VPN

Модуль «VPN» предназначен для контроля пользователей, которые подключаются к ИКС по технологии VPN. Для открытия данного модуля перейдите в меню Сеть > VPN.

В модуле расположены следующие вкладки:

• VPN-сервер
• Настройки
• Пользователи
• Текущие сеансы
• События
• Журнал

VPN-сервер

На данной вкладке отображаются следующие сведения о Службе PPP-соединений, OpenVPN, SSTP и Wireguard.

• статус службы (запущен, остановлен, выключен, не настроен);
• кнопка «Включить» («Выключить») — позволяет запустить или остановить службу;
• журнал последних событий.

Настройки

Данная вкладка предназначена для настройки VPN-сервера.

1. Если требуется, установите флаги:
   • «Разрешать одновременные подключения под одним пользователем» — позволяет подключаться по VPN разным устройствам под логином и паролем одного пользователя;
   • «Авторизовать доменных пользователей через Kerberos» — при установке флага авторизация доменных пользователей происходит только через Kerberos, для пользователей ИКС все остается без изменений.

     Если флаг установлен, необходимо: 1) настроить Kerberos; 2) доменный пользователь должен подключаться по L2TP с IPSec, в настройках подключения у пользователя должна быть выбрана проверка подлинности PAP (протоколы CHAP и MS-CHAPv2 рекомендуется отключить);

   • «Автоматически создавать разрешающее правило» — предоставляет доступ к VPN-серверу из внешней сети. По ссылке на экране можно перейти к правилам межсетевого экрана;
   • «Автоматически создавать разрешающее правило OpenVPN» — предоставляет доступ к OpenVPN-сетям. По ссылке на экране можно перейти к правилам межсетевого экрана.

   

2. При необходимости можно изменить время ожидания сессии. Это время разрыва сессии в случае неактивности пользователя (в секундах). По умолчанию установлено значение 60 секунд.
3. Если требуется, измените время ожидания ответа от RADIUS (в секундах). По умолчанию установлено значение 3 секунды.
4. Для того чтобы пользователи не указывали домен при подключении по протоколам PPTP, L2TP, PPPoE и SSTP, установите флаг «Автоматически определять имя домена при подключении».

   

5. На вкладке можно выбрать корневой сертификат и сертификат SSTP-сервера, а также указать порты SSTP-сервера.
6. Если требуется, установите флаги «Автоматически создавать разрешающее правило SSTP» и (или) «Автоматически создавать разрешающее правило Wireguard».
7. Нажмите «Сохранить».

Пользователи

На данной вкладке отображается список пользователей ИКС. При помощи установки флагов можно определить, каким пользователям разрешен VPN-доступ и (или) OpenVPN-доступ, а также SSTP-доступ и Wireguard-доступ. По умолчанию разрешающие флаги сняты для всех пользователей, которым присвоены адреса из VPN-сети, SSTP-сети или Wireguard-сети.

При установке флага «Wireguard-доступ» соответствующему пользователю система предложит выбрать Wireguard-сеть. После сохранения настроек доступа в соответствующей Wireguard-сети будет создан Wireguard-пир для данного пользователя.

В ИКС предусмотрена возможность настроить для пользователя двухфакторную аутентификацию. Для этого необходимо соблюсти следующие условия:

• в настройках VPN-сети, OpenVPN-сети и (или) SSTP-сети установлен флаг «Использовать двухфакторную аутентификацию»;
• запущен Telegram-бот;
• на вкладке «Пользователи» модуля VPN у пользователя установлен доступ к соответствующему подключению.

При доступности двухфакторной аутентификации станет активным меню: скопировать ссылку для регистрации в боте либо обновить ссылку (сгенерировать заново).

Если ссылка сгенерирована заново, а пользователь уже был зарегистрирован, необходимо снова пройти по ссылке, чтобы зарегистрироваться. Далее пользователь должен перейти по ссылке и нажать кнопку «Старт» в боте. Бот присылает соответствующее сообщение, что пользователь использует его для двухфакторной аутентификации. Теперь при подключении к OpenVPN, SSTP или VPN в боте будет приходить сообщение с подтверждением.

Если пользователь всегда должен получать один и тот же IP-адрес, можно присвоить ему адрес из диапазона VPN-сети на вкладке пользователя «IP/MAC-адреса». Этот адрес будет назначаться пользователю при подключении, в противном случае пользователю будет выдаваться первый свободный адрес из VPN-диапазона. Назначение адреса вручную удобно в том случае, если пользователь при подключении не использует ИКС как удаленный шлюз. В таком случае клиенту можно прописать статический маршрут до сетей ИКС. Это делается следующим образом (на примере Windows XP):

1. В свойствах созданного VPN-подключения во вкладке «Сеть» необходимо выбрать пункт «Протокол интернета TCP/IP».
2. Нажать кнопку «Свойства».
3. В открывшемся окне нажать кнопку «Дополнительно» и снять флажок «Использовать основной шлюз в удаленной сети».

   

4. После этого пользователю в настройках системы необходимо прописать маршрут вида «Удаленная сеть > Выданный VPN-адрес».

На вкладке «Пользователи» также можно добавить нового пользователя (группу) по аналогии с модулем «Пользователи». Чтобы удалить, выключить и редактировать свойства пользователя, просто выберите его в списке и нажмите на соответствующую кнопку.

Для поиска пользователя в списке воспользуйтесь специальной строкой.

Внимание! Доступ через VPN и SSTP можно дать только пользователям с логином. При этом логин может содержать только цифры, буквы, символы подчеркивания, а также следующие символы: «+», «-», «.», «\».

Если пользователь на ИКС авторизуется через домен, для подключения через VPN нужно использовать полный логин пользователя в формате DOMAIN\Login.

Для предоставления доступа к OpenVPN-сети установите флаг в столбце «OpenVPN-доступ» напротив соответствующего пользователя и в открывшемся окне выберите соответствующую OpenVPN-сеть. После этого в индивидуальном модуле данного пользователя на вкладке «OpenVPN» станут доступны дополнительные настройки соединения в OpenVPN-сети. Кроме этого, ИКС автоматически создаст конечный сертификат для соответствующего пользователя с именем <имя сети>_<имя пользователя>.

Внимание! Изменение логина пользователя, добавленного в OpenVPN-сеть, может привести к нарушению работы ИКС.

Если пользователь имеет кириллический логин, то для него невозможно создать сертификат, поэтому он не будет подключен к OpenVPN-сети.

На вкладке также можно задать временные диапазоны для VPN-пользователей. Для этого укажите пользователю IP-адрес из VPN-сети. Тогда при каждом подключении ему будет выдаваться именно этот IP-адрес. Создайте для пользователя запрещающее правило и укажите в нем время действия, когда доступ должен быть закрыт.

Чтобы изменения вступили в силу, нажмите «Сохранить».

Внимание! Система не позволит сохранить изменения, когда у пользователей отмечено больше флагов «Wireguard-доступ», чем свободных IP-адресов, выделенных в данной Wireguard-сети.

Текущие сеансы

На данной вкладке можно посмотреть, какие пользователи подключены в настоящее время, время подключения, а также при необходимости отключить пользователя.

В списке отображаются IP-адреса VPN-соединений, тип VPN-соединения и имя пользователя, для которого это соединение создано.

При выборе пользователя отображаются:

• время подключения — время установления данного соединения;
• длительность подключения;
• IP-адрес и способ его выдачи;
• IP-адрес и порт, с которого осуществляется соединение;
• кнопка «Прервать соединение» для отключения пользователя.

События

На данной вкладке можно посмотреть информацию о пользователях. Например, какой пользователь был подключен, с какого адреса и какой адрес получил, а также информацию об отключении пользователя.

Данная вкладка является стандартным элементом веб-интерфейса ИКС.

Журнал

На данной вкладке отображается сводка всех системных сообщений служб VPN-сервера с указанием даты и времени.

По умолчанию в журнале отображаются сообщения службы PPP-соединений. Чтобы переключить сводку на OpenVPN, SSTP или Wireguard, нажмите на соответствующую кнопку и выберите нужную службу.

В остальных функциях журнал является стандартным элементом веб-интерфейса ИКС.