Подключение по PPTP
Не используйте этот тип подключения, он КРАЙНЕ небезопасен, оставлен исключительно для совместимости со старыми решениями. Используйте IPsec-IKEv2.
Подключение по протоколу PPTP предполагает авторизацию по защищенному сетевому туннелю между сетевым устройством пользователя и интернет-шлюзом Ideco NGFW.
Для аутентификации пользователя применяется связка логин/пароль пользователя Ideco NGFW или пользователя из Active Directory;
Для авторизации по протоколу PPTP необходимо назначить IP-адрес сетевому устройству, а также настроить на нем подключение по протоколу PPTP с указанием IP-адреса интернет-шлюза Ideco NGFW в качестве адреса PPTP-сервера.
При успешной аутентификации и установлении PPTP-туннеля сетевому устройству будет автоматически назначен дополнительный IP-адрес для получения доступа к ресурсам сети интернет. Использование авторизации по PPTP никак не отражается на возможности доступа сетевого устройства к ресурсам локальной сети.
Не рекомендуем использовать для VPN-подключений кириллические логины.
Настройка глобальных параметров Ideco NGFW
Для настройки авторизации по протоколу PPTP необходимо выполнить следующие действия:
1. Перейти в раздел Пользователи -> VPN-подключения -> Основное.
2. Включить флаг Подключение по PPTP.
3. Нажать на кнопку Сохранить.
Редактирование логина и пароля возможно на вкладке Пользователи -> Учетные записи при выделении нужного пользователя.
IP-адрес пользователю назначается автоматически из пула адресов для VPN, настраиваемого в разделе Пользователи -> VPN-подключения (например, 10.128.0.0/16).
Чтобы настроить статическую привязку адресов, выдаваемых по VPN определенным пользователям, необходимо перейти в раздел Пользователи -> VPN-подключения -> Правила выдачи IP-адресов, нажать Добавить и указать нужного пользователя и IP-адрес:
При подключении из сети интернет рекомендуем использовать IPsec IKEv2, L2TP IPsec или SSTP для более надежного шифрования трафика.
Настройка пользователей в Ideco NGFW
Разрешите пользователю подключения по VPN из сети интернет, создав в разделе Пользователи -> VPN-подключения -> Доступ по VPN разрешающее правило.
Возможные неполадки
Заблокирован порт 1723 TCP. Проверить доступность порта можно с помощью стандартных сетевых утилит, таких как telnet. Если соединения на этот порт нет, то туннель не может быть установлен;
Если подключение осуществляется с помощью клиента ОС Windows, для того чтобы пакеты пошли через него, надо убедиться, что в настройках этого подключения стоит чекбокс Использовать основной шлюз в удаленной сети в разделе Свойства подключения VPN -> Вкладка Сеть -> Свойства опции "Протокол интернета версии 4 (TCP/IPv4)" -> Дополнительно. Если маршрутизировать все пакеты в этот интерфейс не обязательно, то маршрут надо писать вручную;
При возникновении ошибки Подключение было закрыто удаленным компьютером необходимо включить поддержку MPPE 128-bit (в Windows эта опция включена по умолчанию) и среди протоколов аутентификации отмечать только MSCHAPV2.
Если VPN-соединение установлено, но не получается получить доступ к ресурсам локальной сети
Last updated