Создание подключения в Astra Linux

В статье описана настройка VPN-подключения по протоколам IKEv2/IPsec, L2TP/IPsec и PPTP.

Перед настройкой VPN-подключения перейдите на вкладку Пользователи -> VPN- подключения -> Доступ по VPN и создайте разрешающее VPN-подключение правило.

Настройка Ideco NGFW:

1. Перейдите на вкладку Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по IKEv2/IPsec и заполните поле Домен и IP-адрес:

3. Скачайте корневой сертификат Ideco NGFW на вкладке Сервисы -> Сертификаты -> Загруженные сертификаты в веб-интерфейсе NGFW или в личном кабинете пользователя по кнопке Скачать корневой сертификат. При необходимости перенесите файл сертификата на рабочую станцию.

Корневой сертификат потребуется для настройки подключения рабочей станции пользователя, если не был получен корневой сертификат Let`s Encrypt.

Создание подключения в Astra Linux:

1. Откройте терминал и установите необходимые пакеты, выполнив команды:

sudo apt install libcharon-extra-plugins
sudo apt install -y network-manager-strongswan libcharon-extra-plugins libstrongswan-extra-plugins

2. По окончании установки перезагрузите компьютер:

sudo reboot

3. В настройках сети выберите Соединения VPN -> Добавить VPN-соединение:

4. Выберите тип соединения IPsec/IKEv2 (strongswan) и нажмите Создать:

5. На вкладке VPN заполните поля:

Имя соединения - имя подключения;
Address - введите домен или IP-адрес, который указан в настройках Пользователи -> VPN-подключения -> Основное -> Подключение по IKEv2/IPsec;
Certificate - выберите корневой сертификат NGFW или оставьте поле пустым, если используется сертификат Let's Encrypt;
Authentication - рекомендуем выбрать EAP (Username/Password);
Username - логин пользователя, которому разрешено подключение по VPN;
Password - пароль пользователя. В правой части поля выберите вариант хранения для пароля от VPN-соединения.

Установите флаг Request an inner IP address и нажмите Добавить.

6. В настройках сети выберите Соединения VPN и установите флаг в строке с созданным соединением:

Проверить способы шифрования можно в конфигурации NGFW. Для этого откройте терминал NGFW и введите команду:

cat /run/ideco-ipsec-backend/strongswan/swanctl/conf.d/rw_ikev2.conf

для Phase1 Algorithm ищите значения proposals=;
для Phase2 Algorithms ищите значения esp_proposals=.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по PPTP:

Создание подключения в Astra Linux:

1. Откройте терминал и установите необходимые пакеты, выполнив команды:

sudo apt update
sudo apt install network-manager-pptp network-manager-pptp-gnome pptp-linux

2. По окончании установки перезагрузите компьютер:

sudo reboot

3. В настройках сети выберите Соединения VPN -> Добавить VPN-соединение:

4. Выберите тип соединения Туннельный протокол типа точка-точка (PPTP) и нажмите Создать:

5. На вкладке VPN заполните поля и нажмите Сохранить:

Имя соединения - имя подключения;
Шлюз - IP-адрес или домен внешнего интерфейса Ideco NGFW;
Имя пользователя - логин пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя. В правой части поля веберите вариант хранения для пароля от VPN-соединения;
NT-домен - оставьте поле пустым.

6. В настройках сети выберите Соединения VPN и установите флаг в строке с созданным соединением:

Настройка Ideco NGFW:

1. Перейдите на вкладку Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по L2TP/IPsec и скопируйте PSK-ключ:

Создание подключения в Astra Linux:

1. Откройте терминал и установите необходимые пакеты, выполнив команды:

sudo apt update
sudo apt install network-manager-l2tp-gnome

2. По окончании установки перезагрузите компьютер:

sudo reboot

3. В настройках сети выберите Соединения VPN -> Добавить VPN-соединение:

4. Выберите тип соединения Layer 2 Tunneling Protocol (L2TP) и нажмите Создать:

5. На вкладке VPN заполните поля:

Шлюз - IP-адрес или домен внешнего интерфейса Ideco NGFW;
Имя пользователя - логин пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя. В правой части поля выберите вариант хранения для пароля от VPN-соединения.

6. Нажмите Настройки IPsec.

7. Заполните поля:

Gateway ID - IP-адрес интерфейса, к которому осуществляется подключение;
Pre-shared key - PSK-ключ из настроек Ideco NGFW (Пользователи -> VPN-подключение -> Основное);
Phase1 Algorithm - aes256-sha512-modp2048,aes256-sha512-modp1024,aes256-sha1-ecp256,aes256-sha1-modp2048,aes256-sha1-modp1024!; *
Phase2 Algorithms - aes256-sha512-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha1-modp2048,aes256-sha512-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128-sha1-modp1024,aes256-sha512,aes256-sha256,aes256-sha1,aes128-sha1!.*

* Обязательно поставьте восклицательный знак в конце строки.

Так как Astra Linux по умолчанию запрашивает не самые защищенные алгоритмы, рекомендуем заполнить поля Phase1 Algorithm и Phase2 Algorithms самостоятельно.

8. При необходимости перейдите в Настройки РРР и настройте разделы Аутентификация, Шифрование и сжатие, Прочее:

9. Нажмите OК, затем Сохранить.

Далее в настройках сети Соединения VPN появится VPN-подключение. Для активации включите опцию VPN-соединение: