IT-блог компании "ЛанКей"

Ни для кого не секрет, что VPN является наиболее распространенной технологией для удаленного доступа к ресурсам сети. Использование уже существующей инфраструктуры Интернета значительно снижает затраты компании, при этом, не подвергая риску безопасность передаваемой  по сети информации.

Традиционно организация удаленного доступа через VPN осуществляется с помощью клиентского программного обеспечения, которое требуется вручную установить на все компьютеры удаленных пользователей. Сотрудникам необходимо самим найти и установить нужное программное обеспечение, зачастую на эти действия затрачивается много рабочего времени, особенно если сотрудник является неопытным пользователем ПК. Для бизнеса, где велико число удаленных пользователей, такая ситуация неприемлема. С целью решения этой проблемы, вендоры(Cisco, Juniper) разработали решение, которое автоматически инициирует установку VPN клиента на компьютер пользователя через веб-браузер. На оборудовании Juniper таким решением является Dynamic VPN. Клиентская программа, устанавливаемая через Dynamic VPN на компьютеры пользователей – Juniper Networks Access Manager (JNAM).

В рассмотренном ниже примере описана настройка Dynamic VPN на межсетевом экране Juniper SRX100 с версией Junos 10.2R3.10. Интерфейс fe-0/0/0 – внешний интерфейс межсетевого экрана с ip адресом 81.94.41.236, fe-0/0/1 – внутренний интерфейс. Стоит отметить, что настройка различается для некоторых версий Junos.

Топология сети приведена на рисунке 1.

Рис. 1. Топология сети

Настройка Juniper Dynamic VPN для Junos версии 10.3 и ниже:

Шаг 1. Настройка доступа.
При подключении по Juniper Dynamic VPN требуется аутентификация пользователей. Для этого прописываем профили пользователей на межсетевом экране (вместо межсетевого экрана аутентификацию можно связать с сервером RADIUS, в этом примере RADIUS не используется). На межсетевом экране созданы 2 профиля: user1 и user2.

root# show access
profile user-auth-profile {
  client user1 {
    firewall-user {
      password «$9$U7DkmPfQ9A0k.Qn/AIR»; ## SECRET-DATA
    }
  }
  client user2 {
    firewall-user {
      password «$9$ruxlMLXx-24ZM8-wY4ji»; ## SECRET-DATA
    }
  }
}
firewall-authentication {
  web-authentication {
    default-profile user-auth-profile;
  }
}

Шаг 2. Настройка HTTPS
Необходимо включить HTTPS на внешнем интерфейсе(по умолчанию он включен только на внутренних интерфейсах), в противном случае пользователь не сможет подключиться через веб-браузер и пройти аутентификацию. Внешним интерфейсом служит fe-0/0/0. Важно: по умолчанию на внешнем интерфейсе стоит ограничение на входящий траффик. Это ограничение требуется изменить для успешного доступа по VPN(в примере нет ограничений на входящий траффик).

root# show system services web-management https
system-generated-certificate;
interface [ vlan.0 fe-0/0/0.0];

Шаг 3. Настройка IKE/IPSEC
Задаем параметры обоих фаз для установления IPsec туннеля. IKE шлюз и VPN должны быть прописаны для каждого пользователя. В нашем примере 2 пользователя, следовательно настраиваем 2 IKE шлюза. Важно: максимальное количество пользователей ограничено лицензией.

IKE(Phase1):

root# show security ike
traceoptions {                            //файл логов (создаем для отслеживания неполадок)
  file vpnike1 size 1m;
  flag all;
  flag ike;
  flag policy-manager;
  level 15;
}
proposal phase1-prop {
  authentication-method pre-shared-keys;
  dh-group group2;
  authentication-algorithm sha1;      //алгоритм хеширования
  encryption-algorithm 3des-cbc;    //алгоритм шифрования
}
policy ike-pol {
  mode aggressive;
  proposals phase1-prop;
  pre-shared-key ascii-text «$9$N5-w2g4JHqfwYJDiqzF»; ## SECRET-DATA
}
gateway dyn-gw-piter {
  ike-policy ike-pol;
  dynamic hostname piter;
  external-interface fe-0/0/0.0;
  xauth access-profile user-auth-profile; //при аутентификации используем созданный профиль user-auth-profile
}
gateway dyn-gw-moscow {
  ike-policy ike-pol;
  dynamic hostname moscow;
  external-interface fe-0/0/0.0;
  xauth access-profile user-auth-profile; //при аутентификации используем созданный профиль user-auth-profile
}

IKE(Phase2):

root# show security ipsec
proposal phase2-prop {
  protocol esp;
  authentication-algorithm hmac-sha1-96;
  encryption-algorithm 3des-cbc;
}
policy ipsec-pol {
  perfect-forward-secrecy {
    keys group2;
  }
  proposals phase2-prop;
}
vpn dynamic-vpn-piter {
  ike {
    gateway dyn-gw-piter;
    ipsec-policy ipsec-pol;
  }
}
vpn dynamic-vpn-moscow {
  ike {
    gateway dyn-gw-moscow;
    ipsec-policy ipsec-pol;
  }
}

Шаг 4. Настройка Dynamic VPN
На этом шаге настройки требуется прописать сети или хосты, доступ к которым осуществляется через VPN. В нашем случае это сеть 192.168.50.0/23. Другими словами траффик от пользователей user1 и user2 в сеть 192.168.50.0/23 будет зашифрован.

root# show security dynamic-vpn
access-profile user-auth-profile;      
clients {
  client1 {
    remote-protected-resources {
      192.168.50.0/23;
    }
    remote-exceptions {
      0.0.0.0/0;
    }

  ipsec-vpn dynamic-vpn-piter;
  user {
    user1;
  }
}
  client2 {
    remote-protected-resources {
      192.168.50.0/23;
    }
    remote-exceptions {
      0.0.0.0/0;
    }
    ipsec-vpn dynamic-vpn-moscow;
    user {
      user2;
    }
  }
}

Шаг 5. Настройка политики безопасности
Заключительный шаг представляет собой настройку политики доступа для входящего на внешний интерфейс траффика. Выбор политики безопасности происходит в зависимости от установленного VPN туннеля.

root# show security policies from-zone untrust to-zone trust
policy vpn-piter {
  match {
    source-address any;
    destination-address any;
    application any;
  }
  then {
    permit {
     tunnel {
      ipsec-vpn dynamic-vpn-piter;
     }
    }
  }
}
policy vpn-moscow {
  match {
    source-address any;
    destination-address any;
    application any;
  }
  then {
    permit {
     tunnel {
      ipsec-vpn dynamic-vpn-moscow;
     }
    }
  }
}

Шаг 6. Подключение удаленного пользователя
Настройка межсетевого экрана завершена, теперь протестируем Dynamic VPN. Запускаем браузер на клиентской машине и вводим адрес: https://81.94.41.236/dynamic-vpn. В качестве ip используем адрес внешнего интерфейса межсетевого экрана. Если все настроено верно, должна появиться следующая страница:

Вводим пару логин/пароль одного из прописанных на межсетевом экране пользователей. После аутентификации межсетевой экран определяет установлено ли клиентское программное обеспечение(Junpier Networks Access Manager), если ПО не установлено будет инициирована автоматическая загрузка JNAM(на клиентском компьютере должна быть установлена Java). По каким-то причинам загрузка не запустилась – есть возможность скачать JNAM по ссылке отображаемой на странице.

Придется подождать некоторое время пока программа загрузится и установится. После установки программы появится уведомление о принятии сертификата.

VPN туннель устанавливается как только пользователь примет сертификат и повторно введет пару логин/пароль.

Когда в поле status отображается “Connected”, можно смело заходить на внутренние ресурсы компании, не беспокоясь о безопасности соединения.