MFA для VPN в UserGate NGFW: как поднять удаленный доступ для Windows и macOS
BogudanDan 28 минут назад MFA для VPN в UserGate NGFW: как поднять удаленный доступ для Windows и macOS 10 мин 1.6K Блог компании Бастион Информационная безопасность * Системное администрирование * Сетевые технологии *...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. BogudanDan 28 минут назад MFA для VPN в UserGate NGFW: как поднять удаленный доступ для Windows и macOS 10 мин 1. 6K Блог компании Бастион Информационная безопасность * Системное администрирование * Сетевые технологии * IT-инфраструктура * Туториал MFA для VPN в UserGate — штука полезная: никакого RADIUS, без дополнительных лицензий, всё — из коробки. Одна проблема: фирменный клиент есть только под Linux.
При этом еще далеко не все российские компании целиком перешли на отечественные ОС. Конечно, можно дождаться, пока вендор выпустит клиент под все платформы. Или можно взять L2TP/IPsec, штатные VPN-клиенты ОС, пару скриптов, немного покопаться в реестре Windows и собрать рабочее решение прямо сейчас.
Технические детали
Именно это мы сегодня и сделаем. Архитектура стендаДля начала соберем типовую схему, которая часто встречается в компаниях: UserGate последней стабильной версии (на момент написания статьи это 7. 390439R) в ней выступает пограничным устройством.
За ним находится внутренний сервер, к которому нужно организовать удаленный доступ. Пользователь подключается снаружи через канал, имитирующий интернет. IP-адресация такая:192.
10 — внешний интерфейс UserGate. В реальной среде здесь будет белый IP-адрес или серый адрес за NAT провайдерского роутера. 0/24 — виртуальная подсеть, из которой VPN-клиенты получают адреса при подключении.
Отраслевые последствия
0/24 — целевая внутренняя подсеть с защищенным сервером. Маршрут до нее мы будем отдавать авторизованному клиенту. В демонстрации я использую локальных пользователей, а не AD или LDAP, но на механику работы VPN это не влияет.
При использовании доменных учетных записей добавятся два дополнительных шага: интеграция с LDAP и настройка доменной авторизации на корпоративном портале. Однако настройка доменных политик — отдельная тема. В этой демонстрации оставим локальных пользователей и сконцентрируемся на том, как работает связка L2TP/IPsec и MFA.
Настройка серверной части NGFWRemote Access VPN со вторым фактором в UserGate работает через взаимодействие нескольких сущностей, которые нужно правильно связать между собой. Сетевые интерфейсы и маршрутизацияСначала определяем, через какой интерфейс будут приходить удаленные подключения и куда именно мы будем пускать пользователей после аутентификации. Для этого на внешнем интерфейсе (в нашем случае — 192.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
