Создание VPN-подключения в Fedora

Инструкция актуальна для Fedora 40.

Перед настройкой VPN-подключения перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте разрешающее VPN-подключение правило.

Не рекомендуем использовать для VPN-подключений кириллические логины.

Перед настройкой подключения загрузите на устройство корневой сертификат Ideco NGFW (включая всю цепочку доверия) или ISRG_ROOT_X1 сертификат при использовании сертификата Let`s encrypt.

Файл сертификата должен находится в общедоступном каталоге.

Если загрузить корневой сертификата NGFW (включая всю цепочку доверия) в каталог /etc/strongswan/ipsec.d/cacerts, то не потребуется указывать сертификат при настройке подключения.

Если в системе уже имеется сертификат ISRG_ROOT_X1, то загружать его отдельно не требуется.

При настройке подключения в Fedora 40 не требуется загружать сертификат ISRG_ROOT_X1, поскольку он уже есть в системе. Сертификат находится в каталоге /etc/ssl/certs

Протокол IKEv2/IPsec

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по IKEv2/IPsec и заполните поле Домен и IP-адрес:

3. Скачайте корневой сертификат Ideco NGFW в разделе Сервисы -> Сертификаты -> Загруженные сертификаты в веб-интерфейсе NGFW или в личном кабинете пользователя по кнопке Скачать корневой сертификат.

Создание подключения в Fedora

1. Для поддержки подключения по IPsec для NetworkManager установите пакет NetworkManager-strongswan:

sudo dnf -y install NetworkManager-strongswan

2. Установите пакет для настройки IPsec-подключения через графический интерфейс:

Окружение рабочего стола GNOME:

sudo dnf -y install NetworkManager-strongswan-gnome

Окружение рабочего стола KDE:

sudo dnf -y install plasma-nm-strongswan

Создание подключения в Fedora:

1. Перейдите в настройки VPN-подключений на компьютере и выберите тип IKEV2.

2. Заполните поля:

Название - название VPN-подключения;
Address - доменное имя шлюза для VPN-подключения;
Certificate - сертификат, загруженный на шаге 1;
Authentication - EAP;
Username - имя пользователя на Ideco NGFW;
Password - пароль пользователя на Ideco NGFW.

3. Нажмите Применить и подключитесь к Ideco NGFW.

Протокол SSTP

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по SSTP и заполните поля Домен и Порт:

Создание подключения в Fedora:

1. Откройте терминал и установите необходимые пакеты, выполнив команду:

Окружение рабочего стола GNOME:

sudo dnf install NetworkManager-sstp.x86_64 NetworkManager-sstp-gnome.x86_64 sstp-client.x86_64

Окружение рабочего стола KDE:

sudo dnf install NetworkManager-sstp.x86_64 plasma-nm-sstp.x86_64 sstp-client.x86_64

2. По окончании установки перезагрузите компьютер:

sudo reboot

3. Перейдите в Настройки -> Сети и в строке VPN нажмите .

4. В появившемся окне выберите Secure Socket Tunneling Protocol (SSTP) или Туннельный протокол типа точка-точка (SSTP):

5. В разделе Identity (Идентификация) заполните следующие поля:

Название - имя подключения;
Шлюз - укажите в формате домен:<порт, выбранный на NGFW>;
Имя пользователя - имя пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя. В правой части поля необходимо выбрать вариант хранения для пароля от VPN-соединения;
NT-домен - оставьте поле пустым.

6. Нажмите Advanced:

На вкладке Connection отключите настройки:
- Use TLS hostname extentions;
- Verify certificate type and extended key usage:

На вкладке Point-to-Point:
- Разрешить следующие методы аутентификации - установите флаг только на MSCHAPv2;
- Использовать для данных сжатие BSD - включите использование алгоритма BSD-compress;
- Использовать для данных сжатие Deflate - включите использование алгоритма Deflate;
- Использовать сжатие заголовков TCP - включите использование метода сжатия заголовков TCP/IP Вана Якобсона:

7. Нажмите Добавить и включите созданное VPN-подключение:

Протокол L2TP/IPsec

Важно: L2TP IPsec клиенты, находящиеся за одним NAT'ом, могут испытывать проблемы подключения, если их более одного. Рекомендуем вместо L2TP IPsec использовать IKEv2 IPsec.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по L2TP/IPsec и скопируйте PSK-ключ:

Создание подключения в Fedora:

1. Установите необходимые пакеты для создания L2TP VPN-соединения, выполнив следующую команду:

Окружение рабочего стола GNOME:

sudo dnf install NetworkManager-l2tp.x86_64 NetworkManager-l2tp-gnome.x86_64 xl2tpd.x86_64

Окружение рабочего стола KDE:

sudo dnf install NetworkManager-l2tp.x86_64 plasma-nm-l2tp.x86_64 xl2tpd.x86_64

2. После окончания установки перезагрузите компьютер:

sudo reboot

4. Перейдите в Настройки -> Сети и в строке VPN нажмите .

5. В окне создания подключений по VPN выберите пункт Layer 2 Tunneling Protocol (L2TP):

6. На вкладке Идентификация заполните следующие поля:

Название - имя подключения;
Шлюз - доменное имя или IP-адрес интерфейса NGFW;
Тип - Password (аутентификация по имени пользователя и паролю);
Имя пользователя - имя пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя. В правой части поля необходимо выбрать вариант хранения для пароля от VPN-соединения;
NT-домен - оставьте поле пустым.

7. Перейдите в Настройки IPsec и включите настройку Enable IPsec tunnel to L2TP host, чтобы активировалась возможность настраивать остальные параметры:

Type: Pre-shared key (PSK) - аутентификация по общему ключу;
Pre-shared key - ключ, который необходимо скопировать по пути Пользователи -> VPN-подключения -> Основное из поля PSK.

Раздел Advanced необязательный для заполнения.

После окончания настройки L2TP IPsec Options нажмите ОК.

8. При необходимости перейдите в Настройки РРР и настройте раздел Аутентификация, Шифрование и сжатие и Прочие:

После настройки Параметров РРР нажмите ОК и Применить.

9. Включите созданное VPN-подключение: