Создание подключения в Astra Linux

В статье описана настройка VPN-подключения по протоколам IKEv2/IPsec, L2TP/IPsec и PPTP.

Перед настройкой VPN-подключения перейдите на вкладку Пользователи -> VPN- подключения -> Доступ по VPN и создайте разрешающее VPN-подключение правило.

Настройка Ideco NGFW:

1. Перейдите на вкладку Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по IKEv2/IPsec и заполните поле Домен и IP-адрес:

3. Скачайте корневой сертификат Ideco NGFW на вкладке Сервисы -> Сертификаты -> Загруженные сертификаты в веб-интерфейсе NGFW или в личном кабинете пользователя по кнопке Скачать корневой сертификат.

Применение сертификатов:

Если сертификат для VPN-подключений издан NGFW, установите корневой сертификат NGFW на устройство пользователя.
Если для VPN-подключения используется сертификат, выданный Let`s Encrypt, то установка корневого сертификата на устройство не требуется.
Если используется сторонний сертификат (например, от коммерческих Certificate Authority), убедитесь, что домен указан в поле Subject Alternative Name (SAN). Загрузите сертификат как пользовательский в разделе Сервисы -> Сертификаты -> Загруженные сертификаты.

Создание подключения в Astra Linux:

1. Откройте терминал и установите необходимые пакеты, выполнив команды:

sudo apt install libcharon-extra-plugins
sudo apt install -y network-manager-strongswan libcharon-extra-plugins libstrongswan-extra-plugins

2. По окончании установки перезагрузите компьютер:

sudo reboot

3. В настройках сети выберите Соединения VPN -> Добавить VPN-соединение:

4. Выберите тип соединения IPsec/IKEv2 (strongswan) и нажмите Создать:

5. На вкладке VPN заполните поля:

Имя соединения - имя подключения;
Address - введите домен или IP-адрес, который указан в настройках Пользователи -> VPN-подключения -> Основное -> Подключение по IKEv2/IPsec;
Certificate - выберите корневой сертификат NGFW или оставьте поле пустым, если используется сертификат Let's Encrypt;
Authentication - рекомендуем выбрать EAP (Username/Password);
Username - логин пользователя, которому разрешено подключение по VPN;
Password - пароль пользователя. В правой части поля выберите вариант хранения для пароля от VPN-соединения.

Установите флаг Request an inner IP address и нажмите Добавить.

6. В настройках сети выберите Соединения VPN и установите флаг в строке с созданным соединением:

Проверить способы шифрования можно в конфигурации NGFW. Для этого откройте терминал NGFW и введите команду:

cat /run/ideco-ipsec-backend/strongswan/swanctl/conf.d/rw_ikev2.conf

для Phase1 Algorithm ищите значения proposals=;
для Phase2 Algorithms ищите значения esp_proposals=.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по PPTP:

Создание подключения в Astra Linux:

1. Откройте терминал и установите необходимые пакеты, выполнив команды:

sudo apt update
sudo apt install network-manager-pptp network-manager-pptp-gnome pptp-linux

2. По окончании установки перезагрузите компьютер:

sudo reboot

3. В настройках сети выберите Соединения VPN -> Добавить VPN-соединение:

4. Выберите тип соединения Туннельный протокол типа точка-точка (PPTP) и нажмите Создать:

5. На вкладке VPN заполните поля и нажмите Сохранить:

Имя соединения - имя подключения;
Шлюз - IP-адрес или домен внешнего интерфейса Ideco NGFW;
Имя пользователя - логин пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя. В правой части поля веберите вариант хранения для пароля от VPN-соединения;
NT-домен - оставьте поле пустым.

6. В настройках сети выберите Соединения VPN и установите флаг в строке с созданным соединением:

Настройка Ideco NGFW:

1. Перейдите на вкладку Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по L2TP/IPsec и скопируйте PSK-ключ:

Создание подключения в Astra Linux:

1. Откройте терминал и установите необходимые пакеты, выполнив команды:

sudo apt update
sudo apt install network-manager-l2tp-gnome

2. По окончании установки перезагрузите компьютер:

sudo reboot

3. В настройках сети выберите Соединения VPN -> Добавить VPN-соединение:

4. Выберите тип соединения Layer 2 Tunneling Protocol (L2TP) и нажмите Создать:

5. На вкладке VPN заполните поля:

Шлюз - IP-адрес или домен внешнего интерфейса Ideco NGFW;
Имя пользователя - логин пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя. В правой части поля выберите вариант хранения для пароля от VPN-соединения.

6. Нажмите Настройки IPsec.

7. Заполните поля:

Gateway ID - IP-адрес интерфейса, к которому осуществляется подключение;
Pre-shared key - PSK-ключ из настроек Ideco NGFW (Пользователи -> VPN-подключение -> Основное);
Phase1 Algorithm - aes256-sha512-modp2048,aes256-sha512-modp1024,aes256-sha1-ecp256,aes256-sha1-modp2048,aes256-sha1-modp1024!; *
Phase2 Algorithms - aes256-sha512-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha1-modp2048,aes256-sha512-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128-sha1-modp1024,aes256-sha512,aes256-sha256,aes256-sha1,aes128-sha1!.*

* Обязательно поставьте восклицательный знак в конце строки.

Так как Astra Linux по умолчанию запрашивает не самые защищенные алгоритмы, рекомендуем заполнить поля Phase1 Algorithm и Phase2 Algorithms самостоятельно.

8. При необходимости перейдите в Настройки РРР и настройте разделы Аутентификация, Шифрование и сжатие, Прочее:

9. Нажмите OК, затем Сохранить.

Далее в настройках сети Соединения VPN появится VPN-подключение. Для активации включите опцию VPN-соединение: