Сайт ИКС Скачать ИКС Чейнджлог
База знаний Документация Сеть VPN
VPN

VPN

Модуль «VPN» предназначен для контроля пользователей, которые подключаются к ИКС по технологии VPN. Для открытия данного модуля перейдите в меню Сеть > VPN.

В модуле расположены следующие вкладки:

VPN-сервер

На данной вкладке отображаются следующие сведения о Службе PPP-соединений, OpenVPN, SSTP и Wireguard.

  • статус службы (запущеностановленвыключенне настроен);
  • кнопка «Включить» («Выключить») — позволяет запустить или остановить службу;
  • журнал последних событий.

Настройки

Данная вкладка предназначена для настройки VPN-сервера.

  1. Если требуется, установите флаги:
    • «Разрешать одновременные подключения под одним пользователем» — позволяет подключаться по VPN разным устройствам под логином и паролем одного пользователя;
    • «Авторизовать доменных пользователей через Kerberos» — при установке флага авторизация доменных пользователей происходит только через Kerberos, для пользователей ИКС все остается без изменений.

      Если флаг установлен, необходимо: 1) настроить Kerberos; 2) доменный пользователь должен подключаться по L2TP с IPSec, в настройках подключения у пользователя должна быть выбрана проверка подлинности PAP (протоколы CHAP и MS-CHAPv2 рекомендуется отключить);

    • «Автоматически создавать разрешающее правило» — предоставляет доступ к VPN-серверу из внешней сети. По ссылке на экране можно перейти к правилам межсетевого экрана;
    • «Автоматически создавать разрешающее правило OpenVPN» — предоставляет доступ к OpenVPN-сетям. По ссылке на экране можно перейти к правилам межсетевого экрана.

  2. При необходимости можно изменить время ожидания сессии. Это время разрыва сессии в случае неактивности пользователя (в секундах). По умолчанию установлено значение 60 секунд.
  3. Если требуется, измените время ожидания ответа от RADIUS (в секундах). При использовании двухфакторной аутентификации это время, в течение которого в Telegram можно подтвердить подключение к VPN, OpenVPN, и SSTP. По умолчанию установлено значение 15 секунд. Максимально возможное значение — 30 секунд.
  4. Для того чтобы пользователи не указывали домен при подключении по протоколам PPTP, L2TP, PPPoE и SSTP, установите флаг «Автоматически определять имя домена при подключении».

  5. На вкладке можно выбрать корневой сертификат и сертификат SSTP-сервера, а также указать порты SSTP-сервера. Допускается указывать два порта, что дает следующие преимущества:
    • Балансировка нагрузки. Разделение трафика между несколькими портами может помочь распределить нагрузку на сервер, что улучшает производительность и снижает вероятность перегрузки. В ИКС это можно сделать через настройки правил Межсетевого экрана.
    • Резервирование. Использование нескольких портов может обеспечить резервирование. Если один порт становится недоступным, трафик может быть перенаправлен на другой порт, что повышает надежность соединения.
    • Безопасность. Разные порты могут использоваться для различных типов трафика или для разных уровней доступа, что может повысить безопасность сети. В ИКС это можно сделать через настройки правил Межсетевого экрана.
  6. Если требуется, установите флаги «Автоматически создавать разрешающее правило SSTP» и (или) «Автоматически создавать разрешающее правило Wireguard».
  7. Нажмите «Сохранить».

Пользователи

На данной вкладке отображается список пользователей ИКС. При помощи установки флагов можно определить, каким пользователям разрешен VPN-доступ и (или) OpenVPN-доступ, а также SSTP-доступ и Wireguard-доступ. По умолчанию разрешающие флаги сняты для всех пользователей, которым присвоены адреса из VPN-сети, SSTP-сети или Wireguard-сети.

При установке флага «Wireguard-доступ» соответствующему пользователю система предложит выбрать Wireguard-сеть. После сохранения настроек доступа в соответствующей Wireguard-сети будет создан Wireguard-пир для данного пользователя.

В ИКС предусмотрена возможность настроить для пользователя двухфакторную аутентификацию. Для этого необходимо соблюсти следующие условия:

  • в настройках VPN-сети, OpenVPN-сети и (или) SSTP-сети установлен флаг «Использовать двухфакторную аутентификацию»;
  • запущен Telegram-бот;
  • на вкладке «Пользователи» модуля VPN у пользователя установлен доступ к соответствующему подключению.

При доступности двухфакторной аутентификации станет активным меню: скопировать ссылку для регистрации в боте либо обновить ссылку (сгенерировать заново).

Если ссылка сгенерирована заново, а пользователь уже был зарегистрирован, необходимо снова пройти по ссылке, чтобы зарегистрироваться. Далее пользователь должен перейти по ссылке и нажать кнопку «Старт» в боте. Бот присылает соответствующее сообщение, что пользователь использует его для двухфакторной аутентификации. Теперь при подключении к OpenVPN, SSTP или VPN в боте будет приходить сообщение с подтверждением.

Если пользователь всегда должен получать один и тот же IP-адрес, можно присвоить ему адрес из диапазона VPN-сети на вкладке пользователя «IP/MAC-адреса». Этот адрес будет назначаться пользователю при подключении, в противном случае пользователю будет выдаваться первый свободный адрес из VPN-диапазона. Назначение адреса вручную удобно в том случае, если пользователь при подключении не использует ИКС как удаленный шлюз. В таком случае клиенту можно прописать статический маршрут до сетей ИКС. Это делается следующим образом (на примере Windows XP):

  1. В свойствах созданного VPN-подключения во вкладке «Сеть» необходимо выбрать пункт «Протокол интернета TCP/IP».
  2. Нажать кнопку «Свойства».
  3. В открывшемся окне нажать кнопку «Дополнительно» и снять флажок «Использовать основной шлюз в удаленной сети».

  4. После этого пользователю в настройках системы необходимо прописать маршрут вида «Удаленная сеть > Выданный VPN-адрес».

На вкладке «Пользователи» также можно добавить нового пользователя (группу) по аналогии с модулем «Пользователи». Чтобы удалить, выключить и редактировать свойства пользователя, просто выберите его в списке и нажмите на соответствующую кнопку.

Для поиска пользователя в списке воспользуйтесь специальной строкой.

Внимание! Доступ через VPN и SSTP можно дать только пользователям с логином. При этом логин может содержать только цифры, буквы, символы подчеркивания, а также следующие символы: «+», «-»«.»«\».

Если пользователь на ИКС авторизуется через домен, для подключения через VPN нужно использовать полный логин пользователя в формате DOMAIN\Login.

Для предоставления доступа к OpenVPN-сети установите флаг в столбце «OpenVPN-доступ» напротив соответствующего пользователя и в открывшемся окне выберите соответствующую OpenVPN-сеть. После этого в индивидуальном модуле данного пользователя на вкладке «OpenVPN» станут доступны дополнительные настройки соединения в OpenVPN-сети. Кроме этого, ИКС автоматически создаст конечный сертификат для соответствующего пользователя с именем <имя сети>_<имя пользователя>.

Если пользователь имеет кириллический логин, то для него невозможно создать сертификат, поэтому он не будет подключен к OpenVPN-сети.

На вкладке также можно задать временные диапазоны для VPN-пользователей. Для этого укажите пользователю IP-адрес из VPN-сети. Тогда при каждом подключении ему будет выдаваться именно этот IP-адрес. Создайте для пользователя запрещающее правило и укажите в нем время действия, когда доступ должен быть закрыт.

Чтобы изменения вступили в силу, нажмите «Сохранить».

Внимание! Система не позволит сохранить изменения, когда у пользователей отмечено больше флагов «Wireguard-доступ», чем свободных IP-адресов, выделенных в данной Wireguard-сети.

Текущие сеансы

На данной вкладке можно посмотреть, какие пользователи подключены в настоящее время, время подключения, а также при необходимости отключить пользователя.

В списке отображаются IP-адреса VPN-соединений, тип VPN-соединения и имя пользователя, для которого это соединение создано.

Также в списке показаны сведения о Wireguard-подключениях (подключенных пирах, у которых было последнее рукопожатие в течение последней минуты перед запросом).

При нажатии на строку OpenVPN-подключения отображаются сведения:

  • время подключения — время установления данного соединения;
  • длительность подключения;
  • IP-адрес и способ его выдачи;
  • IP-адрес и порт, с которого осуществляется соединение;
  • кнопка «Прервать соединение» для отключения пользователя.

При нажатии на строку Wireguard-подключения показана следующая информация:

  • время последнего рукопожатия;
  • удаленный IP-адрес пира.

События

На данной вкладке можно посмотреть информацию о пользователях. Например, какой пользователь был подключен, с какого адреса и какой адрес получил, а также информацию об отключении пользователя.

Данная вкладка является стандартным элементом веб-интерфейса ИКС.

Журнал

На данной вкладке отображается сводка всех системных сообщений служб VPN-сервера с указанием даты и времени.

По умолчанию в журнале отображаются сообщения службы PPP-соединений. Чтобы переключить сводку на OpenVPN, SSTP или Wireguard, нажмите на соответствующую кнопку и выберите нужную службу.

В остальных функциях журнал является стандартным элементом веб-интерфейса ИКС.

Была ли эта статья полезной? Да | Нет

О статье

Идентификатор статьи:
63
Категория:
VPN
Рейтинг :

Меню

Связанные статьи