Ideco Client
Специализированная программа-клиент для управления доступом пользователей в интернет.
Название службы раздела Ideco Сlient: ideco-agent-backend; ideco-agent-websocket.
Список служб для других разделов доступен по ссылке.
Использует протокол WireGuard.
Установить программу Ideco Client можно на:
ОС семейства Windows с 10 версии и выше;
MacOS версии 12.7 и выше. При этом Ideco Client работает с некоторыми ограничениями;
Astra Linux 1.7.0 и выше;
РЕД ОС 8.0 и выше;
Alt OS (Alt Workstation) 9.0 и выше;
Fedora 35 и выше;
Ubuntu 18.04 LTS (23.04) и выше.
Ideco Client не работает на операционной системе Windows 11 версии 24H2. Для устранения проблемы можно предпринять следующие действия:
1. Включить компонент Virtual Machine Platform:
Установите последнюю версию MS Visual C++ Redistributable;
Нажмите комбинацию клавиш Windows + R и введите команду
appwiz.cpl;В левой части окна выберите Включение или отключение компонентов Windows;
Включите функцию Virtual Machine Platform (Платформа виртуальной машины);
Нажмите ОК и перезагрузите компьютер.
2. Вернуть предыдущую версию операционной системы Windows 11 23H2.
3. Использовать альтернативный способ VPN-подключения.
Ideco Client управляет авторизацией пользователей при подключении к Ideco NGFW из локальной сети и по VPN из внешних сетей. При использовании Ideco Client возможны:
Авторизация из локальной сети;
Подключение по VPN из внешних сетей;
Подключение по VPN из локальных сетей.
Кроме того, Ideco Client собирает информацию о подключающихся устройствах. За счет этого можно задать критерии проверки устройств - HIP-профили, которые используются в правилах Файрвола Ideco NGFW для ограничения или разрешения доступа к ресурсами сети.
С помощью HIP-профилей реализуется ZTNA (Zero Trust Network Access) - технология обеспечения безопасного доступа к сети, основанная на принципе нулевого доверия. ZTNA позволяет контролировать и аутентифицировать устройства пользователей перед предоставлением доступа к ресурсам сети.
Программа должна быть установлена на рабочей станции пользователя.
Порты для подключения, если NGFW за NAT:
80 TCP - для работы сертификатов let's encrypt;
14765 TCP и 3051 UDP - для работы Ideco Client.
Для корректного подключения из внешней сети создайте в разделе Пользователи -> VPN-подключения -> Доступ по VPN правило, разрешающее пользователю VPN-подключение.
Особенности работы Ideco Client
Ideco Client поддерживает обработку запросов с редиректом (статус 302) на сервер Ideco NGFW (подробнее в статье). Это позволяет использовать балансировщик VPN-подключений для распределения нагрузки между несколькими Ideco NGFW.
Опцией автоматического подключения может обладать только один профиль. При активации опции автоподключения другому профилю у предыдущего автоподключение будет отключено;
Чтобы использовать SSO-профиль с включенным автоподключением, необходимо вручную указать доменное имя в поле Хост. Чтобы заранее настроить адрес подключения, воспользуйтесь групповой политикой или запустите файл через командную строку с ключом
IdecoAgent.msi utm_address=адрес_ngfw;При попытке повторной авторизации пользователя, который уже авторизован по IP, появляется предупреждение:
После каждого обновления приложение Ideco Client запускается автоматически.
Ideco Client также позволяет подключать пользователей локальных сетей по VPN. Для создания VPN-туннеля при подключении из локальной сети активируйте настройку Создавать туннель при подключении из локальной сети в разделе Ideco Client.
При изменении настройки Создавать туннель при подключении из локальной сети разрываются все сессии пользователей, подключенных через Ideco Client из локальных сетей. Повторное подключение к NGFW будет соответствовать новому значению настройки.
При подключении пользователей через Ideco Client информация о сессии появится в разделе Авторизованные пользователи:
При включении опции Показать только VPN-пользователей в таблице отобразится только информация о сессиях пользователей, подключившихся через Ideco Client из внешней сети или из локальной сети с созданием туннеля:
DNS-суффиксы для VPN-подключений по протоколу Wireguard
При подключении пользователей с использованием Ideco Client по VPN есть возможность указать DNS-суффикс для домена, в который введен Ideco NGFW. Для этого перейдите в раздел Пользователи -> VPN-подключения -> Основное, заполните соответствующее поле и нажмите Сохранить:
Ideco NGFW позволяет указать только один DNS-суффикс. Не рекомендуем указывать DNS-суффикс, если Ideco NGFW введен в несколько доменов.
DNS-запросы при VPN-подключении через Ideco Client
При подключении к Ideco по VPN через Ideco Client DNS-запросы могут не проходить, если выбран тип передачи маршрутов Отправлять только указанные сети. При выборе Отправлять маршруты до локальных сетей Ideco NGFW сеть до NGFW отправляется автоматически.
Это связано с особенностями построения таблицы маршрутизации при подключении через Ideco Client:
При VPN-подключении без Ideco Client DNS-запросы идут на DNS, прописанный в настройках подключения (как правило, адрес NGFW);
При VPN-подключении через Ideco Client DNS-запросы идут на адрес NGFW, но в передаваемом на Ideco Client списке нет маршрута до DNS NGFW.
Рекомендуем при выборе типа передачи маршрутов Отправлять только указанные сети добавить в список DNS NGFW, чтобы клиент VPN построил таблицу маршрутизации до этой сети.
Особенности маршрутизации и организации доступа по VPN к ресурсам локальной сети описаны в статье.
Device VPN
Device VPN - режим работы Ideco Client, в котором клиентское устройство авторизуется на Ideco NGFW без входа пользователя в систему. Такое соединение позволяет:
Для работы Device VPN для клиентов из локальных сетей обязательно включение настройки Создавать туннель при подключении из локальной сети.
Авторизация устройств в режиме Device VPN осуществляется с использованием сертификата и закрытого ключа. На Ideco NGFW необходимо загрузить доверенный сертификат, которым будет подписан сертификат для авторизации устройства. Если для авторизации будет использоваться самоподписанный сертификат (сгенерированный в PowerShell или Openssl), загрузите его в качестве доверенного.
Если для проверки подлинности используется промежуточный сертификат, то на Ideco NGFW нужно загрузить файл, содержащий всю цепочку сертификатов, начиная с корневого. Структура этого файла похожа на структуру файла для загрузки SSL-сертификата на сервер.
Чтобы подключить устройство к Ideco NGFW в режиме Device VPN, выполните действия:
1. В веб-интерфейсе Ideco NGFW перейдите в раздел Пользователи -> Ideco Client.
2. Введите домен или IP-адрес Ideco NGFW, включите настройку Создавать туннель при подключении из локальной сети (если устройства пользователей находятся в локальной сети).
3. Включите настройку Принимать подключения в режиме Device VPN.
4. Загрузите доверенный сертификат в формате .pem и нажмите Сохранить:
5. Перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте правило, разрешающее учетным записям Ideco Device VPN подключение по протоколу Wireguard:
6. Установите Ideco Client на устройство пользователя (Windows, Linux, MacOS).
7. Загрузите на устройство пользователя сертификат и закрытый ключ для авторизации, подписанные доверенным сертификатом.
Файл сертификата имеет расширение .pem. Файл хранит в себе сертификат и приватный ключ.
При подключении устройства на MacOS не храните файлы сертификата и закрытого ключа для авторизации в директориях Desktop, Documents и Downloads: в этом случае Ideco Client не сможет получить доступ к этим файлам и прочитать их. Рекомендуем сохранить файлы в другую директорию, например, в корневую директорию домашней папки пользователя (/home/user).
8. Запустите установленный Ideco Client:
При неудачном подключении Device VPN попытка соединения будет бесконечной, даже если закрыть Ideco Client клиент или перезапустить службу.
Для решения проблемы необходимо:
Выключить DeviceVPN: выполнить команду по настройке Device VPN с единственным параметром
--set-enable-devicevpn=False;Исправить проблему подключения (загрузить правильный сертификат, определить корректность пути до него);
Настроить и активировать Device VPN: выполнить команду по настройке Device VPN и параметром
--set-enable-devicevpn=True.В интерфейсе Ideco NGFW убедиться, что подключение Device VPN выполнено.
Если в таблице Пользователи -> VPN-подключения -> Доступ по VPN устройству из группы Device VPN запрещен доступ, на короткое время подключение из внешней сети будет установлено. За это время может пройти определенный объем трафика.
Позже подключение будет разорвано. Это связано с тем, что проверка по таблице доступа VPN для Device VPN происходит не в момент подключения, а позже.
Last updated
