VPN в Safe@Office Checkpoint
Posted on Апрель 12th, 2009 in Checkpoint | No Comments »
VPN в Safe@Office реализован в четырех вариантах:
1. SecuRemote VPN сервер удаленного доступа: Создание VPN сервера подключение к которому осуществляется посредством ПО Check Point SecuRemote VPN Client (распространяется бесплатно вместе с Safe@Office).
2. SecuRemote VPN сервер внутреннего доступа. Используется для создания зашифрованных соединений внутри локальной или корпоративной сети. Используется чаще всего в беспроводных (Wi-Fi) сетях или отделами в которых проходят особо критические информационные потоки.
3. L2TP VPN Сервер. Позволяет подключаться к VPN-серверу без установки на машину пользователя лишнего ПО. Подключение осуществляется посредством стандартного Microsoft L2TP IPSec VPN Client. На устройстве создается пользователь, и ключ для IPSec.
4. Site-to-Site VPN Gateway. Возможность создания постоянных шифрованных туннелей. Требуется когда необходимо обеспечить постоянное прозрачное сетевое взаимодействие между удаленными сетями (например филиалами компании) через сеть Интернет.
В данной статье приводится пример настройки VPN-сервера Safe@Office для использования стандартного клиента Windows L2TP IPSEC VPN при удаленном подключении к офисной сети.
1.Создание пользователя
В административной панели устройства переходим на вкладку Users. В данном разделе производится создание и управление пользователями. Создадим пользователя tester с паролем tester, нажимаем next. Далее нам предлагается выбрать уровень пользователя. Ставим галочку напротив строки VPN Remote Access, проверяем что бы Administrator Level был в статусе No Access. Жмем Finish. Создание пользователя закончено – его мы будем использовать для подключения к VPN
2. Настройка диапазона адресов раздаваемых подключившимся по VPN пользователям.
Переходим в раздел Network.
Жмем в графе OfficeMode ссылку edit. В открывшемся окне настраиваем ip адрес шлюза (он будет нашим шлюзом когда мы подключимся к рабочей сети), маску подсети, параметры DHCP сервера (можно оставить по умолчанию). Жмем Apply.
При таком подходе (использование шлюза во внутреннюю сеть) нам потребуется сервер WINS, или просто указывать не NetBIOS имя машины а ее ip адрес.
Как альтернатива, для более прозрачного стыкования VPN-клиентов и рабочей сети можно настроить мост, для этого надо нажать кнопку Add Bridge.
3. Переходим в раздел VPN. Отмечаем пункт L2TP. Вводим так называемый Preshared Secret – это ключ на основе которого будет производится IPSec шифрование трафика. Если клиенты доверенные и должны иметь полноценный доступ к сети можно отметить так же пункт Bypass default firewall policy. Это отключит фильтрацию пакетов для VPN-клиентов.
4.Создаем и настраиваем VPN-подключение на Windows машине.
Запускаем мастера новых соединений. В качестве сети указываем «Подключить к сети на рабочем месте», далее «Подключиться к частной сети VPN», далее вводим имя компании, ip-адрес шлюза (нашего устройства).
Теперь переходим к настройке созданного соединения. Так как нам надо ввести ключ для шифрования трафика (Preshared Secret). Для этого заходим в свойства созданного соединения и переходим на вкладку Безопасность (у меня Security см.рис)
Нажимаем кнопку IPSec Settings.
Вводим наш секретный ключ. Нажимаем ОК. Соединяемся.