Подключение по протоколу PPTP предполагает авторизацию по защищенному сетевому туннелю между сетевым устройством пользователя и интернет-шлюзом Ideco NGFW.

• Для аутентификации пользователя применяется связка логин/пароль пользователя Ideco NGFW или пользователя из Active Directory;

• Для авторизации по протоколу PPTP необходимо назначить IP-адрес сетевому устройству, а также настроить на нем подключение по протоколу PPTP с указанием IP-адреса интернет-шлюза Ideco NGFW в качестве адреса PPTP-сервера.

При успешной аутентификации и установлении PPTP-туннеля сетевому устройству будет автоматически назначен дополнительный IP-адрес для получения доступа к ресурсам сети интернет. Использование авторизации по PPTP никак не отражается на возможности доступа сетевого устройства к ресурсам локальной сети.

Настройка глобальных параметров Ideco NGFW

Для настройки авторизации по протоколу PPTP необходимо выполнить следующие действия:

1. Перейти в раздел Пользователи -> VPN-подключение -> Основное.

2. Включить флаг Подключение по PPTP.

3. Нажать на кнопку Сохранить.

Редактирование логина и пароля возможно на вкладке Пользователи -> Учетные записи при выделении нужного пользователя.

IP-адрес пользователю назначается автоматически из пула адресов для VPN, настраиваемого в разделе Пользователи -> VPN-подключение (например, 10.128.0.0/16).

При подключении из сети интернет рекомендуем использовать IPsec IKEv2, L2TP IPsec или SSTP для более надежного шифрования трафика.

Настройка пользователей в Ideco NGFW

Разрешите пользователю подключения по VPN из сети интернет, создав в разделе Пользователи -> VPN-подключения -> Доступ по VPN разрешающее правило.

Возможные неполадки

• Провайдер со стороны шлюза или со стороны подключаемого клиента не пропускает GRE-протокол, с помощью которого происходит PPTP-соединение. В таком случае при попытке подключиться на внешний адрес Ideco NGFW будет получена ошибка 619. Можно определить, с какой стороны проблема, подключаясь с разных мест и от разных провайдеров. Если из некоторых мест удастся подключиться, значит, проблема со стороны тех клиентов, которые подключиться не могут. Когда провайдер будет определен, то нужно попытаться решить проблему с ним, либо использовать IPsec-IKEv2 или SSTP;

• Заблокирован порт 1723 TCP. Проверить доступность порта можно с помощью стандартных сетевых утилит, таких как telnet. Если соединения на этот порт нет, то туннель не может быть установлен;

• Неправильно указан логин или пароль пользователя. Если такое происходит, то часто при повторном соединении предлагается указать домен. Старайтесь создавать для ваших учетных записей цифро-буквенные пароли, желательно, на латинице. При неправильном вводе пароля более 6 раз произойдет блокировка IP-адреса пользователя службой защиты от подбора паролей;

• Если подключение осуществляется с ОС Windows, для того чтобы пакеты пошли через него, надо убедиться, что в настройках этого подключения стоит чекбокс Использовать основной шлюз в удаленной сети в разделе Свойства подключения VPN -> Вкладка Сеть -> Свойства опции "Протокол интернета версии 4 (TCP/IPv4)" -> Дополнительно. Если маршрутизировать все пакеты в этот интерфейс не обязательно, то маршрут надо писать вручную;

• При возникновении ошибки Подключение было закрыто удаленным компьютером необходимо включить поддержку MPPE 128-bit (в Windows эта опция включена по умолчанию) и среди протоколов аутентификации отмечать только MSCHAPV2.

Если VPN-соединение установлено, но не получается получить доступ к ресурсам локальной сети

Выполните рекомендации статьи Особенности маршрутизации и организации доступа.