VPN-подключение
Название службы раздела VPN-подключения: ideco-accel-l2tp
; ideco-accel-pptp
; ideco-accel-sstp
; ideco-vpn-servers-backend
; ideco-vpn-authd
; ideco-vpn-dhcp-backend
.
Список служб для других разделов доступен по ссылке.
Инструкция по настройке VPN-подключения через Ideco Client.
Не рекомендуем использовать для VPN-подключений кириллические логины.
Для получения доступа к локальной сети компании из дома, отеля или другого офиса, необходимо настроить VPN-сервер и подключиться через него. Для этого можно использовать VPN-клиент, который уже есть в операционной системе, или установить отдельный.
Настройка VPN-сервера включает в себя несколько этапов:
Настройка протоколов, маршрутов и адресации;
Настройка политик доступа из внешних сетей;
Опционально - двухфакторная аутентификация.
Для client-to-site VPN сервер Ideco NGFW поддерживает четыре протокола туннельных соединений: IKEv2, SSTP, L2TP/IPsec, PPTP.
В целях безопасности не рекомендуется использовать протокол PPTP (он оставлен для совместимости с устаревшими операционными системами и оборудованием, а также для авторизации в локальной сети, где нет требований к строгому шифрованию трафика).
Рекомендуемым в плане скорости и безопасности является протокол IKEv2.
При проблемах с подключением на IOS требуется:
1. Проверить, что в качестве VPN-сервера указано его доменное имя в разделе Пользователи -> VPN-подключения.
2. Проверить, что на доменное имя VPN-сервера выдан сертификат Let's Encrypt.
Используйте личный кабинет пользователя для раздачи инструкций по созданию пользовательских VPN-подключений.
Основное
В поле Сеть для VPN-подключений указывается подсеть, в рамках которой будут динамически присваиваться IP-адреса. Маска подсети должна быть в диапазоне от 16 до 30 бит.
Инструкции по настройке VPN-подключений на разных ОС доступны по ссылке.
Чтобы VPN-подключение работало на устройствах пользователей, необходимо загрузить корневой сертификат. Корневые сертификаты Ideco NGFW действительны в течение 10 лет.
Если используется сертификат Let's Encrypt, обновление будет происходить автоматически. Подробнее о сертификатах можно узнать в статье.
Основные настройки
В основных настройках выберите протоколы, по которым смогут подключаться пользователи. Подробнее о настройках в статьях: PPTP, IKEv2/IPsec, SSTP и L2TP/IPsec.
Для настройки конфигурации VPN-подключения сразу на несколько сетевых интерфейсов:
1. Создайте зону и добавьте сетевые интерфейсы для подключения по VPN в эту зону;
2. Перейдите в раздел Пользователи -> VPN-подключения -> Основное и укажите зону, созданную на первом шаге:
Используйте зоны для настройки конфигурации VPN-подключения сразу нескольких сетевых интерфейсов.
Если требуется настроить VPN-подключение к Loopback-интерфейсу, оставьте поле Зона пустым.
Не рекомендуем использовать тип подключения PPTP. Этот способ подключения КРАЙНЕ небезопасен, оставлен исключительно для совместимости со старыми решениями. Используйте IPsec-IKEv2.
Статусы подключения
Начиная с 16.0 версии Ideco NGFW, у каждого протокола VPN-подключения появился статус использования. Статусы отображаются в виде подсказок под названиями протоколов, когда протокол используется в правилах таблицы Доступ по VPN.
Если включена опция рядом с названием протокола в разделе Пользователи -> VPN-подключения -> Основное и есть подключение, то цвет статуса - зеленый, если протокол выключен - оранжевый.
Передача маршрутов
Если при подключении по VPN (SSTP, IKEv2, PPTP, L2TP) не удается получить маршруты до сетей Ideco NGFW, то это связано с тем, что указанное число маршрутов не вмещается в опции DHCP-пакета.
При исключении подсети, IP-адреса, домена из передаваемого маршрута может возникнуть разбиение на несколько маршрутов. Это может привести к тому, что все маршруты не вместятся в опции DHCP-пакета.
Если количество байт в опции маршрутов превышает 255, то маршруты не передаются службой ideco-vpn-dhcp-server.
Если пакет DHCP превышает 576 байт, то он может быть проигнорирован клиентом DHCP и применение маршрутов не произойдет (зависит от реализации клиента).
Маршруты, переданные Ideco NGFW для VPN-клиента, имеют меньшую метрику (т. е. высокий приоритет). В меню передача маршрутов существует 5 опций для настройки передачи маршрутов клиентам:
1. Не отправлять. При включении данной опции клиентам не будут передаваться никакие маршруты, то есть никакой трафик не будет проходить через NGFW.
2. Отправлять весь трафик на Ideco NGFW. При включении этой опции клиентам будет передаваться маршрут 0.0.0.0/0, то есть весь трафик будет проходить через NGFW.
3. Отправлять маршруты до всех локальных сетей. При включении опции клиентам будут передаваться маршруты до всех локальных сетей NGFW, в том числе подключенных через IPsec и маршрутизируемых.
4. Отправлять маршруты до локальных сетей Ideco NGFW. При включении опции клиентам будут переданы маршруты только до локальных сетей NGFW, без учета IPsec и маршрутизируемых.
5. Отправлять только указанные. При включении опции предоставляется возможность выбрать, какие маршруты нужно отправлять клиентам.
Если маршруты VPN-клиентов пересекаются с маршрутами, передаваемыми Ideco NGFW, то выберите Не отправлять или Отправлять только указанные.
Доступ по VPN
Вкладка содержит таблицу правил, которые действуют сверху вниз. Как только в правиле происходит совпадение полей Источник подключения, Пользователи и группы, Протокол подключения, производится действие, выбранное при создании правила. В случае указания Способа 2FA будет происходить аутентификация по второму фактору. В правилах возможно использовать как группы пользователей Ideco NGFW, так и группы безопасности AD.
Для добавления группы безопасности AD для VPN не требуется импорт в дерево пользователей. Введите Ideco NGFW в домен и выберите на вкладке Доступ по VPN требуемую группу безопасности.
Для включения доступа по VPN у группы пользователей выполните действия:
1. Перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN.
2. Заполните необходимые поля формы:
3. Нажмите Добавить.
При наличии большого количества правил в таблице воспользуйтесь кнопкой Фильтры.
Для работы VPN-подключений по выбранному протоколу настройте Ideco NGFW соответствующим образом в разделе VPN-подключения -> Основное.
Для разных групп пользователей возможно указать разные типы двухфакторной аутентификации. Для настройки двухфакторной аутентификации воспользуйтесь статьей.
Правила выдачи IP-адресов
На вкладке доступно создание правил для выдачи IP-адресов пользователям, подключающимся по VPN. NGFW просматривает таблицу правил сверху вниз до первого совпадения пользователя.
Если пользователь не попал под условия правил, ему выдается свободный IP-адрес из сети для VPN-подключений. При этом из нее исключаются все подсети и одиночные адреса, указанные во всех правилах таблицы и использующиеся в текущих сессиях. Если ни одного адреса не осталось, соединение разрывается.
Чтобы создать правило, нажмите Добавить и заполните следующие поля:
Название - введите название правила;
Пользователи и группы - выберите пользователей или группы пользователей, на которых будет распространяться правило;
Выдаваемые адреса - введите IP-адрес или подсеть;
Комментарий - поле может быть пустым.
При наличии большого количества правил выдачи IP-адресов в таблице воспользуйтесь кнопкой Фильтры.
Важно:
Подсеть, указанная в правиле, должна полностью входить в сеть для VPN-подключений. В противном случае правило считается невалидным, адрес выдать невозможно, соединение разрывается.
В двух разных правилах нельзя указать одну и ту же сеть.
Если в разных правилах указаны пересекающиеся сети (например, cеть
10.128.1.0/24
является подсетью cети10.128.0.0/20
), то:адреса из cети
10.128.1.0/24
никогда не будут выдаваться;при выдаче адресов сети
10.128.0.0/20
из нее будут исключаться адреса подcети10.128.1.0/24
.
Если указать в правилах сеть, совпадающую с сетью для VPN-подключений, то все пользователи VPN, для которых не совпадет ни одно правило таблицы, не смогут получить адрес и подключиться.
Количество одновременных VPN подключений от одного пользователя в том числе будет ограничиваться размером сети, указанной для него в правилах.
Если в правиле указан один IP-адрес и он уже используется в текущей сессии, то указанный в правиле пользователь не сможет установить второе VPN-подключение - оно не сможет получить адрес;
Если в правиле указана сеть с префиксом /30 (или маской 255.255.255.252) и более широкие сети (например,
10.128.2.0/24
), то при выдаче адреса из таких сетей адрес самой сети и широковещательный адрес (10.128.2.0
и10.128.2.255
) использоваться не будут.
Cтатическая привязка IP-адресов
IP-адрес пользователю назначается автоматически из пула адресов для VPN, настраиваемого в разделе Пользователи -> VPN-подключения (например 10.128.0.0/16).
Last updated