VPN-подключение

Как настроить VPN-подключение для доступа пользователей к локальной сети компании.

Для настройки VPN-сервера можно использовать VPN-клиент, который уже есть в операционной системе, или установить отдельный.

Для получения доступа к локальной сети компании необходимо настроить VPN-сервер и подключиться через него. Можно использовать VPN-клиент, который уже есть в операционной системе, или установить отдельный.

В Ideco NGFW нет подразделения локальных интерфейсов на VPN-интерфейсы и Ethernet, поскольку Ideco NGFW не имеет локальных VPN-интерфейсов.

Настройка VPN-сервера происходит в несколько этапов:

  • Настройка протоколов, маршрутов и адресации;

  • Настройка политик доступа из внешних сетей;

  • Настройка двухфакторной аутентификации (опционально).

Поддерживаемые протоколы

Ideco NGFW поддерживает четыре протокола туннельных соединений:

  • IKEv2 - рекомендуемый протокол с точки зрения скорости и безопасности;

  • SSTP - подходит для использования в средах с ограничениями на порты;

  • L2TP/IPsec - обеспечивает баланс между безопасностью и совместимостью;

  • PPTP - не рекомендуется. Этот способ подключения крайне небезопасен и оставлен исключительно для совместимости со старыми решениями.

Предварительные требования

Чтобы VPN-подключение работало на устройствах пользователей, необходимо загрузить корневой сертификат:

  • Корневые сертификаты Ideco NGFW действительны в течение 10 лет;

  • Если используется сертификат Let's Encrypt, обновление будет происходить автоматически.

Настройка VPN-подключения

Для настройки VPN-подключения перейдите в Пользователи -> VPN-подключения

Основное

На вкладке настраиваются протоколы, маршруты и адресация VPN-подключений. Для настройки:

  • Сеть для VPN-подключений - укажите подсеть, в рамках которой будут динамически назначаться IP-адреса. Маска подсети должна быть в диапазоне от 16 до 30 бит.

  • Зона - добавьте сетевые интерфейсы для подключения по VPN (опционально).

Если требуется настроить VPN-подключение к Loopback-интерфейсу, оставьте поле Зона пустым.

  • DNS-суффикс - укажите DNS-суффикс, если для подключения по VPN используется Ideco Client (опционально).

  • Выберите, какой какой протокол подключения будет использоваться.

В блоке Передача маршрутов укажите, как будут передаваться маршруты:

Маршруты, переданные Ideco NGFW для VPN-клиента, имеют меньшую метрику (т. е. высокий приоритет)

  • Не отправлять - никакие маршруты не передаются клиенту, никакой трафик не будет проходить через NGFW;

  • Отправлять весь трафик на Ideco NGFW - передается маршрут 0.0.0.0/0, весь трафик направляется через NGFW;

  • Отправлять маршруты до всех локальных сетей - передаются маршруты до всех локальных сетей NGFW, в том числе подключенных через IPsec и маршрутизируемых;

  • Отправлять маршруты до локальных сетей Ideco NGFW - передаются только маршруты до локальных сетей NGFW, без учета IPsec и маршрутизируемых;

  • Отправлять только указанные - выберите сети, до которых будут передваться маршруты.

Если маршруты VPN-клиентов пересекаются с маршрутами, передаваемыми Ideco NGFW, то выберите Не отправлять или Отправлять только указанные.

Доступ по VPN

На вкладке настраиваются правила доступа для пользователей и групп.

При совпадении условий (Источник подключения, Пользователи и группы, Протокол подключения) выполняется действие, выбраное при создании правил. Созданные правила применяются сверху вниз.

В правилах можно использовать как группы пользователей Ideco NGFW, так и группы безопасности AD. Для добавления группы безопасности AD для VPN не требуется импорт в дерево пользователей. Введите Ideco NGFW в домен и при создании правила Доступ по VPN в поле Пользователи и группы выберите необходимую группу безопасности.

Для настройки правил доступа, перейдите на вкладку Пользователи -> VPN-подключения -> Доступ по VPN и нажмите Добавить.

  • Название - укажите название правила.

  • Источники подключения - выберите, откуда будет производиться подключение по VPN (IP-адреса, подсети, страны).

  • Пользователи и группы - выберите, для каких пользовалетей будет применяться правило.

  • Протоколы подключения - выберите протокол (настраивается на вкладке Основное).

  • Доступ по VPN - разрешите или запретите доступ по созданному правилу.

  • Способ 2FA - выберите способ двухфакторной аутентификации. Для разных групп пользователей возможно указать разные типы двухфакторной аутентификации (опционально).

  • Комментарий - добавьте комментарий (опционально).

Для разных групп пользователей возможно указать разные типы двухфакторной аутентификации. Для настройки двухфакторной аутентификации воспользуйтесь статьей.

Правила выдачи IP-адресов

На вкладке можно создать правила для выдачи IP-адресов пользователям, подключающимся по VPN.

NGFW проверяет таблицу правил сверху вниз до первого совпадения пользователя. Если пользователь не попал под условия правил, IP-адрес назначается автоматически из пула адресов VPN, настраиваемого в разделе Пользователи -> VPN-подключения (например, 10.128.0.0/16). Из пула исключаются все подсети и одиночные адреса, указанные во всех правилах таблицы выдачи IP-адресов и используемые в текущих сессиях. Если адресов не осталось, соединение разрывается.

Для создания правила перейдите на вкладку Пользователи -> VPN-подключения -> Правила выдачи IP-адресов и нажмите Добавить.

  • Название - укажите название правила.

  • Пользователи и группы - выберите, для каких пользовалетей будет применяться правило.

  • Выдаваемые адреса - укажите фиксированный IP-адрес или подсеть, которые будут выдаваться пользователям.

  • Комментарий - укажите комментарий к правилу (опционально).

При наличии большого количества правил выдачи IP-адресов в таблице воспользуйтесь кнопкой Фильтры.

Cтатическая привязка IP-адресов

IP-адрес пользователю назначается автоматически из пула адресов для VPN, настраиваемого в разделе Пользователи -> VPN-подключения (например 10.128.0.0/16).

Полезные ссылки

Инструкции по настройке VPN-подключений на разных ОС доступны по ссылке.

Last updated

Was this helpful?