.rp.21.2.3.2.png

Рисунок – Клонирование фаз 1 и 2

  1. Нажать кнопку «Сохранить», а затем кнопку «Применить изменения».

Примечание

Появляющаяся фаза 2 после одновременного клонирования фаз будет неактивна (см. Рисунок – Фазы IPsec). Для активации необходимо нажать кнопку «bttn.run2.ipsec».

../../../_images/fw.rp.21.2.3.3.png

Рисунок – Фазы IPsec

ГОСТ VPN

ГОСТ VPN – это реализация OpenVPN, с применением алгоритмов шифрования, соответствующих ГОСТ и криптографических средств, прошедших процедуру оценки соответствия в ФСБ России.

ARMA FW поддерживает работу ГОСТ VPN в режимах «сеть - сеть» и «узел - сеть» с режимом работы устройства «tun» с настройками режима сервера, представленными в таблице (см. Таблица «Режимы работы сервера ГОСТ VPN»).

Таблица «Режимы работы сервера ГОСТ VPN»

Соединение «сеть - сеть»

Соединение «узел - сеть»

Пиринговая сеть (SSL/TLS)

Удаленный доступ (SSL/TLS)

Удаленный доступ (аутентификация пользователя)

Удаленный доступ (SSL/TLS+аутентификация пользователя)

Перед настройкой режимов подключения необходимо выполнить установку лицензии ГОСТ VPN.

Примечание

Лицензия ГОСТ VPN не входит в комплект поставки ARMA FW. Для использования функциональности необходимо приобрести лицензию «OpenVPN-ГОСТ» у вендора или дистрибьюторов.

Информация о лицензии ГОСТ VPN

Установка и обновление лицензии ГОСТ VPN доступны только с доступом в Интернет. Лицензия продукта должна быть в виде текстового ключа, например:

  • «2JXC-4P5T-PAAH-NPFP».

Для ГОСТ VPN существуют следующие типы лицензии:

  • центрального шлюза – позволяет настроить ARMA FW сервером, генерировать ключи и сертификаты;

  • шлюза филиала – позволяет подключиться к центральному шлюзу и обеспечить защищённый канал с ним;

  • отдельного компьютера – позволяет отдельному устройству подключиться к центральному шлюзу по зашифрованному каналу.

Для работы ГОСТ VPN в режиме «сеть - сеть» необходимо использовать следующие типы лицензии:

  • центрального шлюза в качестве серверной лицензии – на ARMA FW, выполняющем роль сервера;

  • шлюза филиала в качестве клиентской лицензии – на ARMA FW, выполняющем роль клиента.

Для работы ГОСТ VPN в режиме «узел - сеть» на ARMA FW, выполняющем роль сервера, необходимо использовать лицензию центрального шлюза в качестве серверной лицензии.

Установка или обновление лицензии ГОСТ VPN

Установка или обновление лицензии ГОСТ VPN осуществляется с помощью скрипта «openvpn-gost.sh».

Перед первой установкой лицензии необходимо сформировать файл инициализации ДСЧ. Для этого необходимо выполнить следующие действия:

  1. Произвести аутентификацию в локальном консольном интерфейсе.

  2. Нажать клавишу «8», а затем клавишу «Enter» на клавиатуре для выбора пункта меню «Shell».

    Для выведения справочной информации о доступных ключах к скрипту (см. Рисунок – Справочная информация) ввести команду «openvpn-gost.sh -h».

../../../_images/fw.rp.21.3.2.1.png

Рисунок – Справочная информация

  1. В запущенной командной строке ввести команду:

    openvpn-gost.sh -i

    и нажать клавишу «Enter» для смены кодировки и корректного отображения выводимой информации и для запуска формирования файла инициализации программного ДСЧ. При обновлении лицензии запуск формирования файла инициализации программного ДСЧ не используется.

  2. Последовательно нажимать на клавиатуре клавиши, соответствующие указанным в консоли символам (см. Рисунок – Запись файла инициализации ДСЧ). При правильном вводе будет произведена запись файла инициализации ДСЧ.

../../../_images/fw.rp.21.3.2.2.png

Рисунок – Запись файла инициализации ДСЧ

Для установки или обновления лицензии необходимо выполнить следующие действия:

  1. Произвести аутентификацию в локальном консольном интерфейсе.

  2. Нажать клавишу «8», а затем клавишу «Enter» на клавиатуре для выбора пункта меню «Shell».

  3. Запустить процесс получения требуемой лицензии:

  • для серверной лицензии ввести команду:

    openvpn-gost.sh -s 4PJ2-DK5Y-ABTE-6T3W

где «4PJ2-DK5Y-ABTE-6T3W» ключ лицензии для центрального шлюза, указан справочно;

  • для клиентской лицензии ввести команду:

    openvpn-gost.sh -c B9PZ-E7K8-3PC1-YGSE

где «B9PZ-E7K8-3PC1-YGSE» ключ лицензии для шлюза филиала, указан справочно;

и нажать клавишу «Enter».

  1. В случае успешного получения лицензии будет выведено сообщение:

  • для серверной лицензии:

    • «Получен файл лицензии. Лицензия успешно сохранена в файл /opt/cryptopack4/ssl/cryptocom_server.lic»;

  • для клиентской лицензии:

    • «Получен файл лицензии. Лицензия успешно сохранена в файл /opt/cryptopack4/ssl/cryptocom_client.lic».

Особенности настройки подключения ГОСТ VPN

При настройке подключения ГОСТ VPN необходимо придерживаться следующих криптографических установок:

  • в режиме сервера «Пиринговая сеть (SSL/TLS)»:

    • «Алгоритм шифрования» – «magma-mgm (256 bit key, 64 bit blocks, TLS client/server mode only)»;

    • «Дайджест-алгоритм аутентификации» – «md_gost12_256 (256-bit)»; «md_gost12_512 (512-bit)»; «magma-mac(64-bit)»;

  • в режимах сервера «Удаленный доступ (SSL/TLS)», «Удаленный доступ (аутентификация пользователя)», «Удаленный доступ (SSL/TLS+аутентификация пользователя)»:

    • «Алгоритм шифрования» – «magma-ctr (256 bit key, 64 bit blocks, TLS client/server mode only)»; «magma-mgm (256 bit key, 64 bit block, TLS client/server mode only)»;

    • «Дайджест-алгоритм аутентификации» – «md_gost12_256 (256-bit)»; «md_gost12_512 (512-bit)»; «magma-mac(64-bit)».

Настройка ГОСТ VPN в режиме «сеть ‒ сеть»

В качестве примера приведено описание настройки ГОСТ VPN в режиме «сеть ‒ сеть» без аутентификации TLS с использованием схемы стенда, представленной на рисунке (см. Рисунок – Схема стенда для настройки OpenVPN в режиме «сеть - сеть»).

Для настройки ГОСТ VPN в режиме «сеть – сеть» необходимо выполнить следующие шаги:

  1. Создать доверенный центр сертификации ГОСТ на ARMA FW1. Экспортировать сертификат и секретный ключ для созданного центра сертификации.

  2. Создать сертификаты сервера и клиента ГОСТ на ARMA FW1. Экспортировать пользовательские сертификат и ключ, созданного сертификата клиента.

  3. Настроить сервер ГОСТ VPN на ARMA FW1.

  4. Настроить правила МЭ на ARMA FW1.

  5. Импортировать созданный центр сертификации на ARMA FW2.

  6. Импортировать сертификат клиента ГОСТ на ARMA FW2.

  7. Настроить клиент ГОСТ VPN на ARMA FW2.

  8. Настроить правила МЭ на ARMA FW2.

Настройка ARMA FW1

Создание доверенного центра сертификации ГОСТ

Для создания доверенного центра сертификации необходимо выполнить следующие действия:

  1. Перейти в подраздел полномочий («Система» - «Доверенные сертификаты» - «Полномочия»).

  2. Нажать кнопку «+Добавить».

  3. В открывшейся форме указать параметры из таблицы (см. Таблица «Значение параметров центра сертификации ГОСТ»). Не указанные параметры оставить по умолчанию.

Таблица «Значение параметров центра сертификации ГОСТ»

Параметр

Значение

Описательное имя

GOST CA

Метод

Создать внутренний центр сертификации по ГОСТ

Код страны

RU (Russia)

Область

Moscow

Город

Moscow

Организация

InfoWatch

Email адрес

admin@infowatch.ru

Стандартное имя

GOST CA

Параметры «Описательное имя», «Код страны», «Область», «Город», «Организация», «Email адрес», «Стандартное имя» указаны справочно.

  1. Нажать кнопку «Сохранить».

  2. Нажать кнопки напротив сертификата (см. Рисунок – Экспорт сертификата CA), для экспорта:

  • «bttn.save» – сертификата CA (1);

  • «bttn.save» – ключа сертификата CA (2).

../../../_images/fw.rp.21.3.4.1.1.1.png

Рисунок – Экспорт сертификата CA

Просмотр и копирование содержимого экспортированных файлов возможны с помощью текстового редактора, например «Notepad++».

Создание сертификатов ГОСТ

Для создания сертификатов сервера и клиента ГОСТ необходимо выполнить следующие действия:

  1. Перейти в подраздел сертификатов («Система» - «Доверенные сертификаты» - «Сертификаты»).

  2. Нажать кнопку «+Добавить».

  3. В открывшейся форме указать параметры для создания сервера и нажать кнопку «Сохранить». Не указанные параметры оставить по умолчанию.

Примечание

Возможность создания внутреннего сертификата ГОСТ доступна только при активной лицензии ГОСТ VPN.

Значения параметров сертификатов сервера ГОСТ:

  • «Метод» – «Создать внутренний сертификат по ГОСТ»;

  • «Описательное имя» – «GOST-server»;

  • «Центр сертификации» – «GOST CA»;

  • «Тип» – Сертификат сервера;

  • «Время существования (дни)» – «365»;

  • «Стандартное имя» – «GOST-server».

  1. Нажать кнопку «+Добавить».

  2. В открывшейся форме для создания сертификата клиента указать параметры из списка ниже и нажать кнопку «Сохранить». Не указанные параметры оставить по умолчанию.

Значения параметров сертификатов клиента ГОСТ:

  • «Метод» – «Создать внутренний сертификат по ГОСТ»;

  • «Описательное имя» – «GOST-client»;

  • «Центр сертификации» – «GOST CA»;

  • «Тип» – Сертификат клиента;

  • «Время существования (дни)» – «365»;

  • «Стандартное имя» – «GOST-client».

  1. Нажать кнопки напротив сертификата клиента (см. Рисунок – Экспорт сертификата клиента), для экспорта:

  • «bttn.save» – пользовательского сертификата (1);

  • «bttn.save» – пользовательского ключа сертификата (2).

../../../_images/fw.rp.21.3.4.1.2.1.png

Рисунок – Экспорт сертификата клиента

Просмотр и копирование содержимого экспортированных файлов возможны с помощью текстового редактора, например «Notepad++».

Настройка сервера ГОСТ VPN

Для настройки сервера ГОСТ VPN необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки серверов («VPN» - «OpenVPN» - «Серверы»).

  2. Нажать кнопку «+Добавить».

  3. В открывшейся форме указать параметры для сервера из списка ниже и нажать кнопку «Сохранить». Не указанные параметры оставить по умолчанию.

Значения параметров для сервера ГОСТ VPN:

  • «Тип» – «GostVPN»;

  • «Описание» – «GOST-server»;

  • «Режим сервера» – «Пиринговая сеть (SSL/TLS)»;

  • «Интерфейс» – «WAN»;

  • «Локальный порт» – «1194»;

  • «Аутентификация TLS» – Флажок не установлен;

  • «Центр сертификации пиров» – «GOST CA»;

  • «Сертификат сервера» – «GOST-server (GOST CA)»;

  • «Алгоритм шифрования» – «magma-mgm (256 bit key, 64 bit blocks, TLS client/server mode only)»;

  • «Дайджест-алгоритм аутентификации» – «md_gost12_256 (256-bit)»;

  • «Туннельная сеть IPv4» – «10.10.0.0/24»;

  • «Локальная сеть IPv4» – «192.168.0.0/24»;

  • «Удаленная сеть IPv4» – «192.168.1.0/24»;

  • «Уровень детальности сообщений» – «3 (рекомендуется)»;

  • «Принудительно принимать логин из переопределенных значений клиента» – Флажок установлен.

Переопределение значений клиентов

Для режима сервера «Пиринговая сеть (SSL/TLS)» необходимо выполнить следующие настройки:

  1. Перейти в настройки переопределения значений клиентов OpenVPN («VPN» - «OpenVPN» - «Переопределение значений для конкретного клиента») и нажать кнопку «+Добавить».

  2. В открывшейся форме указать значения параметров:

  • «Серверы» – используемый сервер ГОСТ VPN;

  • «Стандартное имя» – имя сертификата клиента (см. Рисунок – Имя сертификата клиента);

  • «Туннельная сеть IPv4» – «10.10.0.0/24»;

  • «Удаленная сеть IPv4» – «192.168.1.0/24».

../../../_images/fw.rp.21.3.4.1.4.1.png

Рисунок – Имя сертификата клиента

Примечание

При включённой аутентификации TLS в поле «Стандартное имя» следует указать «Root».

  1. Нажать кнопку «Сохранить».

Настройка правил МЭ

Для корректной работы VPN-туннеля необходимо настроить правила МЭ с параметрами, указанными в списке ниже. Не указанные в списке параметры оставить по умолчанию.

Создание правил МЭ описано в разделе Создание правил межсетевого экранирования настоящего руководства.

  • ARMA FW1 (правило №1):

    • «Интерфейс» – «[WAN]»;

    • «Действие» – «Разрешить (Pass)»;

    • «Быстрая проверка» – «Включено»;

    • «Версии TCP/IP» – «IPv4»;

    • «Протокол» – «UDP»;

    • «IP-адрес назначения» – «Любой»;

    • «Диапазон портов назначения» – «OpenVPN»;

    • «Описание» – «Allow VPN»;

  • ARMA FW1 (правило №2):

    • «Интерфейс» – «[OpenVPN]»;

    • «Действие» – «Разрешить (Pass)»;

    • «Быстрая проверка» – «Включено»;

    • «Версии TCP/IP» – «IPv4»;

    • «Протокол» – «Любой»;

    • «Отправитель» – «LAN сеть»;

    • «Диапазон портов назначения» – «Любой»;

    • «Описание» – «Allow VPN Traffic»;

  • ARMA FW2:

    • «Интерфейс» – «[OpenVPN]»;

    • «Действие» – «Разрешить (Pass)»;

    • «Быстрая проверка» – «Включено»;

    • «Версии TCP/IP» – «IPv4»;

    • «Протокол» – «Любой»;

    • «Отправитель» – «LAN сеть»;

    • «Диапазон портов назначения» – «Любой»;

    • «Описание» – «Allow VPN Traffic».

Настройка ARMA FW2

Импорт центра сертификации

Для импорта центра сертификации ГОСТ необходимо выполнить следующие действия:

  1. Перейти в подраздел полномочий («Система» - «Доверенные сертификаты» - «Полномочия»).

  2. Нажать кнопку «+Добавить».

  3. В открывшейся форме (см. Рисунок – Импорт сертификата CA) указать значения параметров:

  • «Описательное имя» – «GOST CA», должно совпадать с именем созданного центра сертификации (см. Создание доверенного центра сертификации ГОСТ);

  • «Метод» – «Импортировать существующий центр сертификации по ГОСТ»;

  • «Данные сертификата» – скопированное значение из экспортированного файла сертификата СА (см. Создание доверенного центра сертификации ГОСТ);

  • «Секретный ключ сертификата (необязательно)» – скопированное значение из экспортированного файла секретного ключа СА.

../../../_images/fw.rp.21.3.4.2.4.1.1.png

Рисунок – Импорт сертификата CA

  1. Нажать кнопку «Сохранить».

Импорт сертификата клиента

Для импорта сертификата клиента ГОСТ необходимо выполнить следующие действия:

  1. Перейти в подраздел полномочий («Система» - «Доверенные сертификаты» - «Сертификаты»).

  2. Нажать кнопку «+Добавить».

  3. В открывшейся форме указать значения параметров:

  • «Описательное имя» – «GOST-client»;

  • «Метод» – «Импортировать существующий сертификат по ГОСТ»;

  • «Данные сертификата» – скопированное значение из экспортированного файла сертификата клиента (см. Создание сертификатов ГОСТ);

  • «Данные секретного ключа» – скопированное значение из экспортированного файла секретного ключа клиента.

  1. Нажать кнопку «Сохранить».

Настройка клиента ГОСТ VPN

Для настройки клиента ГОСТ VPN необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки клиентов («VPN» - «OpenVPN» - «Клиенты»).

  2. Нажать кнопку «+Добавить».

  3. В открывшейся форме указать параметры клиента из списка ниже. Не указанные параметры оставить по умолчанию.

Значения параметров для клиента ГОСТ VPN:

  • «Тип» – «GostVPN»;

  • «Описание» – «GOST-client»;

  • «Режим сервера» – «Пиринговая сеть (SSL/TLS)»;

  • «Интерфейс» – «WAN»;

  • «Удаленный сервер, Хост или адрес» – «IP-адрес WAN интерфейса ARMA FW1»;

  • «Удаленный сервер, Порт» – «1194»;

  • «Локальный порт» – «1194»;

  • «Аутентификация TLS» – Флажок не установлен;

  • «Центр сертификации пиров» – «GOST CA»;

  • «Сертификат клиента» – «GOST-client»;

  • «Алгоритм шифрования» – «magma-mgm (256 bit key, 64 bit blocks, TLS client/server mode only)»;

  • «Дайджест-алгоритм аутентификации» – «magma-mac(64-bit)»;

  • «Туннельная сеть» – «10.10.0.0/24»;

  • «Удаленная сеть» – «192.168.0.0/24»;

  • «Уровень детальности сообщений» – «3».

  1. Нажать кнопку «Сохранить».

Настройка правил МЭ

Для корректной работы VPN-туннеля необходимо настроить правила МЭ с параметрами, указанными в Настройка правил МЭ. Не указанные параметры оставить по умолчанию.

После применения правил МЭ необходимо убедиться в работе канала, для этого на ARMA FW2 перейти в подраздел статусов соединения OpenVPN («VPN» - «OpenVPN» - «Статус соединения»), значение в столбце «Статус» должно быть «up».

Особенности настройки ГОСТ VPN в режиме «узел - сеть»

При настройке ГОСТ VPN в режиме «узел - сеть» следует придерживаться принципа настройки OpenVPN в аналогичном режиме (см. Раздел Настройка OpenVPN в режиме «узел - сеть») за исключением следующих действий:

  • создание доверенного центра сертификации – в подразделе полномочий («Система» - «Доверенные сертификаты» - «Полномочия») необходимо выбирать значение «Создать внутренний центр сертификации по ГОСТ» для параметра «Метод» в форме создания центра сертификации;

  • создание сертификата – в подразделе сертификатов («Система» - «Доверенные сертификаты» - «Сертификаты») необходимо выбирать значение «Создать внутренний сертификат по ГОСТ» для параметра «Метод» в форме создания сертификата;

  • настройка сервера – использовать криптографические установки указанные в разделе Особенности настройки подключения ГОСТ VPN.