VPN
Модуль «VPN» предназначен для контроля пользователей, которые подключаются к ИКС по технологии VPN. Для открытия данного модуля перейдите в меню Сеть > VPN.
В модуле расположены следующие вкладки:
VPN-сервер
На данной вкладке отображаются следующие сведения о Службе PPP-соединений, OpenVPN, SSTP и Wireguard.
- статус службы (запущен, остановлен, выключен, не настроен);
- кнопка «Включить» («Выключить») — позволяет запустить или остановить службу;
- журнал последних событий.
Настройки
Данная вкладка предназначена для настройки VPN-сервера.
- Если требуется, установите флаги:
- «Разрешать одновременные подключения под одним пользователем» — позволяет подключаться по VPN разным устройствам под логином и паролем одного пользователя;
- «Авторизовать доменных пользователей через Kerberos» — при установке флага авторизация доменных пользователей происходит только через Kerberos, для пользователей ИКС все остается без изменений.
Если флаг установлен, необходимо: 1) настроить Kerberos; 2) доменный пользователь должен подключаться по L2TP с IPSec, в настройках подключения у пользователя должна быть выбрана проверка подлинности PAP (протоколы CHAP и MS-CHAPv2 рекомендуется отключить);
- «Автоматически создавать разрешающее правило» — предоставляет доступ к VPN-серверу из внешней сети. По ссылке на экране можно перейти к правилам межсетевого экрана;
- «Автоматически создавать разрешающее правило OpenVPN» — предоставляет доступ к OpenVPN-сетям. По ссылке на экране можно перейти к правилам межсетевого экрана.
- При необходимости можно изменить время ожидания сессии. Это время разрыва сессии в случае неактивности пользователя (в секундах). По умолчанию установлено значение 60 секунд.
- Если требуется, измените время ожидания ответа от RADIUS (в секундах). По умолчанию установлено значение 3 секунды.
- Для того чтобы пользователи не указывали домен при подключении по протоколам PPTP, L2TP, PPPoE и SSTP, установите флаг «Автоматически определять имя домена при подключении».
- На вкладке можно выбрать корневой сертификат и сертификат SSTP-сервера, а также указать порты SSTP-сервера.
- Если требуется, установите флаги «Автоматически создавать разрешающее правило SSTP» и (или) «Автоматически создавать разрешающее правило Wireguard».
- Нажмите «Сохранить».
Пользователи
На данной вкладке отображается список пользователей ИКС. При помощи установки флагов можно определить, каким пользователям разрешен VPN-доступ и (или) OpenVPN-доступ, а также SSTP-доступ и Wireguard-доступ. По умолчанию разрешающие флаги сняты для всех пользователей, которым присвоены адреса из VPN-сети, SSTP-сети или Wireguard-сети.
При установке флага «Wireguard-доступ» соответствующему пользователю система предложит выбрать Wireguard-сеть. После сохранения настроек доступа в соответствующей Wireguard-сети будет создан Wireguard-пир для данного пользователя.
В ИКС предусмотрена возможность настроить для пользователя двухфакторную аутентификацию. Для этого необходимо соблюсти следующие условия:
- в настройках VPN-сети, OpenVPN-сети и (или) SSTP-сети установлен флаг «Использовать двухфакторную аутентификацию»;
- запущен Telegram-бот;
- на вкладке «Пользователи» модуля VPN у пользователя установлен доступ к соответствующему подключению.
При доступности двухфакторной аутентификации станет активным меню: скопировать ссылку для регистрации в боте либо обновить ссылку (сгенерировать заново).
Если ссылка сгенерирована заново, а пользователь уже был зарегистрирован, необходимо снова пройти по ссылке, чтобы зарегистрироваться. Далее пользователь должен перейти по ссылке и нажать кнопку «Старт» в боте. Бот присылает соответствующее сообщение, что пользователь использует его для двухфакторной аутентификации. Теперь при подключении к OpenVPN, SSTP или VPN в боте будет приходить сообщение с подтверждением.
Если пользователь всегда должен получать один и тот же IP-адрес, можно присвоить ему адрес из диапазона VPN-сети на вкладке пользователя «IP/MAC-адреса». Этот адрес будет назначаться пользователю при подключении, в противном случае пользователю будет выдаваться первый свободный адрес из VPN-диапазона. Назначение адреса вручную удобно в том случае, если пользователь при подключении не использует ИКС как удаленный шлюз. В таком случае клиенту можно прописать статический маршрут до сетей ИКС. Это делается следующим образом (на примере Windows XP):
- В свойствах созданного VPN-подключения во вкладке «Сеть» необходимо выбрать пункт «Протокол интернета TCP/IP».
- Нажать кнопку «Свойства».
- В открывшемся окне нажать кнопку «Дополнительно» и снять флажок «Использовать основной шлюз в удаленной сети».
- После этого пользователю в настройках системы необходимо прописать маршрут вида «Удаленная сеть > Выданный VPN-адрес».
На вкладке «Пользователи» также можно добавить нового пользователя (группу) по аналогии с модулем «Пользователи». Чтобы удалить, выключить и редактировать свойства пользователя, просто выберите его в списке и нажмите на соответствующую кнопку.
Для поиска пользователя в списке воспользуйтесь специальной строкой.
Внимание! Доступ через VPN и SSTP можно дать только пользователям с логином. При этом логин может содержать только цифры, буквы, символы подчеркивания, а также следующие символы: «+», «-», «.», «\».
Если пользователь на ИКС авторизуется через домен, для подключения через VPN нужно использовать полный логин пользователя в формате DOMAIN\Login.
Для предоставления доступа к OpenVPN-сети установите флаг в столбце «OpenVPN-доступ» напротив соответствующего пользователя и в открывшемся окне выберите соответствующую OpenVPN-сеть. После этого в индивидуальном модуле данного пользователя на вкладке «OpenVPN» станут доступны дополнительные настройки соединения в OpenVPN-сети. Кроме этого, ИКС автоматически создаст конечный сертификат для соответствующего пользователя с именем <имя сети>_<имя пользователя>.
Если пользователь имеет кириллический логин, то для него невозможно создать сертификат, поэтому он не будет подключен к OpenVPN-сети.
На вкладке также можно задать временные диапазоны для VPN-пользователей. Для этого укажите пользователю IP-адрес из VPN-сети. Тогда при каждом подключении ему будет выдаваться именно этот IP-адрес. Создайте для пользователя запрещающее правило и укажите в нем время действия, когда доступ должен быть закрыт.
Чтобы изменения вступили в силу, нажмите «Сохранить».
Внимание! Система не позволит сохранить изменения, когда у пользователей отмечено больше флагов «Wireguard-доступ», чем свободных IP-адресов, выделенных в данной Wireguard-сети.
Текущие сеансы
На данной вкладке можно посмотреть, какие пользователи подключены в настоящее время, время подключения, а также при необходимости отключить пользователя.
В списке отображаются IP-адреса VPN-соединений, тип VPN-соединения и имя пользователя, для которого это соединение создано.
Также в списке показаны сведения о Wireguard-подключениях (подключенных пирах, у которых было последнее рукопожатие в течение последней минуты перед запросом).
При нажатии на строку OpenVPN-подключения отображаются сведения:
- время подключения — время установления данного соединения;
- длительность подключения;
- IP-адрес и способ его выдачи;
- IP-адрес и порт, с которого осуществляется соединение;
- кнопка «Прервать соединение» для отключения пользователя.
При нажатии на строку Wireguard-подключения показана следующая информация:
- время последнего рукопожатия;
- удаленный IP-адрес пира.
События
На данной вкладке можно посмотреть информацию о пользователях. Например, какой пользователь был подключен, с какого адреса и какой адрес получил, а также информацию об отключении пользователя.
Данная вкладка является стандартным элементом веб-интерфейса ИКС.
Журнал
На данной вкладке отображается сводка всех системных сообщений служб VPN-сервера с указанием даты и времени.
По умолчанию в журнале отображаются сообщения службы PPP-соединений. Чтобы переключить сводку на OpenVPN, SSTP или Wireguard, нажмите на соответствующую кнопку и выберите нужную службу.
В остальных функциях журнал является стандартным элементом веб-интерфейса ИКС.