Ideco Client

Специализированная программа-клиент для управления доступом пользователей в интернет.

Название службы раздела Ideco Сlient: ideco-agent-backend; ideco-agent-websocket. Список служб для других разделов доступен по ссылке.

Ideco Client использует протокол WireGuard, но наша реализация WireGuard совместима только с Ideco NGFW. Важно отметить, что Ideco Client не является универсальным клиентом WireGuard, а поддержка WireGuard в Ideco NGFW также ограничена.

Ideco Client управляет авторизацией пользователей при подключении к NGFW из локальной сети и по VPN из внешних сетей. Возможности:

Авторизация в локальной сети;
VPN-подключение из внешних сетей;
VPN-подключение из локальных сетей;
Сбор данных о подключающихся устройствах. Это позволяет задавать критерии проверки - HIP-профилии - и использовать их в правилах Файрвола;
Режим работы Device VPN.

HIP-профили помогают реализовать ZTNA (Zero Trust Network Access) - технологию, которая обеспечивает безопасный доступ к сети на принципе нулевого доверия. ZTNA контролирует и аутентифицирует устройства пользователей перед предоставлением доступа к ресурсам сети.

Поддерживаемые версии ОС и порты подключения

Поддерживаемые версии ОС

- ОС семейства Windows с 10 версии и выше; - MacOS версии 12.7 и выше. При этом Ideco Client работает с некоторыми ограничениями; - Astra Linux 1.7.0 и выше; - РЕД ОС 8.0 и выше;

- Alt OS (Alt Workstation) 9.0 и выше;

- Fedora 35 и выше;

- Ubuntu 18.04 LTS (23.04) и выше. Важно: Ideco Client не работает на ОС Windows 11 версии 24H2. Варианты решения описаны ниже.

Порты для подключения, если NGFW за NAT

- 80 TCP - для работы сертификатов let's encrypt; - 14765 TCP и 3051 UDP - для работы Ideco Client.

Для корректного подключения из внешней сети создайте в разделе Пользователи -> VPN-подключения -> Доступ по VPN правило, разрешающее пользователю VPN-подключение.

Варианты решения проблем на ОС Windows 11 версии 24H2

Включить компонент Virtual Machine Platform:

Установите последнюю версию MS Visual C++ Redistributable;
Нажмите комбинацию клавиш Windows + R и введите команду appwiz.cpl;
В левой части окна выберите Включение или отключение компонентов Windows;
Включите функцию Virtual Machine Platform (Платформа виртуальной машины);
Нажмите ОК и перезагрузите компьютер.

2. Вернуть предыдущую версию операционной системы Windows 11 23H2.

3. Использовать альтернативный способ VPN-подключения.

Особенности работы Ideco Client

Ideco Client обрабатывает запросы с редиректом (302) на сервер NGFW (подробнее в статье). Это позволяет использовать VPN-балансировщик для распределения нагрузки между несколькими NGFW;
Только один профиль может быть с опцией автоподключения. Если активировать автоподключение для другого профиля, у предыдущего эта опция отключится.
Чтобы использовать SSO-профиль с автоподключением, вручную укажите доменное имя в поле Хост. Для предварительной настройки адреса подключения используйте групповую политику или запустите файл через командную строку с ключом: IdecoAgent.msi utm_address=адрес_ngfw;
При попытке повторной авторизации пользователя, который уже авторизован по IP, появляется предупреждение:
После каждого обновления приложение Ideco Client запускается автоматически.

Ideco Client позволяет подключать пользователей локальных сетей по VPN. Для этого активируйте настройку Создавать туннель при подключении из локальной сети в разделе Ideco Client. Изменение этой настройки разрывает текущие сессии из локальных сетей, и повторное подключение будет соответствовать новому значению.

Информация о сессиях пользователей появится в разделе Авторизованные пользователи:

DNS-суффиксы для VPN-подключений по протоколу Wireguard

Чтобы указать DNS-суффикс для домена, в который введен Ideco NGFW, перейдите в Пользователи -> VPN-подключения -> Основное, заполните поле для суффикса и нажмите Сохранить:

Ideco NGFW поддерживает только один DNS-суффикс. Не указывайте DNS-суффикс, если NGFW введен в несколько доменов.

DNS-запросы при VPN-подключении через Ideco Client

При подключении через Ideco Client к NGFW и выборе Отправлять только указанные сети DNS-запросы могут не проходить. При выборе Отправлять маршруты до локальных сетей Ideco NGFW сеть до NGFW отправляется автоматически.

Это связано с особенностями построения таблицы маршрутизации при подключении через Ideco Client:

При VPN-подключении без Ideco Client DNS-запросы идут на DNS, прописанный в настройках подключения (как правило, адрес NGFW);
При VPN-подключении через Ideco Client DNS-запросы идут на адрес NGFW, но в передаваемом на Ideco Client списке нет маршрута до DNS NGFW.

Рекомендуем при выборе типа передачи маршрутов Отправлять только указанные сети добавить в список DNS NGFW, чтобы клиент VPN построил таблицу маршрутизации до этой сети.

Особенности маршрутизации и организации доступа по VPN к ресурсам локальной сети описаны в статье.

Device VPN

Device VPN - режим работы Ideco Client, в котором клиентское устройство авторизуется на Ideco NGFW без входа пользователя в систему. Такое соединение позволяет:

Устанавливать на устройства программы и обновления
Получить доступ к внутренней инфраструктуре
Применять групповые политики
Блокировать/разблокировать устройства и пользователей
Отслеживать активность устройств и управлять устройствами за пределами внутренних сетей

Для авторизации через Device VPN используется корневой сертификат с приватным ключом. На основе этого ключа администратор создает пользовательские сертификаты для конечных устройств.

Настройка Device VPN Создание сертификатов для Device VPN

PreviousИнструкция по запуску PowerShell скриптов NextУстановка и настройка Ideco Client на Windows

Last updated 5 hours ago