Подключение по PPTP
Last updated
Last updated
Не используйте этот тип подключения, он КРАЙНЕ небезопасен, оставлен исключительно для совместимости со старыми решениями. Используйте IPsec-IKEv2.
Инструкции по настройке VPN-подключений на разных ОС доступны по ссылке.
Подключение по протоколу PPTP предполагает авторизацию по защищенному сетевому туннелю между сетевым устройством пользователя и интернет-шлюзом Ideco NGFW.
Для аутентификации пользователя применяется связка логин/пароль пользователя Ideco NGFW или пользователя из Active Directory;
Для авторизации по протоколу PPTP необходимо назначить IP-адрес сетевому устройству, а также настроить на нем подключение по протоколу PPTP с указанием IP-адреса интернет-шлюза Ideco NGFW в качестве адреса PPTP-сервера.
При успешной аутентификации и установлении PPTP-туннеля сетевому устройству будет автоматически назначен дополнительный IP-адрес для получения доступа к ресурсам сети интернет. Использование авторизации по PPTP никак не отражается на возможности доступа сетевого устройства к ресурсам локальной сети.
Не рекомендуем использовать для VPN-подключений кириллические логины.
Для настройки авторизации по протоколу PPTP необходимо выполнить следующие действия:
1. Перейти в раздел Пользователи -> VPN-подключения -> Основное.
2. Включить флаг Подключение по PPTP.
3. Нажать на кнопку Сохранить.
Редактирование логина и пароля возможно на вкладке Пользователи -> Учетные записи при выделении нужного пользователя.
IP-адрес пользователю назначается автоматически из пула адресов для VPN, настраиваемого в разделе Пользователи -> VPN-подключения (например, 10.128.0.0/16).
Чтобы настроить статическую привязку адресов, выдаваемых по VPN определенным пользователям, необходимо:
1. Перейти в раздел Пользователи -> VPN-подключения -> Правила выдачи IP-адресов.
2. Нажать Добавить и указать название сети, нужного пользователя и IP-адрес.
3. Нажать Добавить, чтобы сохранить изменения:
При подключении из сети интернет рекомендуем использовать IPsec IKEv2, L2TP IPsec или SSTP для более надежного шифрования трафика.
Разрешите пользователю подключения по VPN из сети интернет, создав в разделе Пользователи -> VPN-подключения -> Доступ по VPN разрешающее правило.
Провайдер со стороны шлюза или со стороны подключаемого клиента не пропускает GRE-протокол, с помощью которого происходит PPTP-соединение. В таком случае при попытке подключиться на внешний адрес Ideco NGFW будет получена ошибка 619. Можно определить, с какой стороны проблема, подключаясь с разных мест и от разных провайдеров. Если из некоторых мест удастся подключиться, значит, проблема со стороны тех клиентов, которые подключиться не могут. Когда провайдер будет определен, то нужно попытаться решить проблему с ним, либо использовать IPsec-IKEv2 или SSTP;
Заблокирован порт 1723 TCP. Проверить доступность порта можно с помощью стандартных сетевых утилит, таких как telnet. Если соединения на этот порт нет, то туннель не может быть установлен;
Неправильно указан логин или пароль пользователя. Если такое происходит, то часто при повторном соединении предлагается указать домен. Старайтесь создавать для ваших учетных записей цифро-буквенные пароли, желательно, на латинице. При неправильном вводе пароля более 6 раз произойдет блокировка IP-адреса пользователя службой защиты от подбора паролей;
Если подключение осуществляется с помощью клиента ОС Windows, для того чтобы пакеты пошли через него, надо убедиться, что в настройках этого подключения стоит чекбокс Использовать основной шлюз в удаленной сети в разделе Свойства подключения VPN -> Вкладка Сеть -> Свойства опции "Протокол интернета версии 4 (TCP/IPv4)" -> Дополнительно. Если маршрутизировать все пакеты в этот интерфейс не обязательно, то маршрут надо писать вручную;
При возникновении ошибки Подключение было закрыто удаленным компьютером необходимо включить поддержку MPPE 128-bit (в Windows эта опция включена по умолчанию) и среди протоколов аутентификации отмечать только MSCHAPV2.
Выполните рекомендации статьи Особенности маршрутизации и организации доступа.
