VPN

Модуль «VPN» предназначен для контроля пользователей, которые подключаются к ИКС по технологии VPN. Для открытия данного модуля перейдите в меню Сеть > VPN.

В модуле расположены следующие вкладки:

• VPN-сервер
• Настройки
• Пользователи
• Текущие сеансы
• События
• Журнал

VPN-сервер

На данной вкладке отображаются следующие сведения о Службе PPP-соединений, OpenVPN, SSTP и Wireguard.

• статус службы (запущен, остановлен, выключен, не настроен);
• кнопка «Включить» («Выключить») — позволяет запустить или остановить службу;
• журнал последних событий.

Настройки

Данная вкладка предназначена для настройки VPN-сервера.

1. Если требуется, установите флаги:
   • «Разрешать одновременные подключения под одним пользователем» — позволяет подключаться по VPN разным устройствам под логином и паролем одного пользователя;
   • «Авторизовать доменных пользователей через Kerberos» — при установке флага авторизация доменных пользователей происходит только через Kerberos, для пользователей ИКС все остается без изменений.

     Если флаг установлен, необходимо: 1) настроить Kerberos; 2) доменный пользователь должен подключаться по L2TP с IPSec, в настройках подключения у пользователя должна быть выбрана проверка подлинности PAP (протоколы CHAP и MS-CHAPv2 рекомендуется отключить);

   • «Автоматически создавать разрешающее правило» — предоставляет доступ к VPN-серверу из внешней сети. По ссылке на экране можно перейти к правилам межсетевого экрана;
   • «Автоматически создавать разрешающее правило OpenVPN» — предоставляет доступ к OpenVPN-сетям. По ссылке на экране можно перейти к правилам межсетевого экрана.

   

2. При необходимости можно изменить время ожидания сессии. Это время разрыва сессии в случае неактивности пользователя (в секундах). По умолчанию установлено значение 60 секунд.
3. Если требуется, измените время ожидания ответа от RADIUS (в секундах). По умолчанию установлено значение 3 секунды.
4. Для того чтобы пользователи не указывали домен при подключении по протоколам PPTP, L2TP, PPPoE и SSTP, установите флаг «Автоматически определять имя домена при подключении».

   

5. На вкладке можно выбрать корневой сертификат и сертификат SSTP-сервера, а также указать порты SSTP-сервера.
6. Если требуется, установите флаги «Автоматически создавать разрешающее правило SSTP» и (или) «Автоматически создавать разрешающее правило Wireguard».
7. Нажмите «Сохранить».

Пользователи

На данной вкладке отображается список пользователей ИКС. При помощи установки флагов можно определить, каким пользователям разрешен VPN-доступ и (или) OpenVPN-доступ, а также SSTP-доступ. По умолчанию разрешающие флаги сняты для всех пользователей, которым присвоены адреса из VPN-сети или из SSTP-сети.

На вкладке также можно добавить нового пользователя (группу) по аналогии с модулем «Пользователи». Чтобы удалить, выключить и редактировать свойства пользователя, просто выберите его в списке и нажмите на соответствующую кнопку.

Для поиска пользователя в списке воспользуйтесь специальной строкой.

Внимание! Доступ через VPN и SSTP можно дать только пользователям с логином. При этом логин должен содержать только цифры, буквы, символы подчеркивания, а также следующие символы: «+», «-», «.», «\».

Если пользователь на ИКС авторизуется через домен, для подключения через VPN нужно использовать полный логин пользователя в формате DOMAIN/Login.

Для предоставления доступа к OpenVPN-сети установите флаг в столбце «OpenVPN-доступ» напротив соответствующего пользователя и в открывшемся окне выберите соответствующую OpenVPN-сеть. После этого в индивидуальном модуле данного пользователя на вкладке «OpenVPN» станут доступны дополнительные настройки соединения в OpenVPN-сети. Кроме этого, ИКС автоматически создаст конечный сертификат для соответствующего пользователя с именем <имя сети>_<имя пользователя>.

Внимание! Изменение логина пользователя, добавленного в OpenVPN-сеть, может привести к нарушению работы ИКС.

Если пользователь имеет кириллический логин, то для него невозможно создать сертификат, поэтому он не будет подключен к OpenVPN-сети.

Чтобы изменения вступили в силу, нажмите «Сохранить».

Текущие сеансы

На данной вкладке можно посмотреть, какие пользователи подключены в настоящее время, время подключения, а также при необходимости отключить пользователя.

В списке отображаются IP-адреса VPN-соединений, тип VPN-соединения и имя пользователя, для которого это соединение создано.

При выборе пользователя отображаются:

• время подключения — время установления данного соединения;
• длительность подключения;
• IP-адрес и способ его выдачи;
• IP-адрес и порт, с которого осуществляется соединение;
• кнопка «Прервать соединение» для отключения пользователя.

События

На данной вкладке можно посмотреть информацию о пользователях. Например, какой пользователь был подключен, с какого адреса и какой адрес получил, а также информацию об отключении пользователя.

Данная вкладка является стандартным элементом веб-интерфейса ИКС.

Журнал

На данной вкладке отображается сводка всех системных сообщений служб VPN-сервера с указанием даты и времени.

По умолчанию в журнале отображаются сообщения службы PPP-соединений. Чтобы переключить сводку на OpenVPN, SSTP или Wireguard, нажмите на соответствующую кнопку и выберите нужную службу.

В остальных функциях журнал является стандартным элементом веб-интерфейса ИКС.