Ideco Client

В статье рассказывается про возможности и особенности работы Ideco Сlient.

Название службы раздела Ideco Сlient: ideco-agent-backend; ideco-agent-websocket. Список служб для других разделов доступен по ссылке.

Ideco Client - программа-клиент, которая управляет авторизацией пользователей при подключении к NGFW.

Ideco Client использует протокол WireGuard, но наша реализация WireGuard совместима только с Ideco NGFW: Ideco Client не является универсальным клиентом WireGuard, а поддержка WireGuard в Ideco NGFW ограничена.

Настройки в Ideco NGFW

Для корректного подключения из внешней сети создайте в разделе Пользователи -> VPN-подключения -> Доступ по VPN правило, разрешающее пользователю VPN-подключение.

Для подключения пользователей локальных сетей по VPN активируйте настройку Создавать туннель при подключении из локальной сети в разделе Ideco Client. Изменение этой настройки разрывает текущие сессии из локальных сетей. Повторное подключение будет соответствовать новому значению настройки.

Возможности Ideco Сlient

Авторизация в локальной сети;
VPN-подключение из внешних сетей;
VPN-подключение из локальных сетей;
Режим работы Device VPN;
Сбор данных о подключающихся устройствах.

Сбор данных о подключающихся устройствах позволяет задавать критерии проверки - HIP-профили - и использовать их в правилах Файрвола.

HIP-профили помогают реализовать ZTNA (Zero Trust Network Access) - технологию, которая обеспечивает безопасный доступ к сети на основе принципа нулевого доверия. ZTNA контролирует и аутентифицирует устройства пользователей перед предоставлением доступа к ресурсам сети.

Поддерживаемые версии ОС и порты подключения

Поддерживаемые версии ОС

- ОС семейства Windows с 10 версии и выше; - MacOS версии 12.7 и выше. При этом Ideco Client работает с ; - Astra Linux 1.7.0 и выше; - РЕД ОС 8.0 и выше;

- Alt OS (Alt Workstation) 9.0 и выше;

- Fedora 35 и выше;

- Ubuntu 18.04 LTS (23.04) и выше. Важно: Ideco Client не работает на ОС Windows 11 версии 24H2. Варианты решения .

Порты для подключения, если NGFW за NAT

- 80 TCP - для работы сертификатов Let’s Encrypt; - 14765 TCP и 3051 UDP - для работы Ideco Client.

Варианты решения проблем на ОС Windows 11 версии 24H2

Включить компонент Virtual Machine Platform:

1. Установите последнюю версию MS Visual C++ Redistributable.

2. Нажмите комбинацию клавиш Windows + R и введите команду appwiz.cpl.

3. В левой части окна выберите Включение или отключение компонентов Windows.

4. Включите функцию Virtual Machine Platform (Платформа виртуальной машины).

5. Нажмите ОК и перезагрузите компьютер.

Вернуть предыдущую версию операционной системы Windows 11 23H2;
Использовать альтернативный способ VPN-подключения.

Особенности работы Ideco Client

Ideco Client обрабатывает запросы с редиректом (302) на сервер NGFW (подробнее - в статье). Это позволяет использовать VPN-балансировщик для распределения нагрузки между несколькими NGFW;
Только один профиль может быть с опцией автоподключения. Если активировать автоподключение для другого профиля, у предыдущего эта опция отключится;
Чтобы использовать SSO-профиль с автоподключением, вручную укажите доменное имя в поле Хост. Для предварительной настройки адреса подключения используйте групповую политику или запустите файл IdecoAgent.msi с ключом: IdecoAgent.msi utm_address=адрес_ngfw;
При попытке повторной авторизации пользователя, который уже авторизован по IP, появляется предупреждение:
После каждого обновления приложение Ideco Client запускается автоматически;
Информация о сессиях пользователей отображается в разделе Авторизованные пользователи:

DNS-суффиксы для VPN-подключений по протоколу WireGuard

Чтобы указать DNS-суффикс для домена, в который введен Ideco NGFW, перейдите в Пользователи -> VPN-подключения -> Основное, заполните поле для суффикса и нажмите Сохранить:

Ideco NGFW поддерживает только один DNS-суффикс. Не указывайте DNS-суффикс, если NGFW введен в несколько доменов.

DNS-запросы при VPN-подключении через Ideco Client

При подключении через Ideco Client DNS-запросы могут не проходить, если выбран тип передачи маршрутов Отправлять только указанные сети. При выборе Отправлять маршруты до локальных сетей Ideco NGFW сеть до NGFW отправляется автоматически. Это связано с особенностями построения таблицы маршрутизации при подключении через Ideco Client:

При VPN-подключении без Ideco Client DNS-запросы идут на DNS, прописанный в настройках подключения (как правило, адрес NGFW);
При VPN-подключении через Ideco Client DNS-запросы идут на адрес NGFW, но в передаваемом на Ideco Client списке нет маршрута до DNS NGFW.

Рекомендуем при выборе типа передачи маршрутов Отправлять только указанные сети добавить в список DNS NGFW, чтобы клиент VPN построил таблицу маршрутизации до этой сети.

Особенности маршрутизации и организации доступа по VPN к ресурсам локальной сети описаны в статье.

Active-Active балансировка VPN-подключений

Балансировка VPN-подключений происходит на стороне Ideco Client c использованием SRV-записей DNS.

В SRV-записи DNS нельзя указывать IP-адрес, только FQDN. При указании IP-адреса в SRV-записи он будет интерпретирован как поддомен зоны. Подробнее про SRV-записи в RFC-2782.

Если при подключении к серверу в ответе приходит редирект с кодом ответа 302, то для полученного в редиректе адреса поиск SRV-записей производиться не будет. Ideco Client сразу подключится по адресу, полученному в редиректе.

Алгоритм работы Ideco Client при балансировке:

При указании в параметре target SRV-записи . подключение происходить не будет, и сообщение о том, что сервис недоступен, будет выведено пользователю.

При нажатии кнопки Подключиться Ideco Client проверяет адрес сервера, заданный в настройках профиля и составляет список для подключения, основываясь на следующих правилах:

Если адрес сервера является IP-адресом, то сразу происходит подключение Ideco Client по этому адресу.
Если адрес сервера является FQDN, то происходит запрос SRV-записей для указанного FQDN.
- Если для текущего FQDN есть SRV-записи, то происходит их добавление в список для подключения и дальнейшая сортировка сначала по параметру SRV-записи priority. Затем при равенстве параметров priority у двух и более записей происходит сортировка по параметру weight. Подробнее про сортировку weight в RFC-2782.
- Если для текущего FQDN нет SRV-записей, то происходит разрешение FQDN в IP-адрес с помощью записи типа A и Ideco Client подключается по этому IP-адресу.

После формирования списка для подключения происходит попытка подключения Ideco Client к серверам в этом списке. Если при попытке подключения отправлен редирект с кодом ответа 302, то произойдет попытка подключения по указанному в редиректе адресу. Ideco Client будет пытаться подключится до первой успешной установки соединения.

При попытке подключения к хостам из списка могут возникнуть циклические редиректы. При настройке серверов для подключения по VPN убедитесь, что не происходит циклических редиректов.

Device VPN

Device VPN - режим работы Ideco Client, в котором клиентское устройство авторизуется на Ideco NGFW без входа пользователя в систему. Такое соединение позволяет:

Устанавливать на устройства программы и обновления
Получать доступ к внутренней инфраструктуре
Применять групповые политики
Блокировать/разблокировать устройства и пользователей
Отслеживать активность устройств и управлять устройствами за пределами внутренних сетей

Для авторизации через Device VPN используется корневой сертификат с приватным ключом. На основе этого ключа администратор создает пользовательские сертификаты для конечных устройств.

Настройка Device VPN

Создание сертификатов для Device VPN

PreviousИнструкция по запуску PowerShell скриптов NextУстановка и настройка Ideco Client на Windows

Last updated 1 month ago

Was this helpful?