Перед настройкой VPN-подключения перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте разрешающее VPN-подключение правило.
Не рекомендуем использовать для VPN-подключений кириллические логины.
Перед настройкой подключения загрузите на устройство корневой сертификат Ideco NGFW (включая всю цепочку доверия) или ISRG_ROOT_X1 сертификат при использовании сертификата Let`s encrypt.
Файл сертификата должен находится в общедоступном каталоге.
Если загрузить корневой сертификата NGFW (включая всю цепочку доверия) в каталог
/etc/strongswan/ipsec.d/cacerts, то не потребуется указывать сертификат при настройке подключения.
Если в системе уже имеется сертификат ISRG_ROOT_X1, то загружать его отдельно не требуется.
При настройке подключения в Fedora 40 не требуется загружать сертификат ISRG_ROOT_X1, поскольку он уже есть в системе. Сертификат находится в каталоге
/etc/ssl/certs
Протокол IKEv2/IPsec
Настройка Ideco NGFW:
1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.
2. Установите флаг Подключение по IKEv2/IPsec и заполните поле Домен и IP-адрес:
3. Скачайте корневой сертификат Ideco NGFW в разделе Сервисы -> Сертификаты -> Загруженные сертификаты в веб-интерфейсе NGFW или в личном кабинете пользователя по кнопке Скачать корневой сертификат.
Создание подключения в Fedora
1. Для поддержки подключения по IPsec для NetworkManager установите пакет NetworkManager-strongswan:
sudo dnf -y install NetworkManager-strongswan
2. Установите пакет для настройки IPsec-подключения через графический интерфейс:
2. По окончании установки перезагрузите компьютер:
sudo reboot
3. Перейдите в Настройки -> Сети и в строке VPN нажмите .
4. В появившемся окне выберите Secure Socket Tunneling Protocol (SSTP) или Туннельный протокол типа точка-точка (SSTP):
5. В разделе Identity (Идентификация) заполните следующие поля:
Название - имя подключения;
Шлюз - укажите в формате домен:<порт, выбранный на NGFW>;
Имя пользователя - имя пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя. В правой части поля необходимо выбрать вариант хранения для пароля от VPN-соединения;
NT-домен - оставьте поле пустым.
6. Нажмите Advanced:
На вкладке Connection отключите настройки:
Use TLS hostname extentions;
Verify certificate type and extended key usage:
На вкладке Point-to-Point:
Разрешить следующие методы аутентификации - установите флаг только на MSCHAPv2;
Использовать для данных сжатие BSD - включите использование алгоритма BSD-compress;
Использовать для данных сжатие Deflate - включите использование алгоритма Deflate;
Использовать сжатие заголовков TCP - включите использование метода сжатия заголовков TCP/IP Вана Якобсона:
7. Нажмите Добавить и включите созданное VPN-подключение:
Протокол L2TP/IPsec
Важно: L2TP IPsec клиенты, находящиеся за одним NAT'ом, могут испытывать проблемы подключения, если их более одного. Рекомендуем вместо L2TP IPsec использовать IKEv2 IPsec.
Настройка Ideco NGFW:
1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.
2. Установите флаг Подключение по L2TP/IPsec и скопируйте PSK-ключ:
Создание подключения в Fedora:
1. Установите необходимые пакеты для создания L2TP VPN-соединения, выполнив следующую команду:
2. После окончания установки перезагрузите компьютер:
sudo reboot
4. Перейдите в Настройки -> Сети и в строке VPN нажмите .
5. В окне создания подключений по VPN выберите пункт Layer 2 Tunneling Protocol (L2TP):
6. На вкладке Идентификация заполните следующие поля:
Название - имя подключения;
Шлюз - доменное имя или IP-адрес интерфейса NGFW;
Тип - Password (аутентификация по имени пользователя и паролю);
Имя пользователя - имя пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя. В правой части поля необходимо выбрать вариант хранения для пароля от VPN-соединения;
NT-домен - оставьте поле пустым.
7. Перейдите в Настройки IPsec и включите настройку Enable IPsec tunnel to L2TP host, чтобы активировалась возможность настраивать остальные параметры:
Type: Pre-shared key (PSK) - аутентификация по общему ключу;
Pre-shared key - ключ, который необходимо скопировать по пути Пользователи -> VPN-подключения -> Основное из поля PSK.
Раздел Advanced необязательный для заполнения.
После окончания настройки L2TP IPsec Options нажмите ОК.
8. При необходимости перейдите в Настройки РРР и настройте раздел Аутентификация, Шифрование и сжатие и Прочие:
После настройки Параметров РРР нажмите ОК и Применить.