Ideco Client
В статье рассказывается про возможности и особенности работы Ideco Сlient.
Название службы раздела Ideco Сlient: ideco-agent-backend
; ideco-agent-websocket
.
Список служб для других разделов доступен по ссылке.
Ideco Client - программа-клиент, которая управляет авторизацией пользователей при подключении к NGFW.
Ideco Client использует протокол WireGuard, но наша реализация WireGuard совместима только с Ideco NGFW: Ideco Client не является универсальным клиентом WireGuard, а поддержка WireGuard в Ideco NGFW ограничена.
Настройки в Ideco NGFW
Для корректного подключения из внешней сети создайте в разделе Пользователи -> VPN-подключения -> Доступ по VPN правило, разрешающее пользователю VPN-подключение.
Для подключения пользователей локальных сетей по VPN активируйте настройку Создавать туннель при подключении из локальной сети в разделе Ideco Client. Изменение этой настройки разрывает текущие сессии из локальных сетей. Повторное подключение будет соответствовать новому значению настройки.
Возможности Ideco Сlient
Авторизация в локальной сети;
VPN-подключение из внешних сетей;
VPN-подключение из локальных сетей;
Режим работы Device VPN;
Сбор данных о подключающихся устройствах.
Поддерживаемые версии ОС и порты подключения
Поддерживаемые версии ОС
- Alt OS (Alt Workstation) 9.0 и выше;
- Fedora 35 и выше;
Порты для подключения, если NGFW за NAT
- 80 TCP - для работы сертификатов Let’s Encrypt; - 14765 TCP и 3051 UDP - для работы Ideco Client.
Особенности работы Ideco Client
Ideco Client обрабатывает запросы с редиректом (302) на сервер NGFW (подробнее - в статье). Это позволяет использовать VPN-балансировщик для распределения нагрузки между несколькими NGFW;
Только один профиль может быть с опцией автоподключения. Если активировать автоподключение для другого профиля, у предыдущего эта опция отключится;
Чтобы использовать SSO-профиль с автоподключением, вручную укажите доменное имя в поле Хост. Для предварительной настройки адреса подключения используйте групповую политику или запустите файл
IdecoAgent.msi
с ключом:IdecoAgent.msi utm_address=адрес_ngfw
;При попытке повторной авторизации пользователя, который уже авторизован по IP, появляется предупреждение:
После каждого обновления приложение Ideco Client запускается автоматически;
Информация о сессиях пользователей отображается в разделе Авторизованные пользователи:
DNS-суффиксы для VPN-подключений по протоколу WireGuard
Чтобы указать DNS-суффикс для домена, в который введен Ideco NGFW, перейдите в Пользователи -> VPN-подключения -> Основное, заполните поле для суффикса и нажмите Сохранить:
DNS-запросы при VPN-подключении через Ideco Client
При подключении через Ideco Client DNS-запросы могут не проходить, если выбран тип передачи маршрутов Отправлять только указанные сети. При выборе Отправлять маршруты до локальных сетей Ideco NGFW сеть до NGFW отправляется автоматически. Это связано с особенностями построения таблицы маршрутизации при подключении через Ideco Client:
При VPN-подключении без Ideco Client DNS-запросы идут на DNS, прописанный в настройках подключения (как правило, адрес NGFW);
При VPN-подключении через Ideco Client DNS-запросы идут на адрес NGFW, но в передаваемом на Ideco Client списке нет маршрута до DNS NGFW.
Рекомендуем при выборе типа передачи маршрутов Отправлять только указанные сети добавить в список DNS NGFW, чтобы клиент VPN построил таблицу маршрутизации до этой сети.
Особенности маршрутизации и организации доступа по VPN к ресурсам локальной сети описаны в статье.
Active-Active балансировка VPN-подключений
Балансировка VPN-подключений происходит на стороне Ideco Client c использованием SRV-записей DNS.
Алгоритм работы Ideco Client при балансировке:
При нажатии кнопки Подключиться Ideco Client проверяет адрес сервера, заданный в настройках профиля и составляет список для подключения, основываясь на следующих правилах:
Если адрес сервера является IP-адресом, то сразу происходит подключение Ideco Client по этому адресу.
Если адрес сервера является FQDN, то происходит запрос SRV-записей для указанного FQDN.
Если для текущего FQDN есть SRV-записи, то происходит их добавление в список для подключения и дальнейшая сортировка сначала по параметру SRV-записи
priority
. Затем при равенстве параметровpriority
у двух и более записей происходит сортировка по параметруweight
. Подробнее про сортировкуweight
в RFC-2782.Если для текущего FQDN нет SRV-записей, то происходит разрешение FQDN в IP-адрес с помощью записи типа A и Ideco Client подключается по этому IP-адресу.
После формирования списка для подключения происходит попытка подключения Ideco Client к серверам в этом списке. Если при попытке подключения отправлен редирект с кодом ответа 302, то произойдет попытка подключения по указанному в редиректе адресу. Ideco Client будет пытаться подключится до первой успешной установки соединения.
Device VPN
Device VPN - режим работы Ideco Client, в котором клиентское устройство авторизуется на Ideco NGFW без входа пользователя в систему. Такое соединение позволяет:
Для авторизации через Device VPN используется корневой сертификат с приватным ключом. На основе этого ключа администратор создает пользовательские сертификаты для конечных устройств.
Last updated
Was this helpful?