Ideco Client

В статье рассказывается про возможности и особенности работы Ideco Сlient.

Ideco Client - программа-клиент, которая управляет авторизацией пользователей при подключении к NGFW.

Ideco Client использует протокол WireGuard, но наша реализация WireGuard совместима только с Ideco NGFW: Ideco Client не является универсальным клиентом WireGuard, а поддержка WireGuard в Ideco NGFW ограничена.

Возможности Ideco Сlient

  • Авторизация в локальной сети;

  • VPN-подключение из внешних сетей;

  • VPN-подключение из локальных сетей;

  • Двухфакторная аутентификация;

  • Режим работы Device VPN;

  • Сбор данных о подключающихся устройствах.

Сбор данных о подключающихся устройствах позволяет задавать критерии проверки - HIP-профили - и использовать их в правилах Файрвола.

HIP-профили помогают реализовать ZTNA (Zero Trust Network Access) - технологию, которая обеспечивает безопасный доступ к сети на основе принципа нулевого доверия. ZTNA контролирует и аутентифицирует устройства пользователей перед предоставлением доступа к ресурсам сети.

Поддерживаемые версии ОС и порты подключения

Поддерживаемые версии ОС

- Alt OS (Alt Workstation) 9.0 и выше;

- Fedora 35 и выше;

Порты для подключения, если NGFW за NAT

- 80 TCP - для работы сертификатов Let’s Encrypt; - 14765 TCP и 3051 UDP - для работы Ideco Client.

Варианты решения проблем на ОС Windows 11 версии 24H2
  • Включить компонент Virtual Machine Platform:

    1. Установите последнюю версию MS Visual C++ Redistributable.

    2. Нажмите комбинацию клавиш Windows + R и введите команду appwiz.cpl.

    3. В левой части окна выберите Включение или отключение компонентов Windows.

    4. Включите функцию Virtual Machine Platform (Платформа виртуальной машины).

    5. Нажмите ОК и перезагрузите компьютер.

  • Вернуть предыдущую версию операционной системы Windows 11 23H2;

  • Использовать альтернативный способ VPN-подключения.

Настройки в Ideco NGFW

Для корректного подключения из внешней сети создайте в разделе Пользователи -> VPN-подключения -> Доступ по VPN правило, разрешающее пользователю VPN-подключение.

Для подключения пользователей локальных сетей по VPN активируйте настройку Создавать туннель при подключении из локальной сети в разделе Ideco Client. Изменение этой настройки разрывает текущие сессии из локальных сетей. Повторное подключение будет соответствовать новому значению настройки.

Настройка двухфакторной аутентификации в Ideco Client

Выполните действия:

  • В веб-интерфейсе Ideco NGFW:

1. Создайте учетную запись пользователя в разделе Пользователи -> Учетные записи.

2. Перейдите в раздел Пользователи -> Двухфакторная аутентификация и выберите подходящие типы. Настройте двухфакторную аутентификацию способами, указанными в статье.

3. Добавьте правило в разделе Пользователи -> VPN-подключения -> Доступ по VPN. В настройках правила укажите созданную учетную запись пользователя и тип двухфакторной аутентификации, выбранный в шаге 2. В поле Протоколы укажите значение Любой:

  • На устройстве пользователя:

1. Установите и запустите приложение Ideco Client. Инструкции по установке: Windows, MacOS, Linux.

2. Авторизуйтесь через настроенную учетную запись пользователя:

3. Введите код двухфакторной аутентификации:

DNS-суффиксы для VPN-подключений по протоколу WireGuard

Чтобы указать DNS-суффикс для домена, в который введен Ideco NGFW, перейдите в Пользователи -> VPN-подключения -> Основное, заполните поле для суффикса и нажмите Сохранить:

Ideco NGFW поддерживает только один DNS-суффикс. Не указывайте DNS-суффикс, если NGFW введен в несколько доменов.

Особенности работы Ideco Client

  • Только один профиль может быть с опцией автоподключения. Если активировать автоподключение для другого профиля, у предыдущего эта опция отключится.

  • Чтобы использовать SSO-профиль с автоподключением, вручную укажите доменное имя в поле Хост. Для предварительной настройки адреса подключения используйте групповую политику или запустите файл через командную строку с ключом: IdecoAgent.msi utm_address=адрес_ngfw;

  • При попытке повторной авторизации пользователя, который уже авторизован по IP, появляется предупреждение:

  • После каждого обновления приложение Ideco Client запускается автоматически;

  • Информация о сессиях пользователей отображается в разделе Сессии пользователей:

DNS-запросы при VPN-подключении через Ideco Client

При подключении через Ideco Client DNS-запросы могут не проходить, если выбран тип передачи маршрутов Отправлять только указанные сети. При выборе Отправлять маршруты до локальных сетей Ideco NGFW сеть до NGFW отправляется автоматически. Это связано с особенностями построения таблицы маршрутизации при подключении через Ideco Client:

  • При VPN-подключении без Ideco Client DNS-запросы идут на DNS, прописанный в настройках подключения (как правило, адрес NGFW);

  • При VPN-подключении через Ideco Client DNS-запросы идут на адрес NGFW, но в передаваемом на Ideco Client списке нет маршрута до DNS NGFW.

Рекомендуем при выборе типа передачи маршрутов Отправлять только указанные сети добавить в список DNS NGFW, чтобы клиент VPN построил таблицу маршрутизации до этой сети.

Особенности маршрутизации и организации доступа по VPN к ресурсам локальной сети описаны в статье.

Балансировка VPN-подключений

Device VPN

Device VPN - режим работы Ideco Client, в котором клиентское устройство авторизуется на Ideco NGFW без входа пользователя в систему. Такое соединение позволяет:

Для авторизации через Device VPN используется корневой сертификат с приватным ключом. На основе этого ключа администратор создает пользовательские сертификаты для конечных устройств.

Настройка Device VPNСоздание сертификатов для Device VPN

Last updated

Was this helpful?