Настройка Device VPN
Last updated
Last updated
На Ideco NGFW необходимо загрузить доверенный сертификат, который будет использоваться для подписи сертификата авторизации устройства. Если для авторизации будет использоваться самоподписанный сертификат, его также можно загрузить в качестве доверенного.
Если для проверки подлинности используется промежуточный сертификат, то на Ideco NGFW нужно загрузить файл, содержащий всю цепочку сертификатов, начиная с корневого. Структура этого файла похожа на структуру файла для загрузки SSL-сертификата на сервер.
Чтобы подключить устройство к Ideco NGFW в режиме Device VPN, выполните действия:
1. В веб-интерфейсе Ideco NGFW перейдите в раздел Пользователи -> Ideco Client.
2. Введите домен или IP-адрес Ideco NGFW, включите настройку Создавать туннель при подключении из локальной сети (если устройства пользователей находятся в локальной сети).
3. Включите настройку Принимать подключения в режиме Device VPN.
4. Загрузите доверенный сертификат в формате .pem и нажмите Сохранить. Процесс создания сертификата описан в статье Создание сертификатов для Device VPN:
5. Перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте правило, разрешающее учетным записям Ideco Device VPN подключение по протоколу Wireguard:
Если в таблице Доступ по VPN устройству из группы Device VPN запрещен доступ, на короткое время подключение из внешней сети будет установлено. За это время может пройти определенный объем трафика. Позже подключение будет разорвано. Это связано с тем, что проверка по таблице доступа VPN для Device VPN происходит не в момент подключения, а позже.
6. Установите Ideco Client на устройство пользователя (Windows, Linux, MacOS).
7. Загрузите на устройство пользователя сертификат с расширением .pem, который содержит приватный ключ и подписан доверенным сертификатом. Процесс создания сертификата описан в статье Создание сертификатов для Device VPN.
Рекомендуем для безопасности хранить сертификаты в директориях, к которым есть доступ только у администратора. Например:
Для Linux - это home-каталог /root, в который имеет доступ только администратор;
Для Windows нужно создать новую папку. В свойствах папки в разделе Безопасность нужно разрешить доступ только для пользователя Система/System.
8. Запустите установленный Ideco Client:
При неудачном подключении Device VPN попытка соединения будет бесконечной, даже если закрыть Ideco Client или перезапустить службу.
Для решения проблемы необходимо:
Выключить Device VPN: выполнить команду по настройке Device VPN с единственным параметром --set-enable-devicevpn=False;
Исправить проблему подключения (загрузить правильный сертификат, определить корректность пути до него);
Настроить и активировать Device VPN: выполнить команду по настройке Device VPN и параметром --set-enable-devicevpn=True.
В интерфейсе Ideco NGFW убедиться, что подключение Device VPN выполнено.
