Подключение по SSTP

SSTP - протокол туннелирования трафика, который обеспечивает безопасное соединение между клиентом и сервером через интернет.

Протокол использует корневой сертификат для проверки подлинности участников соединения. Если для VPN-подключения используется сертификат, выданный Let`s Encrypt, то установка корневого сертификата на устройство пользователя не требуется.

Для аутентификации применяется связка логин/пароль пользователя Ideco NGFW или пользователя из Active Directory.

Особенности работы:

• Запрещено использовать домен .local. Подключение по SSTP поддерживается только из внешних сетей;

• Не рекомендуется использовать логины на кириллице для VPN-подключений. Это может привести к проблемам с подключением;

• NGFW не поддерживает подключение MikroTik по SSTP, так как MikroTik использует устаревший и небезопасный алгоритм SHA-1.

Настройка Ideco NGFW

Основные настройки

1. Перейдите в раздел Пользователи -> VPN-подключения -> Основное:

2. Включите опцию Подключение SSTP.

3. Подключение возможно только по DNS-имени, поэтому IP-адрес внешнего интерфейса Ideco NGFW должен резолвиться в одно из имен вашей внешней доменной зоны. В поле Домен укажите данное DNS-имя (используйте реальное имя с правильной А-записью, т. к. оно необходимо для выписки сертификата Let’s Encrypt).

4. В поле Индекс интерфейса для Netflow введите индекс для идентификации интерфейса (целое число от 0 до 65535), если используете Netflow.

5. Порт - выберите предлагаемый порт (из вариантов: 1443, 2443, 3443, 4443).

Настройка доступа по VPN

Разрешите пользователю подключение по VPN из интернета, создав в разделе Пользователи -> VPN-подключения -> Доступ по VPN разрешающее правило. Подробнее в статье VPN-подключение.

Полезные ссылки

• В случае, если установлено VPN-соединение, но не удается получить доступ к ресурсам локальной сети, рекомендуется обратиться к статье Особенности маршрутизации и организации доступа;

• Инструкции по настройке VPN-подключений на разных ОС доступны по ссылке.