VPN-подключение

Как настроить VPN-подключение для доступа пользователей к локальной сети компании.

Название службы раздела VPN-подключения: ideco-accel-l2tp; ideco-accel-pptp; ideco-accel-sstp; ideco-vpn-servers-backend; ideco-vpn-authd; ideco-vpn-dhcp-backend. Список служб для других разделов доступен по ссылке.

Для настройки VPN-сервера можно использовать VPN-клиент, который уже есть в операционной системе, или установить отдельный.

Для получения доступа к локальной сети компании необходимо настроить VPN-сервер и подключиться через него. Можно использовать VPN-клиент, который уже есть в операционной системе, или установить отдельный.

В Ideco NGFW нет подразделения локальных интерфейсов на VPN-интерфейсы и Ethernet, поскольку Ideco NGFW не имеет локальных VPN-интерфейсов.

Настройка VPN-сервера происходит в несколько этапов:

Настройка протоколов, маршрутов и адресации;
Настройка политик доступа из внешних сетей;
Настройка двухфакторной аутентификации (опционально).

Поддерживаемые протоколы

Ideco NGFW поддерживает четыре протокола туннельных соединений:

IKEv2 - рекомендуемый протокол с точки зрения скорости и безопасности;
SSTP - подходит для использования в средах с ограничениями на порты;
L2TP/IPsec - обеспечивает баланс между безопасностью и совместимостью;
PPTP - не рекомендуется. Этот способ подключения крайне небезопасен и оставлен исключительно для совместимости со старыми решениями.

Предварительные требования

Чтобы VPN-подключение работало на устройствах пользователей, необходимо загрузить корневой сертификат:

Корневые сертификаты Ideco NGFW действительны в течение 10 лет;
Если используется сертификат Let's Encrypt, обновление будет происходить автоматически.

Настройка VPN-подключения

Для настройки VPN-подключения перейдите в Пользователи -> VPN-подключения

Основное

На вкладке настраиваются протоколы, маршруты и адресация VPN-подключений. Для настройки:

Сеть для VPN-подключений - укажите подсеть, в рамках которой будут динамически назначаться IP-адреса. Маска подсети должна быть в диапазоне от 16 до 30 бит.
Зона - добавьте сетевые интерфейсы для подключения по VPN (опционально).

Если требуется настроить VPN-подключение к Loopback-интерфейсу, оставьте поле Зона пустым.

DNS-суффикс - укажите DNS-суффикс, если для подключения по VPN используется Ideco Client (опционально).
Выберите, какой какой протокол подключения будет использоваться.

Начиная с версии 16.0, для каждого протокола VPN-подключения отображается статус использования. Статусы отображаются в виде подсказок под названиями протоколов:

Зеленый статус: протокол включен и используется.

Оранжевый статус: протокол отключен, но используется в правилах доступа по VPN.

В блоке Передача маршрутов укажите, как будут передаваться маршруты:

Маршруты, переданные Ideco NGFW для VPN-клиента, имеют меньшую метрику (т. е. высокий приоритет)

Не отправлять - никакие маршруты не передаются клиенту, никакой трафик не будет проходить через NGFW;
Отправлять весь трафик на Ideco NGFW - передается маршрут 0.0.0.0/0, весь трафик направляется через NGFW;
Отправлять маршруты до всех локальных сетей - передаются маршруты до всех локальных сетей NGFW, в том числе подключенных через IPsec и маршрутизируемых;
Отправлять маршруты до локальных сетей Ideco NGFW - передаются только маршруты до локальных сетей NGFW, без учета IPsec и маршрутизируемых;
Отправлять только указанные - выберите сети, до которых будут передваться маршруты.

Если маршруты VPN-клиентов пересекаются с маршрутами, передаваемыми Ideco NGFW, то выберите Не отправлять или Отправлять только указанные.

Если при подключении по VPN (SSTP, IKEv2, PPTP, L2TP) не удается получить маршруты до сетей Ideco NGFW, то это связано с тем, что указанное число маршрутов не вмещается в опции DHCP-пакета.

При исключении подсети, IP-адреса, домена из передаваемого маршрута может возникнуть разбиение на несколько маршрутов. Это может привести к тому, что все маршруты не вместятся в опции DHCP-пакета.

Если количество байт в опции маршрутов превышает 255, то маршруты не передаются службой ideco-vpn-dhcp-server.

Если пакет DHCP превышает 576 байт, то он может быть проигнорирован клиентом DHCP и применение маршрутов не произойдет (зависит от реализации клиента).

Доступ по VPN

На вкладке настраиваются правила доступа для пользователей и групп.

При совпадении условий (Источник подключения, Пользователи и группы, Протокол подключения) выполняется действие, выбраное при создании правил. Созданные правила применяются сверху вниз.

В правилах можно использовать как группы пользователей Ideco NGFW, так и группы безопасности AD. Для добавления группы безопасности AD для VPN не требуется импорт в дерево пользователей. Введите Ideco NGFW в домен и при создании правила Доступ по VPN в поле Пользователи и группы выберите необходимую группу безопасности.

Для настройки правил доступа, перейдите на вкладку Пользователи -> VPN-подключения -> Доступ по VPN и нажмите Добавить.

Название - укажите название правила.
Источники подключения - выберите, откуда будет производиться подключение по VPN (IP-адреса, подсети, страны).
Пользователи и группы - выберите, для каких пользовалетей будет применяться правило.
Протоколы подключения - выберите протокол (настраивается на вкладке Основное).
Доступ по VPN - разрешите или запретите доступ по созданному правилу.
Способ 2FA - выберите способ двухфакторной аутентификации. Для разных групп пользователей возможно указать разные типы двухфакторной аутентификации (опционально).
Комментарий - добавьте комментарий (опционально).

Для разных групп пользователей возможно указать разные типы двухфакторной аутентификации. Для настройки двухфакторной аутентификации воспользуйтесь статьей.

Правила выдачи IP-адресов

На вкладке можно создать правила для выдачи IP-адресов пользователям, подключающимся по VPN.

NGFW проверяет таблицу правил сверху вниз до первого совпадения пользователя. Если пользователь не попал под условия правил, IP-адрес назначается автоматически из пула адресов VPN, настраиваемого в разделе Пользователи -> VPN-подключения (например, 10.128.0.0/16). Из пула исключаются все подсети и одиночные адреса, указанные во всех правилах таблицы выдачи IP-адресов и используемые в текущих сессиях. Если адресов не осталось, соединение разрывается.

Важно:

Подсеть, указанная в правиле, должна полностью входить в сеть для VPN-подключений. В противном случае правило считается невалидным, адрес выдать невозможно, соединение разрывается.
В двух разных правилах нельзя указать одну и ту же сеть.
Если в разных правилах указаны пересекающиеся сети (например, сеть 10.128.1.0/24 является подсетью cети 10.128.0.0/20), то:
- адреса из cети 10.128.1.0/24 никогда не будут выдаваться;
- при выдаче адресов сети 10.128.0.0/20 из нее будут исключаться адреса подcети 10.128.1.0/24.
Если указать в правилах сеть, совпадающую с сетью для VPN-подключений, то все пользователи VPN, для которых не совпадет ни одно правило таблицы, не смогут получить адрес и подключиться.
Количество одновременных VPN-подключений от одного пользователя в том числе будет ограничиваться размером сети, указанной для него в правилах.
Если в правиле указан один IP-адрес и он уже используется в текущей сессии, то указанный в правиле пользователь не сможет установить второе VPN-подключение - оно не сможет получить адрес;
Если в правиле указана сеть с префиксом /30 (или маской 255.255.255.252) и более широкие сети (например, 10.128.2.0/24), то при выдаче адреса из таких сетей адрес самой сети и широковещательный адрес (10.128.2.0 и 10.128.2.255) использоваться не будут.

Для создания правила перейдите на вкладку Пользователи -> VPN-подключения -> Правила выдачи IP-адресов и нажмите Добавить.

Название - укажите название правила.
Пользователи и группы - выберите, для каких пользовалетей будет применяться правило.
Выдаваемые адреса - укажите фиксированный IP-адрес или подсеть, которые будут выдаваться пользователям.
Комментарий - укажите комментарий к правилу (опционально).

При наличии большого количества правил выдачи IP-адресов в таблице воспользуйтесь кнопкой Фильтры.

Чтобы отключить правило, нажмите на в столбце управления. Чтобы удалить правило, нажмите .

Cтатическая привязка IP-адресов

IP-адрес пользователю назначается автоматически из пула адресов для VPN, настраиваемого в разделе Пользователи -> VPN-подключения (например 10.128.0.0/16).

Чтобы настроить статическую привязку адресов, выдаваемых по VPN определенным пользователям, нужно перейти в раздел Пользователи -> VPN-подключения -> Правила выдачи IP-адресов, нажать Добавить и указать нужного пользователя и IP-адрес. Пример настройки фиксированного IP-адреса VPN представлен ниже:

Полезные ссылки

Инструкции по настройке VPN-подключений на разных ОС доступны по ссылке.

PreviousДвухфакторная аутентификация NextПодключение по PPTP

Last updated 11 days ago

Was this helpful?