Создание VPN-подключения в Ubuntu

Инструкция актуальна для Ubuntu 24.

Перед настройкой VPN-подключения перейдите в раздел Пользователи -> VPN-подключения -> Доступ по VPN и создайте разрешающее VPN-подключение правило.

Не рекомендуем использовать для VPN-подключений кириллические логины. Инструкция актуальна для версии Ubuntu 24.04 LTS.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по IKEv2/IPsec и заполните поле Домен или IP-адрес:

3. Скачайте корневой сертификат Ideco NGFW в разделе Сервисы -> Сертификаты -> Загруженные сертификаты или в личном кабинете пользователя по кнопке Скачать корневой сертификат и загрузите на устройство пользователя.

Корневой сертификат потребуется для настройки подключения рабочей станции пользователя в случае, если не был получен корневой сертификат Let`s Encrypt.

Создание подключения в Ubuntu:

1. Откройте терминал и выполните команду:

sudo apt install -y network-manager-strongswan libcharon-extra-plugins libstrongswan-extra-plugins

2. После окончания установки перезагрузите компьютер:

sudo reboot

3. Перейдите в терминале в директорию с загруженным корневым сертификатом (если на доменное имя NGFW выпущен Let`s Encrypt сертификат, сразу перейдите к пункту 6).

4. Установите корневой сертификат NGFW в хранилище доверенных сертификатов Ubuntu:

sudo cp ca.crt /usr/local/share/ca-certificates/ca.crt

ca.crt - имя скачанного сертификата.

5. Для обновления сертификатов устройства выполните команду:

sudo update-ca-certificates

7. В появившемся окне выберите IPsec\IKEv2 (strongswan):

8. На вкладке Identity (Идентификация) заполните поля:

Название - имя подключения;
Address - домен, который указан в настройках Пользователи -> VPN-подключения -> Основное -> Подключение по IKEv2/IPsec;
Authentication - рекомендуем выбрать EAP;
Username - логин пользователя, которому разрешено подключение по VPN;
Password - пароль пользователя. В правой части поля выберите вариант хранения для пароля от VPN-соединения.

Установите флаг Request an inner IP address и нажмите Добавить.

9. Включите созданное VPN-подключение.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по SSTP и заполните поля Домен и Порт:

Создание подключения в Ubuntu:

1. Откройте терминал и выполните команды:

sudo apt-add-repository ppa:eivnaes/network-manager-sstp
sudo apt install -y network-manager-sstp sstp-client

2. По окончании установки перезагрузите компьютер:

sudo reboot

4. В появившемся окне выберите Secure Socket Tunneling Protocol (SSTP) (Туннельный протокол типа точка-точка (SSTP)):

5. На вкладке Identity (Идентификация) заполните поля:

Название - имя подключения;
Шлюз - укажите в формате домен:<порт, выбранный на NGFW>;
Имя пользователя - логин пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя. В правой части поля выберите вариант хранения для пароля от VPN-соединения;
NT-домен - оставьте поле пустым.

6. Нажмите Advanced:

На вкладке Connection отключите настройки:
- Use TLS hostname extentions;
- Verify certificate type and extended key usage:

На вкладке Point-to-Point установите флаги на пунктах:
- Разрешить следующие методы аутентификации - установите флаг только на MSCHAPv2;
- Использовать для данных сжатие BSD;
- Использовать для данных сжатие Deflate;
- Использовать сжатие заголовков TCP:

6. Нажмите Добавить и включите созданное VPN-подключение:

Важно: L2TP/IPsec клиенты, находящиеся за одним NAT'ом, могут испытывать проблемы подключения, если их более одного. Рекомендуем вместо L2TP/IPsec использовать IKEv2/IPsec.

Настройка Ideco NGFW:

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное.

2. Установите флаг Подключение по L2TP/IPsec и скопируйте PSK-ключ:

Создание подключения в Ubuntu:

1. Подключите репозиторий, в котором находятся необходимые пакеты для создания L2TP VPN-соединения, а затем обновите информацию о репозиториях. Для этого выполните команды:

sudo add-apt-repository ppa:nm-l2tp/network-manager-l2tp
sudo apt update

2. Установите дополнение к стандартному NetworkManager с помощью двух пакетов:

sudo apt install -y network-manager-l2tp network-manager-l2tp-gnome

3. После окончания установки перезагрузите компьютер:

sudo reboot

4. Проверьте установленные пакеты:

dpkg --get-selections | grep l2tp

Важно: если в списке пакетов находится go-l2tp, удалите пакет и установите xl2tpd:

sudo apt purge go-l2tp
sudo apt install xl2tpd

6. В появившемся окне выберите пункт Layer 2 Tunneling Protocol (L2TP):

7. На вкладке Идентификация заполните поля:

Название - имя подключения;
Шлюз - домен или IP-адрес Ideco NGFW;
Тип - Password (аутентификация по имени пользователя и паролю);
Имя пользователя - логин пользователя, которому разрешено подключение по VPN;
Пароль - пароль пользователя. В правой части поля выберите вариант хранения для пароля от VPN-соединения;
NT-домен - оставьте поле пустым.

8. Перейдите в Настройки IPsec и включите настройку Enable IPsec tunnel to L2TP host, чтобы активировалась возможность настраивать остальные параметры:

Type: Pre-shared key (PSK) - аутентификация по общему ключу;
Pre-shared key - ключ, который необходимо скопировать по пути Пользователи -> VPN-подключения -> Основное из поля PSK.

Раздел Advanced необязателен для заполнения.

После окончания настройки L2TP IPsec Options нажмите ОК.

9. При необходимости перейдите в Настройки РРР и настройте раздел Аутентификация, Шифрование и сжатие и Прочие:

После настройки Параметры РРР нажмите ОК и Применить.

10. Включите созданное VPN-подключение: