Ideco NGFW
Скачать PDF
v19
v19
  • Об Ideco NGFW
  • Общая информация
    • Лицензирование
    • Системные требования и источники данных Ideco NGFW
      • Выбор аппаратной платформы
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Быстрый старт Ideco NGFW
    • Рекомендации при первоначальной настройке
    • Подготовка платформы к установке
      • Настройка гипервизора
      • Настройка программно-аппаратных комплексов Ideco NGFW
      • Создание загрузочного USB-накопителя
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
    • Получение доступа в интернет
  • Настройка Ideco NGFW
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление учетными записями и группами
        • Настройка пользователей
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
        • Авторизация пользователей терминальных серверов
      • Двухфакторная аутентификация
      • VPN-подключение
        • Подключение по PPTP
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Ideco Client
        • Установка и настройка Ideco Client на Windows
        • Установка и настройка Ideco Client на MacOS
        • Установка и настройка Ideco Client на Linux
        • Настройка Device VPN
        • Создание сертификатов для Device VPN
        • Балансировка VPN-подключений
        • Кастомная настройка Ideco Client
      • Профили устройств
      • Active Directory/Samba DC
        • Импорт пользователей
        • Аутентификация пользователей AD/Samba DC
          • Настройка сервера Active Directory
          • Настройка клиентских машин
          • Скрипты автоматической разавторизации
      • RADIUS
      • ALD Pro
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Сессии администраторов
      • Сессии пользователей
      • Сессии ЛК
      • Графики загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix-агент
      • Netflow
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Примеры создания правил файрвола
        • Логирование
        • Тестирование правил
        • Предварительная фильтрация
        • Аппаратная фильтрация
      • Контент-фильтр
        • Правила
        • Описание категорий контент-фильтра
        • Морфологические словари
        • Настройки
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирус
      • Предотвращение вторжений
        • Группы сигнатур
        • Пользовательские сигнатуры
        • Настройки
      • Исключения
      • Объекты
    • Профили безопасности
      • Web Application Firewall
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Предотвращение вторжений
    • Сервисы
      • Сетевые интерфейсы
        • Внешние и локальные интерфейсы
        • Агрегированные интерфейсы (LACP)
        • Туннельные интерфейсы (GRE)
        • VCE-интерфейсы
        • SPAN-интерфейсы
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • ЛК/Портал SSL VPN
      • Защита и управление DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Подключение между двумя Ideco NGFW в туннельном режиме работы
        • Подключение между двумя Ideco NGFW в транспортном режиме работы
        • Подключение Ideco NGFW и Mikrotik по IPsec в туннельном режиме
        • Подключение Ideco NGFW и Mikrotik по IPsec в транспортном режиме
        • Подключение MikroTik и Ideco NGFW по L2TP/IPsec
        • Подключение Cisco IOS и Ideco NGFW по IPsec в туннельном режиме
        • Подключение Cisco IOS и Ideco NGFW по IPsec в транспортном режиме
        • Подключение Cisco IOS и Ideco NGFW по route-based IPsec
        • Подключение pfSense к Ideco NGFW по IPsec
        • Подключение Kerio Control и Ideco NGFW по IPsec
        • Подключение Keenetic по SSTP или IPsec
      • ГОСТ VPN
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью PowerShell
        • Создание сертификата c помощью openssl
      • USB-токены
    • Отчеты и журналы
      • Трафик
      • Системный журнал
      • Журнал веб-трафика
      • Журнал трафика
      • События безопасности
      • Действия администраторов
      • Журнал аутентификации
      • Журнал авторизации ЛК
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Ideco Center
      • VCE
      • Кластеризация
        • Настройка кластера
        • Обновление кластера
      • Обновления
      • Бэкапы
      • Терминал
        • Примеры использования утилит
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам и антивирус
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция NGFW и SkyDNS
    • Полный цикл обработки трафика в Ideco NGFW
  • Настройка MY.IDECO
    • О личном кабинете MY.IDECO
    • NGFW
    • Центральная консоль
    • Monitoring Bot и Security
    • Личные данные и Компании
  • Настройка Ideco Center
    • Об Ideco Center
    • Установка Ideco Center
    • Серверы
    • Мониторинг
    • Политики и объекты
    • Профили безопасности
    • Сервисы
    • Отчеты и журналы
    • Управление сервером
  • Популярные инструкции и диагностика проблем
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Alt Linux
        • Создание VPN-подключения в Ubuntu
        • Создание VPN-подключения в Fedora
        • Создание подключения в Astra Linux
        • Создание подключения в Windows
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Подлючение к серверу по COM-порту и настройка Ideco NGFW
      • Анализ трафика
      • Режим удаленного помощника
      • Настройка LACP на Hyper-V
      • Разрешить интернет всем: диагностика неполадок
      • Как разрешить доступ к ресурсам в ограниченной сети
      • Удаленный доступ к серверу
      • Тестирование оперативной памяти сервера
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco NGFW
      • Как восстановиться на прошлую версию после обновления Ideco NGFW
      • Проверка настроек фильтрации с помощью security ideco
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra Linux
      • Настройка автоматической веб-аутентификации на Ideco NGFW на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco NGFW
      • Интеграция Ideco NGFW и брокера сетевых пакетов DS Integrity NG
      • Настройка совместной работы ViPNet Координатор с Ideco NGFW
      • Блокировка чат-ботов
      • Таблица портов Ideco NGFW, доступных из локальной и внешних сетей
      • Как Ideco Client осуществляет обработку запросов с редиректом на сервер Ideco NGFW
      • Как включить таймер при загрузке Ideco NGFW
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать если не работает интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
      • Ошибка 400 Bad Request Request Header Or Cookie Too Large при авторизации в браузерах
  • API
    • Описание основных хендлеров
    • Управление интеграцией с Active Directory
    • Управление интеграцией с ALD Pro
    • Управление администраторами
    • Управление пользователями
    • Управление Ideco Client
    • Мониторинг и журналы
    • Управление правилами трафика
      • Файрвол
      • Контроль приложений
      • Контент-фильтр
      • Предотвращение вторжений
      • Исключения
    • Управление профилями безопасности
    • Управление сетевыми интерфейсами
    • Управление VPN
    • Управление обратным прокси
    • DHCP-сервер
    • DNS-сервер
    • Настройка удаленной передачи системных логов
    • Управление Ideco Center
    • Бэкапы и возврат к предыдущей версии
    • Почтовый релей
      • Расширенные настройки
      • Антиспам и антивирус
      • Правила
      • Почтовая очередь
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила FORWARD
  • changelog
    • Ideco NGFW 19.X
    • ФСТЭК Ideco UTM 19.X
    • Ideco Center 19.Х
Powered by GitBook
On this page
  • Поддерживаемые протоколы
  • Предварительные требования
  • Настройка VPN-подключения
  • Основное
  • Доступ по VPN
  • Правила выдачи IP-адресов
  • Cтатическая привязка IP-адресов
  • Полезные ссылки

Was this helpful?

  1. Настройка Ideco NGFW
  2. Пользователи

VPN-подключение

Как настроить VPN-подключение для доступа пользователей к локальной сети компании.

PreviousДвухфакторная аутентификацияNextПодключение по PPTP

Last updated 1 month ago

Was this helpful?

Название службы раздела VPN-подключения: ideco-accel-l2tp; ideco-accel-pptp; ideco-accel-sstp; ideco-vpn-servers-backend; ideco-vpn-authd; ideco-vpn-dhcp-backend. Список служб для других разделов доступен по .

Для настройки VPN-сервера можно использовать VPN-клиент, который уже есть в операционной системе, или установить отдельный.

Для получения доступа к локальной сети компании необходимо настроить VPN-сервер и подключиться через него. Можно использовать VPN-клиент, который уже есть в операционной системе, или установить отдельный.

В Ideco NGFW нет подразделения локальных интерфейсов на VPN-интерфейсы и Ethernet, поскольку Ideco NGFW не имеет локальных VPN-интерфейсов.

Настройка VPN-сервера происходит в несколько этапов:

  • Настройка протоколов, маршрутов и адресации;

  • Настройка политик доступа из внешних сетей;

  • Настройка двухфакторной аутентификации (опционально).

Поддерживаемые протоколы

Ideco NGFW поддерживает четыре протокола туннельных соединений:

  • - рекомендуемый протокол с точки зрения скорости и безопасности;

  • - подходит для использования в средах с ограничениями на порты;

  • - обеспечивает баланс между безопасностью и совместимостью;

  • - не рекомендуется. Этот способ подключения крайне небезопасен и оставлен исключительно для совместимости со старыми решениями.

Предварительные требования

  • Корневые сертификаты Ideco NGFW действительны в течение 10 лет;

  • Если используется сертификат Let's Encrypt, обновление будет происходить автоматически.

Настройка VPN-подключения

Для настройки VPN-подключения перейдите в Пользователи -> VPN-подключения

Основное

На вкладке настраиваются протоколы, маршруты и адресация VPN-подключений. Для настройки:

  • Сеть для VPN-подключений - укажите подсеть, в рамках которой будут динамически назначаться IP-адреса. Маска подсети должна быть в диапазоне от 16 до 30 бит.

  • Зона - добавьте сетевые интерфейсы для подключения по VPN (опционально).

  • Выберите, какой какой протокол подключения будет использоваться.

Начиная с версии 16.0, для каждого протокола VPN-подключения отображается статус использования. Статусы отображаются в виде подсказок под названиями протоколов:

Зеленый статус: протокол включен и используется.

Оранжевый статус: протокол отключен, но используется в правилах доступа по VPN.

В блоке Передача маршрутов укажите, как будут передаваться маршруты:

Маршруты, переданные Ideco NGFW для VPN-клиента, имеют меньшую метрику (т. е. высокий приоритет)

  • Не отправлять - никакие маршруты не передаются клиенту, никакой трафик не будет проходить через NGFW;

  • Отправлять весь трафик на Ideco NGFW - передается маршрут 0.0.0.0/0, весь трафик направляется через NGFW;

  • Отправлять маршруты до всех локальных сетей - передаются маршруты до всех локальных сетей NGFW, в том числе подключенных через IPsec и маршрутизируемых;

  • Отправлять маршруты до локальных сетей Ideco NGFW - передаются только маршруты до локальных сетей NGFW, без учета IPsec и маршрутизируемых;

  • Отправлять только указанные - выберите сети, до которых будут передваться маршруты.

Если маршруты VPN-клиентов пересекаются с маршрутами, передаваемыми Ideco NGFW, то выберите Не отправлять или Отправлять только указанные.

Если при подключении по VPN (SSTP, IKEv2, PPTP, L2TP) не удается получить маршруты до сетей Ideco NGFW, то это связано с тем, что указанное число маршрутов не вмещается в опции DHCP-пакета.

При исключении подсети, IP-адреса, домена из передаваемого маршрута может возникнуть разбиение на несколько маршрутов. Это может привести к тому, что все маршруты не вместятся в опции DHCP-пакета.

Если количество байт в опции маршрутов превышает 255, то маршруты не передаются службой ideco-vpn-dhcp-server.

Если пакет DHCP превышает 576 байт, то он может быть проигнорирован клиентом DHCP и применение маршрутов не произойдет (зависит от реализации клиента).

Доступ по VPN

На вкладке настраиваются правила доступа для пользователей и групп.

При совпадении условий (Источник подключения, Пользователи и группы, Протокол подключения) выполняется действие, выбраное при создании правил. Созданные правила применяются сверху вниз.

В правилах можно использовать как группы пользователей Ideco NGFW, так и группы безопасности AD. Для добавления группы безопасности AD для VPN не требуется импорт в дерево пользователей. Введите Ideco NGFW в домен и при создании правила Доступ по VPN в поле Пользователи и группы выберите необходимую группу безопасности.

Для настройки правил доступа, перейдите на вкладку Пользователи -> VPN-подключения -> Доступ по VPN и нажмите Добавить.

  • Название - укажите название правила.

  • Источники подключения - выберите, откуда будет производиться подключение по VPN (IP-адреса, подсети, страны).

  • Пользователи и группы - выберите, для каких пользовалетей будет применяться правило.

  • Протоколы подключения - выберите протокол (настраивается на вкладке Основное).

  • Доступ по VPN - разрешите или запретите доступ по созданному правилу.

  • Комментарий - добавьте комментарий (опционально).

Правила выдачи IP-адресов

На вкладке можно создать правила для выдачи IP-адресов пользователям, подключающимся по VPN.

NGFW проверяет таблицу правил сверху вниз до первого совпадения пользователя. Если пользователь не попал под условия правил, IP-адрес назначается автоматически из пула адресов VPN, настраиваемого в разделе Пользователи -> VPN-подключения (например, 10.128.0.0/16). Из пула исключаются все подсети и одиночные адреса, указанные во всех правилах таблицы выдачи IP-адресов и используемые в текущих сессиях. Если адресов не осталось, соединение разрывается.

Важно:

  • Подсеть, указанная в правиле, должна полностью входить в сеть для VPN-подключений. В противном случае правило считается невалидным, адрес выдать невозможно, соединение разрывается.

  • В двух разных правилах нельзя указать одну и ту же сеть.

  • Если в разных правилах указаны пересекающиеся сети (например, сеть 10.128.1.0/24 является подсетью cети 10.128.0.0/20), то:

    • адреса из cети 10.128.1.0/24 никогда не будут выдаваться;

    • при выдаче адресов сети 10.128.0.0/20 из нее будут исключаться адреса подcети 10.128.1.0/24.

  • Если указать в правилах сеть, совпадающую с сетью для VPN-подключений, то все пользователи VPN, для которых не совпадет ни одно правило таблицы, не смогут получить адрес и подключиться.

  • Количество одновременных VPN-подключений от одного пользователя в том числе будет ограничиваться размером сети, указанной для него в правилах.

  • Если в правиле указан один IP-адрес и он уже используется в текущей сессии, то указанный в правиле пользователь не сможет установить второе VPN-подключение - оно не сможет получить адрес;

  • Если в правиле указана сеть с префиксом /30 (или маской 255.255.255.252) и более широкие сети (например, 10.128.2.0/24), то при выдаче адреса из таких сетей адрес самой сети и широковещательный адрес (10.128.2.0 и 10.128.2.255) использоваться не будут.

Для создания правила перейдите на вкладку Пользователи -> VPN-подключения -> Правила выдачи IP-адресов и нажмите Добавить.

  • Название - укажите название правила.

  • Пользователи и группы - выберите, для каких пользовалетей будет применяться правило.

  • Выдаваемые адреса - укажите фиксированный IP-адрес или подсеть, которые будут выдаваться пользователям.

  • Комментарий - укажите комментарий к правилу (опционально).

При наличии большого количества правил выдачи IP-адресов в таблице воспользуйтесь кнопкой Фильтры.

Cтатическая привязка IP-адресов

IP-адрес пользователю назначается автоматически из пула адресов для VPN, настраиваемого в разделе Пользователи -> VPN-подключения (например 10.128.0.0/16).

Чтобы настроить статическую привязку адресов, выдаваемых по VPN определенным пользователям, нужно перейти в раздел Пользователи -> VPN-подключения -> Правила выдачи IP-адресов, нажать Добавить и указать нужного пользователя и IP-адрес. Пример настройки фиксированного IP-адреса VPN представлен ниже:

Полезные ссылки

Чтобы VPN-подключение работало на устройствах пользователей, необходимо загрузить :

Если требуется настроить VPN-подключение к , оставьте поле Зона пустым.

DNS-суффикс - укажите DNS-суффикс, если для подключения по VPN используется (опционально).

Способ 2FA - выберите способ . Для разных групп пользователей возможно указать разные типы двухфакторной аутентификации (опционально).

Для разных групп пользователей возможно указать разные типы двухфакторной аутентификации. Для настройки двухфакторной аутентификации воспользуйтесь .

Чтобы отключить правило, нажмите на в столбце управления. Чтобы удалить правило, нажмите .

Инструкции по настройке VPN-подключений на разных ОС доступны по .

ссылке
IKEv2
SSTP
L2TP/IPsec
PPTP
корневой сертификат
Loopback-интерфейсу
Ideco Client
двухфакторной аутентификации
статьей
ссылке