v16

VPN-подключение

Название службы раздела VPN-подключение: ideco-accel-l2tp; ideco-accel-pptp; ideco-accel-sstp; ideco-vpn-servers-backend; ideco-vpn-authd. Список служб для других разделов доступен по ссылке.

Инструкция по настройке VPN-подключения через Ideco Client.

Нужна помощь при настройке Ideco NGFW? Получите быстрый ответ от чат-бота нашей документации!

Не рекомендуем использовать для VPN-подключений кириллические логины.

Для получения доступа извне (из дома, отеля, другого офиса) к локальной сети предприятия, которая находится за Ideco NGFW, можно подключиться по VPN с этой машины (компьютера или мобильного устройства) к серверу Ideco NGFW.

Для client-to-site VPN наш сервер поддерживает четыре протокола туннельных соединений: IKEv2, SSTP, L2TP/IPsec, PPTP.

В целях безопасности не рекомендуется использовать протокол PPTP (он оставлен для совместимости с устаревшими операционными системами и оборудованием, а также для авторизации в локальной сети, где нет требований к строгому шифрованию трафика).

Рекомендуемым в плане скорости и безопасности является протокол IKEv2.

Можно использовать личный кабинет пользователя для раздачи инструкций по созданию пользовательских VPN-подключений.

Основное

В поле Сеть для VPN-подключений указывается подсеть, в рамках которой будут динамически присваиваться IP-адреса. Маска подсети должна быть в диапазоне от 16 до 30.

Основные настройки

В основных настройках выберите протоколы, по которым смогут подключаться пользователи. Подробнее о настройках в статьях: PPTP, PPPoE, IKEv2/IPSec, SSTP и L2TP/IPSec.

Для настройки конфигурации VPN-подключения сразу на несколько сетевых интерфейсов:

  1. Создайте зону и добавьте сетевые интерфейсы для подключения по VPN в эту зону;

  2. Перейдите в раздел Пользователи -> VPN-подключения -> Основное и укажите зону, созданную на первом шаге.

Используйте зоны для настройки конфигурации VPN-подключения сразу нескольких сетевых интерфейсов.

Не рекомендуем использовать тип подключения PPTP. Этот способ подключения КРАЙНЕ небезопасен, оставлен исключительно для совместимости со старыми решениями. Используйте IPsec-IKEv2.

Инструкции по настройке VPN-подключений на разных ОС доступны по ссылке.

Статусы подключения

Начиная с 16.0 версии Ideco NGFW, у каждого протокола VPN-подключения появился статус использования. Статусы отображаются в виде подсказок под названиями протоколов, когда протокол используется в правилах таблицы Доступ по VPN.

Если включена опция рядом с названием протокола в разделе Пользователи -> VPN-подключения -> Основное и есть подключение, цвет статуса - зеленый, если протокол выключен - оранжевый.

Передача маршрутов

Маршруты, переданные Ideco NGFW для VPN-клиента, имеют меньшую метрику (т. е. высокий приоритет). В меню передача маршрутов существует 5 опций для настройки передачи маршрутов клиентам:

  1. Не отправлять. При включении данной опции клиентам не будут передаваться никакие маршруты, то есть никакой трафик не будет проходить через NGFW.

  2. Отправлять весь трафик на Ideco NGFW. При включении этой опции клиентам будет передаваться маршрут 0.0.0.0/0, то есть весь трафик будет проходить через NGFW.

  3. Отправлять маршруты до всех локальных сетей. При включении опции клиентам будут передаваться маршруты до всех локальных сетей NGFW, в том числе подключенных через IPSec и маршрутизируемых.

  4. Отправлять маршруты до локальных сетей Ideco NGFW. При включении опции клиентам будут переданы маршруты только до локальных сетей NGFW, без учета IPSec и маршрутизируемых.

  5. Отправлять только указанные. При включении опции предоставляется возможность выбрать, какие маршруты нужно отправлять клиентам.

Если маршруты VPN-клиентов пересекаются с маршрутами, передаваемыми Ideco NGFW, то выберите Не отправлять или Отправлять только указанные.

Доступ по VPN

Вкладка содержит таблицу правил, которые действуют сверху вниз. Как только в правиле происходит совпадение полей Источник подключения, Пользователи и группы, Протокол подключения производится действие, выбранное при создании правила. В случае указания Способа 2FA будет происходить аутентификация по второму фактору. В правилах можно использовать как группы пользователей Ideco NGFW, так и группы безопасности AD.

Для добавления группы безопасности AD для VPN не требуется импорт в дерево пользователей. Введите Ideco NGFW в домен и выберите на вкладке Доступ по VPN требуемую группу безопасности.

Для включения доступа по VPN у группы пользователей выполните действия:

  1. Перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN.

  2. Заполните необходимые поля формы:

  1. Нажмите Сохранить.

Для работы VPN-подключений по выбранному протоколу настройте Ideco NGFW соответствующим образом в разделе VPN-подключения -> Основное.

Для разных групп пользователей можно указать разные типы двухфакторной аутентификации. Для настройки двухфакторной аутентификации воспользуйтесь статьей

Фиксированные IP-адреса VPN

Если создать фиксированную привязку для какого-либо пользователя, то для него будет возможна только одна активная VPN-сессия.

Например: хост в локальной сети, к которому могут подключиться пользователи только с определенными IP-адресами. Для предоставления прямого доступа по VPN-подключению к этому хосту перейдите в раздел Пользователи -> VPN-подключения -> Фиксированные IP-адреса VPN, нажмите Добавить, заполните поля Пользователь и IP-адрес и нажмите Применить.

PreviousАвторизация пользователей терминальных серверовNextДвухфакторная аутентификация

Last updated