Ideco Client
Специализированная программа-клиент для управления доступом пользователей в интернет.
Название службы раздела Ideco Сlient: ideco-agent-backend
; ideco-agent-websocket
.
Список служб для других разделов доступен по ссылке.
Использует протокол WireGuard.
Установить программу Ideco Client можно на ОС семейства Windows с 10 версии и новее, а также на MacOS версии 12.7 и новее. На MacOS Ideco Client работает с некоторыми ограничениями.
Ideco Client управляет авторизацией пользователей при подключении к Ideco NGFW из локальной сети и по VPN из внешних сетей. При использовании Ideco Client возможны:
Авторизация из локальной сети;
Подключение по VPN из внешних сетей;
Подключение по VPN из локальных сетей.
Кроме того, Ideco Client собирает информацию о подключающихся устройствах. За счет этого можно задать критерии проверки устройств - HIP-профили, которые используются в правилах Файрвола Ideco NGFW для ограничения или разрешения доступа к ресурсами сети.
С помощью HIP-профилей реализуется ZTNA (Zero Trust Network Access) - технология обеспечения безопасного доступа к сети, основанная на принципе нулевого доверия. ZTNA позволяет контролировать и аутентифицировать устройства пользователей перед предоставлением доступа к ресурсам сети.
Программа должна быть установлена на рабочей станции пользователя.
Порты для подключения, если NGFW за NAT:
80 TCP - для работы сертификатов let's encrypt;
14765 TCP и 3051 UDP - для работы Ideco Client.
Для корректного подключения из внешней сети создайте в разделе Пользователи -> VPN-подключения -> Доступ по VPN правило, разрешающее пользователю VPN-подключение.
Особенности работы Ideco Client
Ideco Client поддерживает обработку запросов с редиректом (статус 302) на сервер Ideco NGFW (Подробнее в RFC-7231). Это позволяет использовать балансировщик VPN-подключений для распределения нагрузки между несколькими Ideco NGFW.
Опцией автоматического подключения может обладать только один профиль. При активации опции автоподключения другому профилю у предыдущего автоподключение будет отключено;
Чтобы использовать SSO-профиль с включенным автоподключением, необходимо вручную указать доменное имя в поле Хост. Чтобы заранее настроить адрес подключения, воспользуйтесь групповой политикой или запустите файл через командную строку с ключом
IdecoAgent.msi utm_address=адрес_ngfw
;При попытке повторной авторизации пользователя, который уже авторизован по IP, появляется предупреждение:
После каждого обновления приложение Ideco Client запускается автоматически.
Ideco Client также позволяет подключать пользователей локальных сетей по VPN. Для создания VPN-туннеля при подключении из локальной сети активируйте настройку Создавать туннель при подключении из локальной сети в разделе Ideco Client.
При изменении настройки Создавать туннель при подключении из локальной сети разрываются все сессии пользователей, подключенных через Ideco Client из локальных сетей. Повторное подключение к NGFW будет соответствовать новому значению настройки.
При подключении пользователей через Ideco Client информация о сессии появится в разделе Авторизованные пользователи:
При включении опции Показать только VPN-пользователей в таблице отобразится только информация о сессиях пользователей, подключившихся через Ideco Client из внешней сети или из локальной сети с созданием туннеля:
DNS-суффиксы для VPN-подключений по протоколу Wireguard
При подключении пользователей с использованием Ideco Client по VPN есть возможность указать DNS-суффикс для домена, в который введен Ideco NGFW. Для этого перейдите в раздел Пользователи -> VPN-подключения -> Основное, заполните соответствующее поле и нажмите Сохранить:
Ideco NGFW позволяет указать только один DNS-суффикс. Не рекомендуем указывать DNS-суффикс, если Ideco NGFW введен в несколько доменов.
DNS-запросы при VPN-подключении через Ideco Client
При подключении к Ideco по VPN через Ideco Client DNS-запросы могут не проходить, если выбран тип передачи маршрутов Отправлять только указанные сети. При выборе Отправлять маршруты до локальных сетей Ideco NGFW сеть до NGFW отправляется автоматически.
Это связано с особенностями построения таблицы маршрутизации при подключении через Ideco Client:
При VPN-подключении без Ideco Client DNS-запросы идут на DNS, прописанный в настройках подключения (как правило, адрес NGFW);
При VPN-подключении через Ideco Client DNS-запросы идут на адрес NGFW, но в передаваемом на Ideco Client списке нет маршрута до DNS NGFW.
Рекомендуем при выборе типа передачи маршрутов Отправлять только указанные сети добавить в список DNS NGFW, чтобы клиент VPN построил таблицу маршрутизации до этой сети.
Особенности маршрутизации и организации доступа по VPN к ресурсам локальной сети описаны в статье.
Device VPN
Device VPN - режим работы Ideco Client, в котором клиентское устройство авторизуется на Ideco NGFW без входа пользователя в систему. Такое соединение позволяет:
Для работы Device VPN для клиентов из локальных сетей обязательно включение настройки Создавать туннель при подключении из локальной сети.
Авторизация устройств в режиме Device VPN осуществляется с использованием сертификата и закрытого ключа. На Ideco NGFW необходимо загрузить доверенный сертификат, которым будет подписан сертификат для авторизации устройства. Если для авторизации будет использоваться самоподписанный сертификат (сгенерированный в PowerShell или Openssl), загрузите его в качестве доверенного.
Если для проверки подлинности используется промежуточный сертификат, то на Ideco NGFW нужно загрузить файл, содержащий всю цепочку сертификатов, начиная с корневого. Структура этого файла похожа на структуру файла для загрузки SSL-сертификата на сервер.
Чтобы подключить устройство к Ideco NGFW в режиме Device VPN, выполните действия:
1. В веб-интерфейсе Ideco NGFW перейдите в раздел Пользователи -> Ideco Client.
2. Введите домен или IP-адрес Ideco NGFW, включите настройку Создавать туннель при подключении из локальной сети (если устройства пользователей находятся в локальной сети).
3. Включите настройку Принимать подключения в режиме Device VPN.
4. Загрузите доверенный сертификат в формате .pem
и нажмите Сохранить:
5. Перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте правило, разрешающее учетным записям Ideco Device VPN подключение по протоколу Wireguard:
6. Установите Ideco Client на устройство пользователя (Windows, Linux, MacOS).
7. Загрузите на устройство пользователя сертификат и закрытый ключ для авторизации, подписанные доверенным сертификатом.
Файл сертификата имеет расширение .pem. Файл хранит в себе сертификат и приватный ключ.
При подключении устройства на MacOS не храните файлы сертификата и закрытого ключа для авторизации в директориях Desktop, Documents и Downloads: в этом случае Ideco Client не сможет получить доступ к этим файлам и прочитать их. Рекомендуем сохранить файлы в другую директорию, например, в корневую директорию домашней папки пользователя (/home/user
).
8. Запустите установленный Ideco Client:
При неудачном подключении Device VPN попытка соединения будет бесконечной, даже если закрыть Ideco Client клиент или перезапустить службу.
Для решения проблемы необходимо:
Выключить DeviceVPN: выполнить команду по настройке Device VPN с единственным параметром
--set-enable-devicevpn=False
;Исправить проблему подключения (загрузить правильный сертификат, определить корректность пути до него);
Настроить и активировать Device VPN: выполнить команду по настройке Device VPN и параметром
--set-enable-devicevpn=True
.В интерфейсе Ideco NGFW убедиться, что подключение Device VPN выполнено.
Last updated