VPN-подключение
Как настроить VPN-подключение для доступа пользователей к локальной сети компании.
Название службы раздела VPN-подключения: ideco-accel-l2tp; ideco-accel-pptp; ideco-accel-sstp; ideco-vpn-servers-backend; ideco-vpn-authd; ideco-vpn-dhcp-backend.
Список служб для других разделов доступен по ссылке.
Для настройки VPN-сервера можно использовать VPN-клиент, который уже есть в операционной системе, или установить отдельный.
Для получения доступа к локальной сети компании необходимо настроить VPN-сервер и подключиться через него. Можно использовать VPN-клиент, который уже есть в операционной системе, или установить отдельный.
В Ideco NGFW нет подразделения локальных интерфейсов на VPN-интерфейсы и Ethernet, поскольку Ideco NGFW не имеет локальных VPN-интерфейсов.
Настройка VPN-сервера происходит в несколько этапов:
Настройка протоколов, маршрутов и адресации;
Настройка политик доступа из внешних сетей;
Настройка двухфакторной аутентификации (опционально).
Поддерживаемые протоколы
Ideco NGFW поддерживает четыре протокола туннельных соединений:
IKEv2 - рекомендуемый протокол с точки зрения скорости и безопасности;
SSTP - подходит для использования в средах с ограничениями на порты;
L2TP/IPsec - обеспечивает баланс между безопасностью и совместимостью;
PPTP - не рекомендуется. Этот способ подключения крайне небезопасен и оставлен исключительно для совместимости со старыми решениями.
Предварительные требования
Чтобы VPN-подключение работало на устройствах пользователей, необходимо загрузить корневой сертификат:
Корневые сертификаты Ideco NGFW действительны в течение 10 лет;
Если используется сертификат Let's Encrypt, обновление будет происходить автоматически.
Настройка VPN-подключения
Для настройки VPN-подключения перейдите в Пользователи -> VPN-подключения
Основное
На вкладке настраиваются протоколы, маршруты и адресация VPN-подключений. Для настройки:
Сеть для VPN-подключений - укажите подсеть, в рамках которой будут динамически назначаться IP-адреса. Маска подсети должна быть в диапазоне от 16 до 30 бит.
Зона - добавьте сетевые интерфейсы для подключения по VPN (опционально).
Если требуется настроить VPN-подключение к Loopback-интерфейсу, оставьте поле Зона пустым.
DNS-суффикс - укажите DNS-суффикс, если для подключения по VPN используется Ideco Client (опционально).
Выберите, какой какой протокол подключения будет использоваться.
Начиная с версии 16.0, для каждого протокола VPN-подключения отображается статус использования. Статусы отображаются в виде подсказок под названиями протоколов:
Зеленый статус: протокол включен и используется.
Оранжевый статус: протокол отключен, но используется в правилах доступа по VPN.
В блоке Передача маршрутов укажите, как будут передаваться маршруты:
Не отправлять - никакие маршруты не передаются клиенту, никакой трафик не будет проходить через NGFW;
Отправлять весь трафик на Ideco NGFW - передается маршрут 0.0.0.0/0, весь трафик направляется через NGFW;
Отправлять маршруты до всех локальных сетей - передаются маршруты до всех локальных сетей NGFW, в том числе подключенных через IPsec и маршрутизируемых;
Отправлять маршруты до локальных сетей Ideco NGFW - передаются только маршруты до локальных сетей NGFW, без учета IPsec и маршрутизируемых;
Отправлять только указанные - выберите сети, до которых будут передваться маршруты.
Если при подключении по VPN (SSTP, IKEv2, PPTP, L2TP) не удается получить маршруты до сетей NGFW, значит, число маршрутов не вмещается в опции DHCP-пакета.
Исключение подсети, IP-адреса или домена может разбить маршрут на несколько маршрутов, из-за чего они не поместятся в DHCP-пакет.
Если количество байт в опции маршрутов превышает 255, то маршруты не передаются службой ideco-vpn-dhcp-server.
Если пакет DHCP превышает 576 байт, то он может быть проигнорирован клиентом DHCP и применение маршрутов не произойдет (зависит от реализации клиента).
Доступ по VPN
На вкладке настраиваются правила доступа для пользователей и групп.
При совпадении условий (Источник подключения, Пользователи и группы, Протокол подключения) выполняется действие, выбраное при создании правил. Созданные правила применяются сверху вниз.
В правилах можно использовать как группы пользователей Ideco NGFW, так и группы безопасности AD. Для добавления группы безопасности AD для VPN не требуется импорт в дерево пользователей. Введите Ideco NGFW в домен и при создании правила Доступ по VPN в поле Пользователи и группы выберите необходимую группу безопасности.
Для настройки правил доступа, перейдите на вкладку Пользователи -> VPN-подключения -> Доступ по VPN и нажмите Добавить.
Название - укажите название правила.
Источники подключения - выберите, откуда будет производиться подключение по VPN (IP-адреса, подсети, страны).
Пользователи и группы - выберите, для каких пользовалетей будет применяться правило.
Протоколы подключения - выберите протокол (настраивается на вкладке Основное).
Доступ по VPN - разрешите или запретите доступ по созданному правилу.
Способ 2FA - выберите способ двухфакторной аутентификации. Для разных групп пользователей возможно указать разные типы двухфакторной аутентификации (опционально).
Комментарий - добавьте комментарий (опционально).
При наличии большого количества правил в таблице воспользуйтесь кнопкой Фильтры.
Правила выдачи IP-адресов
На вкладке можно создать правила для выдачи IP-адресов пользователям, подключающимся по VPN.
NGFW проверяет таблицу правил сверху вниз до первого совпадения пользователя. Если пользователь не попал под условия правил, IP-адрес назначается автоматически из пула адресов VPN, настраиваемого в разделе Пользователи -> VPN-подключения (например, 10.128.0.0/16). Из пула исключаются все подсети и одиночные адреса, указанные во всех правилах таблицы выдачи IP-адресов и используемые в текущих сессиях. Если адресов не осталось, соединение разрывается.
Важно:
Подсеть, указанная в правиле, должна полностью входить в сеть для VPN-подключений. В противном случае правило считается невалидным, адрес выдать невозможно, соединение разрывается.
В двух разных правилах нельзя указать одну и ту же сеть.
Если в разных правилах указаны пересекающиеся сети (например, сеть
10.128.1.0/24является подсетью cети10.128.0.0/20), то:адреса из cети
10.128.1.0/24никогда не будут выдаваться;при выдаче адресов сети
10.128.0.0/20из нее будут исключаться адреса подcети10.128.1.0/24.
Если указать в правилах сеть, совпадающую с сетью для VPN-подключений, то все пользователи VPN, для которых не совпадет ни одно правило таблицы, не смогут получить адрес и подключиться.
Количество одновременных VPN-подключений от одного пользователя в том числе будет ограничиваться размером сети, указанной для него в правилах.
Если в правиле указан один IP-адрес и он уже используется в текущей сессии, то указанный в правиле пользователь не сможет установить второе VPN-подключение - оно не сможет получить адрес;
Если в правиле указана сеть с префиксом /30 (или маской 255.255.255.252) и более широкие сети (например,
10.128.2.0/24), то при выдаче адреса из таких сетей адрес самой сети и широковещательный адрес (10.128.2.0и10.128.2.255) использоваться не будут.
Для создания правила перейдите на вкладку Пользователи -> VPN-подключения -> Правила выдачи IP-адресов и нажмите Добавить.
Название - укажите название правила.
Пользователи и группы - выберите, для каких пользовалетей будет применяться правило.
Выдаваемые адреса - укажите фиксированный IP-адрес или подсеть, которые будут выдаваться пользователям.
Комментарий - укажите комментарий к правилу (опционально).
При наличии большого количества правил выдачи IP-адресов в таблице воспользуйтесь кнопкой Фильтры.
Полезные ссылки
Инструкции по настройке VPN-подключений на разных ОС доступны по ссылке.
Last updated
Was this helpful?
