Инструменты пользователя

Инструменты сайта


ics70:vpn

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Предыдущая версия
ics70:vpn [2020/02/04 16:46]
ics70:vpn [2020/06/11 16:16] (текущий)
misha [Настройки]
Строка 1: Строка 1:
 +====== VPN ======
 +
 +Модуль «VPN» расположен в Меню «Сеть». Данный модуль предназначен для контроля пользователей,​ подключающихся по технологии [[https://​ru.wikipedia.org/​wiki/​VPN|VPN]] к ИКС. Модуль «VPN» имеет шесть вкладок:​ «VPN-сервер»,​ «Настройки»,​ «Пользователи»,​ «Текущие сеансы»,​ «События»,​ «Журнал».
 +
 +===== Стартовая страница модуля (VPN-сервер) =====
 +
 +{{  .:​vpn1.png?​nolink&​859x419 ​ }}
 +
 +//​**Вкладка «VPN-сервер».**// ​ На данной вкладке отображается состояние служб «Служба [[https://​ru.wikipedia.org/​wiki/​PPP_(%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D0%BF%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB)|PPP-соединений]]» и «OpenVPN» с возможностью «Выключить» (или «Включить» если служба выключена),​ а также последние сообщения в журнале за текущий день.
 +
 +===== Настройки =====
 +
 +{{  .:​vpn2.png?​nolink ​ }}
 +
 +Вкладка "​Настройки"​ позволяет задать следующие настройки:​
 +
 +  * Флаг "​Разрешать одновременные подключения под одним пользователем"​ позволяет подключаться по VPN под логином/​паролем одного Пользователя разным устройствам
 +  * Флаг "​Авторизовать доменных пользователей через Kerberos"​ при установке флага, авторизация доменных пользователей происходит только через Kerberos, для Пользователей ИКС всё остаётся без изменений
 +  * Флаг "​Автоматически создавать разрешающее правило"​ для доступа к VPN-серверу из внешней сети
 +  * Флаг "​Автоматически создавать разрешающее правило для [[https://​ru.wikipedia.org/​wiki/​IPsec|IPsec]]"​ разрешающее IPsec-шифрование для VPN-подключений
 +  * Поле "​Время ожидания сессии"​ позволяет определить время разрыва сессии в случае неактивности пользователя. Данное поле позволяет определить время в секундах,​ значение по умолчанию - 60 секунд.
 +  * Поле "​Время ожидания ответа от RADIUS"​
 +
 +Для флагов автоматического создания правил приводятся гиперссылки на соответствующие правила во вкладке "​Сеть"​ → "​Межсетевой экран"​ → "​Правила"​
 +
 +//​Особенности функционирования//​. ​
 +
 +В случае установки флага "​Авторизовать доменных пользователей через Kerberos",​ необходимо:​
 +  * Произвести настройку [[ics70:​kerberos#​kerberos|Kerberos]]
 +  * Доменный Пользователь должен подключаться по L2TP с IPsec , обязательно в настройках подключения у Пользователя,​ проверка подлинности должна быть выбрана - PAP (протоколы CHAP и MS-CHAPv2, рекомендуется отключить).
 +
 +
 +===== Пользователи =====
 +
 +Вкладка "​Пользователи"​ отображает список пользователей ИКС и позволяет определить,​ кому разрешены VPN-доступ и [[https://​ru.wikipedia.org/​wiki/​OpenVPN|OpenVPN]]-доступ. По умолчанию разрешающие флаги сняты для всех пользователей,​ которым присвоены адреса из VPN-сети. Разрешить/​запретить пользователю доступ,​ можно установив/​сняв соответствующий флаг.
 +
 +{{  .:​vpn3.png?​nolink&​861x332 ​ }}
 +
 +В данной вкладке можно добавить нового пользователя,​ аналогично тому, как это делается во вкладке "​Пользователи и статистика"​ → [[.:​userlist|"​Пользователи"​]].
 +
 +При выборе определенного пользователя активируются кнопки управления,​ позволяющие удалить,​ выключить и редактировать свойства выбранного пользователя. Их действия аналогичны соответствующим кнопками во вкладке "​Пользователи и статистика"​ → [[.:​userlist|"​Пользователи"​]].
 +
 +Для предоставления доступа к OpenVPN-сети необходимо напротив соответствующего Пользователя установить флаг в столбце «OpenVPN-доступ»,​ при этом будет открыто новое диалоговое окно, в котором необходимо выбрать соответствующую OpenVPN-сеть. После произведенных манипуляций,​ у соответствующего Пользователя в индивидуальном модуле во вкладке «OpenVPN»,​ станут доступны дополнительные настройки соединения в OpenVPN-сети. По мимо этого «ИКС» создаст автоматически конечный сертификат для соответствующего Пользователя,​ с именем __<​имя сети>​_<​имя Пользователя>​__. Стоит отметить,​ что если будет изменен логин Пользователя добавленного в OpenVPN-сеть,​ то это может привести к нарушению работы «ИКС».
 +
 +**Важно,​ если Пользователь имеет кириллический логин, то для него не возможно создать сертификат,​ а значит он не будет подключен к OpenVPN-сети.**
 +
 +===== Текущие сеансы =====
 +
 +В вкладке "​Текущие сеансы"​ можно просмотреть кто из пользователей в настоящее время подключен,​ увидеть время подключения,​ а также при необходимости отключить пользователя.
 +
 +В списке можно видеть [[https://​ru.wikipedia.org/​wiki/​IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81|IP-адреса]] VPN-соединений,​ тип VPN-соединения и имя пользователя,​ для которого это соединение создано.
 +
 +{{  .:​vpn4.png?​nolink&​786x265 ​ }}
 +
 +При выборе пользователя отображаются:​
 +
 +  * Время подключения - время когда было установлено данное соединение
 +  * Длительность подключения
 +  * IP-адрес и способ его выдачи
 +  * IP-адрес и порт откуда осуществляется соединение
 +  * Кнопка "​Прервать соединение"​ для отключения пользователя
 +
 +[[:​vpn_active_user_ru.png?​id=vpn50&​media=vpn_active_user_ru.png|{{ ​ :​vpn_active_user_ru.png?​nolink&​700 ​ }}]]
 +
 +===== События =====
 +
 +Во вкладке "​События"​ отображается журнал события VPN-соединений. Во вкладке можно выбрать период за который будут отображаться события,​ тип событий (системные сообщения,​ сообщения сервисов,​ ошибки,​ остальные сообщения).
 +
 +{{  .:​vpn6.png?​nolink&​779x277 ​ }}
 +
 +Кнопка "​Экспорт"​ позволяет скачать данные журнала событий с виде файла txt.
 +
 +Журнал событий представляет собой таблицу,​ состоящую из двух столбцов:​ "​Время"​ - время наступления события "​Сообщение"​ - описание сообщения
 +
 +===== Журнал =====
 +
 +{{  .:​vpn7.png?​nolink&​779x321 ​ }}
 +
 +В закладке «Журнал» находится сводка всех системных сообщений от VPN-сервера. Журнал разделен на страницы,​ кнопками «вперед» и «назад» осуществляется переход со страницы на страницу,​ ввод номера страницы в поле позволяет переключиться сразу на нее.
 +
 +Записи в журнале выделяются цветом в зависимости от вида сообщения. Обычные сообщения системы отмечены белым цветом,​ ошибки - красным.
 +
 +В правом верхнем углу модуля находится строка поиска. С ее помощью можно искать в журнале нужные записи.
 +
 +Журнал всегда отображает события за текущую дату. Чтобы посмотреть события в другой день, нужно выбрать дату, используя календарь в левом верхнем углу модуля.
 +