Подключение по PPTP
Last updated
Was this helpful?
Last updated
Was this helpful?
Не используйте этот тип подключения, он крайне небезопасен, оставлен исключительно для совместимости со старыми решениями. Используйте IKEv2/IPsec.
Подключение по протоколу PPTP предполагает авторизацию по защищенному сетевому туннелю между сетевым устройством пользователя и интернет-шлюзом Ideco NGFW.
Для аутентификации пользователя применяется связка логин/пароль пользователя Ideco NGFW или пользователя из Active Directory.
Для авторизации по протоколу PPTP необходимо назначить IP-адрес сетевому устройству, а также настроить на нем подключение по протоколу PPTP с указанием IP-адреса интернет-шлюза Ideco NGFW в качестве адреса PPTP-сервера.
При успешной аутентификации и установлении PPTP-туннеля сетевому устройству будет автоматически назначен дополнительный IP-адрес для получения доступа к ресурсам интернета. Использование авторизации по PPTP никак не отражается на возможности доступа сетевого устройства к ресурсам локальной сети.
Не рекомендуем использовать для VPN-подключений кириллические логины.
Для настройки авторизации по протоколу PPTP выполните действия:
1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное:
2. Включите опцию Подключение по PPTP.
3. В поле Индекс интерфейса для Netflow введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.
4. Нажмите Сохранить.
IP-адрес пользователю назначается автоматически из пула адресов для VPN, настраиваемого в разделе Пользователи -> VPN-подключения (например, из подсети 10.128.0.0/16).
Чтобы настроить статическую привязку адресов, выдаваемых по VPN определенным пользователям:
1. Перейдите в раздел Пользователи -> VPN-подключения -> Правила выдачи IP-адресов:
2. Нажмите Добавить и укажите название сети, нужного пользователя и IP-адрес.
3. Нажмите Добавить, чтобы сохранить изменения:
Разрешите пользователю подключение по VPN из интернета, создав в разделе Пользователи -> VPN-подключения -> Доступ по VPN разрешающее правило. Подробнее в статье VPN-подключение.
Провайдер блокирует GRE-протокол, используемый в PPTP-соединении, что приводит к ошибке 619 при подключении к внешнему адресу IdecoNGFW. Определить сторону проблемы можно, подключаясь с разных мест и от разных провайдеров. Если из некоторых мест подключение удается, значит, проблема на стороне клиента. Определив провайдера, нужно попытаться решить проблему с ним либо использовать IPsec-IKEv2 или SSTP;
Заблокирован порт 1723 TCP. Проверить доступность можно с помощью стандартных утилит, таких как telnet. Если соединения нет, то туннель не может быть установлен;
Неправильно указаны логин или пароль пользователя. Если это происходит, то часто при повторном соединении предлагается указать домен. Рекомендуется использовать для паролей латинские символы и цифры. При ошибке ввода пароля более 6 раз IP-адрес пользователя блокируется службой защиты от подбора паролей;
При подключении через клиента ОС Windows убедитесь, что в настройках подключения включена опция Использовать основной шлюз в удаленной сети в разделе Свойства подключения VPN -> Вкладка Сеть -> Свойства опции "Протокол интернета версии 4 (TCP/IPv4)" -> Дополнительно. Если маршрутизировать все пакеты в этот интерфейс не обязательно, то маршрут надо писать вручную;
При возникновении ошибки Подключение было закрыто удаленным компьютером необходимо включить поддержку MPPE 128-bit (в Windows эта опция включена по умолчанию) и среди протоколов аутентификации отметить только MSCHAPV2.
В случае, если установлено VPN-соединение, но не удается получить доступ к ресурсам локальной сети, рекомендуется обратиться к статье Особенности маршрутизации и организации доступа;
Инструкции по настройке VPN-подключений на разных ОС доступны по ссылке.