Подключение по PPTP
Last updated
Last updated
Не используйте этот тип подключения. Этот способ подключения КРАЙНЕ небезопасен, оставлен исключительно для совместимости со старыми решениями. Используйте IPSec-IKEv2.
Инструкции по настройке VPN-подключений на разных ОС.
Подключение по протоколу PPTP предполагает авторизацию по защищенному сетевому туннелю между сетевым устройством пользователя и интернет-шлюзом Ideco UTM.
Для аутентификации пользователя применяется связка логин/пароль пользователя Ideco UTM или пользователя из Active Directory.
Для авторизации по протоколу PPTP необходимо назначить IP-адрес сетевому устройству, а также настроить на нем подключение по протоколу PPTP с указанием IP-адреса интернет-шлюза Ideco UTM в качестве адреса PPTP-сервера.
При успешной аутентификации и установлении PPTP-туннеля сетевому устройству будет автоматически назначен дополнительный IP-адрес для получения доступа к ресурсам сети интернет. Использование авторизации по PPTP никак не отражается на возможности доступа сетевого устройства к ресурсам локальной сети.
Перейдите в раздел Пользователи -> Авторизация -> VPN-подключение.
Включите флаг Подключение по PPTP.
Нажмите на кнопку Сохранить.
Редактирование логина и пароля возможно на вкладке Пользователи -> Учетные записи при выделении нужного пользователя.
IP-адрес пользователю назначается автоматически из пула адресов для VPN, настраиваемого в разделе Пользователи -> Авторизация -> VPN-подключение (например, 10.128.0.0/16).
При подключении из сети интернет рекомендуем использовать IPSec IKEv2, L2TP IPSec или SSTP для более надежного шифрования трафика.
Не рекомендуем использовать для VPN-подключений кириллические логины.
Разрешите пользователю подключения по VPN из сети интернет, включив в настройках пользователя (Пользователи -> Нужный пользователь -> вкладка Основное) флаг Разрешить удаленный доступ через VPN.
Провайдер со стороны шлюза или со стороны подключаемого клиента не пропускает GRE-протокол, с помощью которого происходит PPTP-соединение. В таком случае при попытке подключиться на внешний адрес Ideco UTM будет получена ошибка 619. Можно определить с какой стороны проблема, подключаясь с разных мест и от разных провайдеров. Если из некоторых мест удастся подключиться, значит проблема со стороны тех клиентов, которые не могут подключиться. Когда провайдер будет определен, то нужно попытаться решить проблему с ним, либо использовать IPSec-IKEv2 или SSTP.
Заблокирован порт 1723 TCP. Проверить доступность порта можно с помощью стандартных сетевых утилит, таких как telnet. Если соединения на этот порт нет, то туннель не может быть установлен.
Неправильно указан логин или пароль пользователя. Если такое происходит, то часто при повторном соединении предлагается указать домен. Старайтесь создавать цифро-буквенные пароли, желательно на латинице для ваших учетных записей. При неправильном вводе пароля более 6 раз, произойдет блокировка IP-адреса пользователя службой защиты от подбора паролей.
Если подключение осуществляется с ОС Windows, то для того, чтобы пакеты пошли через него надо убедиться, что в настройках этого подключения стоит чекбокс Использовать основной шлюз в удалённой сети в разделе Свойства подключения VPN -> Вкладка Сеть -> Свойства опции «Протокол Интернета версии 4 (TCP/IPv4)» -> Дополнительно. Если маршрутизировать все пакеты в этот интерфейс не обязательно, то маршрут надо писать вручную.
При возникновении ошибки Подключение было закрыто удаленным компьютером необходимо включить поддержку MPPE 128-bit (В Windows эта опция включена по умолчанию) и среди протоколов аутентификации отмечать только MSCHAPV2.
Выполните рекомендации статьи Особенности маршрутизации и организации доступа.
Чтобы настроить статическую привязку адресов, выдаваемых по VPN определенным пользователям, необходимо перейти в раздел Пользователи -> Авторизация -> Фиксированные IP-адреса VPN, нажать иконку и указать нужного пользователя и IP-адрес. Пример настройки фиксированного IP-адреса VPN представлен ниже:
