Ideco Client
Специализированная программа-клиент для управления доступом пользователей в интернет.
Название службы раздела Ideco Сlient: ideco-agent-backend; ideco-agent-websocket.
Список служб для других разделов доступен по ссылке.
Использует протокол WireGuard.
Установить программу Ideco Client можно на ОС семейства Windows с 10 версии и новее, а также на MacOS версии 12.7 и новее. На MacOS Ideco Client работает с некоторыми ограничениями.
Ideco Client управляет авторизацией пользователей при подключении к Ideco NGFW из локальной сети и по VPN из внешних сетей. При использовании Ideco Client возможны:
Авторизация из локальной сети;
Подключение по VPN из внешних сетей;
Подключение по VPN из локальных сетей.
Кроме того, Ideco Client собирает информацию о подключающихся устройствах. За счет этого можно задать критерии проверки устройств - HIP-профили, которые используются в правилах Файрвола Ideco NGFW для ограничения или разрешения доступа к ресурсами сети.
С помощью HIP-профилей реализуется ZTNA (Zero Trust Network Access) - технология обеспечения безопасного доступа к сети, основанная на принципе нулевого доверия. ZTNA позволяет контролировать и аутентифицировать устройства пользователей перед предоставлением доступа к ресурсам сети.
Программа должна быть установлена на рабочей станции пользователя.
Порты для подключения, если NGFW за NAT:
80 TCP - для работы сертификатов let's encrypt;
14765 TCP и 3051 UDP - для работы Ideco Client.
Для корректного подключения из внешней сети создайте в разделе Пользователи -> VPN-подключения -> Доступ по VPN правило, разрешающее пользователю VPN-подключение.
Особенности работы Ideco Client
Ideco Client поддерживает обработку запросов с редиректом (статус 302) на сервер Ideco NGFW (Подробнее в RFC-7231). Это позволяет использовать балансировщик VPN-подключений для распределения нагрузки между несколькими Ideco NGFW.
Опцией автоматического подключения может обладать только один профиль. При активации опции автоподключения другому профилю у предыдущего автоподключение будет отключено;
Чтобы использовать SSO-профиль с включенным автоподключением, необходимо вручную указать доменное имя в поле Хост. Чтобы заранее настроить адрес подключения, воспользуйтесь групповой политикой или запустите файл через командную строку с ключом
IdecoAgent.msi utm_address=адрес_ngfw;Ошибка с текстом Неизвестная ошибка возникает при попытке повторной авторизации уже авторизованного по IP пользователя;
После каждого обновления приложение Ideco Client запускается автоматически.
Ideco Client также позволяет подключать пользователей локальных сетей по VPN. Для создания VPN-туннеля при подключении из локальной сети активируйте настройку Создавать туннель при подключении из локальной сети в разделе Ideco Client.
При изменении настройки Создавать туннель при подключении из локальной сети разрываются все сессии пользователей, подключенных через Ideco Client из локальных сетей. Повторное подключение к NGFW будет соответствовать новому значению настройки.
При подключении пользователей через Ideco Client информация о сессии появится в разделе Авторизованные пользователи:
При включении опции Показать только VPN-пользователей в таблице отобразится только информация о сессиях пользователей, подключившихся через Ideco Client из внешней сети или из локальной сети с созданием туннеля:
DNS-суффиксы для VPN-подключений по протоколу Wireguard
При подключении пользователей с использованием Ideco Client по VPN есть возможность указать DNS-суффикс для домена, в который введен Ideco NGFW. Для этого перейдите в раздел Пользователи -> VPN-подключения -> Основное, заполните соответствующее поле и нажмите Сохранить:
Ideco NGFW позволяет указать только один DNS-суффикс. Не рекомендуем указывать DNS-суффикс, если Ideco NGFW введен в несколько доменов.
Device VPN
Device VPN - режим работы Ideco Client, в котором клиентское устройство авторизуется на Ideco NGFW без входа пользователя в систему. Такое соединение позволяет:
Для работы Device VPN для клиентов из локальных сетей обязательно включение настройки Создавать туннель при подключении из локальной сети.
Авторизация устройств в режиме Device VPN осуществляется с использованием сертификата и закрытого ключа. На Ideco NGFW необходимо загрузить доверенный сертификат, которым будет подписан сертификат для авторизации устройства. Если для авторизации будет использоваться самоподписанный сертификат (сгенерированный в PowerShell или Openssl), загрузите его в качестве доверенного.
Если для проверки подлинности используется промежуточный сертификат, то на Ideco NGFW нужно загрузить файл, содержащий всю цепочку сертификатов, начиная с корневого. Структура этого файла похожа на структуру файла для загрузки SSL-сертификата на сервер.
Чтобы подключить устройство к Ideco NGFW в режиме Device VPN, выполните действия:
1. В веб-интерфейсе Ideco NGFW перейдите в раздел Пользователи -> Ideco Client.
2. Введите домен или IP-адрес Ideco NGFW, включите настройку Создавать туннель при подключении из локальной сети (если устройства пользователей находятся в локальной сети).
3. Включите настройку Принимать подключения в режиме Device VPN.
4. Загрузите доверенный сертификат в формате .pem и нажмите Сохранить:
5. Перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте правило, разрешающее учетным записям Ideco Device VPN подключение по протоколу Wireguard:
6. Установите Ideco Client на устройство пользователя (Windows, Linux, MacOS).
7. Загрузите на устройство пользователя сертификат и закрытый ключ для авторизации, подписанные доверенным сертификатом.
8. Запустите установленный Ideco Client от имени администратора:
Файл сертификата имеет расширение .pem. Файл хранит в себе сертификат и приватный ключ.
Для Windows - откройте командную строку от имени администратора и введите:
Для Linux и MacOS - откройте терминал и введите:
Для вывода заданных параметров в консоль воспользуйтесь командой:
Last updated
