Koneksi - VPN

Kami tidak menyarankan penggunaan login Sirilik untuk koneksi VPN.

Untuk mendapatkan akses dari luar (dari rumah, hotel, kantor lain) ke jaringan perusahaan lokal, yang terletak di belakang TKMTRM Ideco, Anda dapat terhubung melalui VPN dari mesin ini (komputer atau perangkat seluler) ke server TKMTRM Ideco.

Untuk VPN klien-ke-situs, server kami mendukung empat protokol koneksi terowongan: IKEv2, SSTP, L2TP/IPsec, PPTP.

Untuk alasan keamanan, tidak disarankan untuk menggunakan protokol PPTP (disimpan untuk kompatibilitas dengan sistem operasi dan peralatan yang sudah ketinggalan zaman, serta untuk otorisasi pada jaringan lokal di mana tidak ada persyaratan untuk enkripsi lalu lintas yang ketat).

Protokol yang disarankan untuk kecepatan dan keamanan adalah IKEv2.

Anda dapat menggunakan akun pribadi pengguna untuk mendistribusikan instruksi pembuatan koneksi VPN khusus.

Dasar

Bidang Jaringan untuk koneksi VPN menentukan subnet tempat alamat IP akan ditetapkan secara dinamis. Subnet mask harus berada dalam kisaran 16 hingga 30.

Pengaturan dasar

Di pengaturan utama, pilih protokol yang dapat digunakan pengguna untuk terhubung. Lebih detail tentang pengaturan di artikel: PPTP, IKEv2/IPsec, SSTP dan L2TP/IPsec .

Untuk mengkonfigurasi koneksi VPN pada beberapa antarmuka jaringan sekaligus:

1. Buat zona dan tambahkan antarmuka jaringan untuk koneksi VPN ke zona ini;

2. Buka bagian Pengguna -> Koneksi VPN -> Umum dan tentukan zona yang dibuat pada langkah pertama.

Gunakan zona untuk mengonfigurasi koneksi VPN untuk beberapa antarmuka jaringan sekaligus.

Kami tidak menyarankan penggunaan jenis koneksi PPTP. Metode koneksi ini SANGAT tidak aman, hanya tersisa untuk kompatibilitas dengan solusi lama. Gunakan IPsec-IKEv2.

Status koneksi

Dimulai dengan TKMTRM Ideco versi 16.0, setiap protokol koneksi VPN kini memiliki status penggunaan. Status ditampilkan sebagai keterangan alat di bawah nama protokol saat protokol digunakan dalam aturan tabel Akses VPN.

Jika opsi di sebelah nama protokol diaktifkan di bagian Pengguna -> Koneksi VPN -> Utama dan ada koneksi, warna statusnya adalah hijau, jika protokol dinonaktifkan - oranye.

Mentransfer rute

Rute yang diteruskan ke klien VPN oleh TKMTRM Ideco memiliki metrik yang lebih rendah (yaitu, prioritas tinggi). Pada menu pengalihan rute terdapat 5 pilihan untuk mengatur pengalihan rute ke klien:

1. Jangan dikirim. Jika opsi ini diaktifkan, tidak ada rute yang akan diteruskan ke klien, artinya tidak ada lalu lintas yang melewati NGFW.

2. Kirim semua lalu lintas ke TKMTRM Ideco. Jika opsi ini diaktifkan, rute 0.0.0.0/0 akan dikirim ke klien, artinya semua lalu lintas akan melalui NGFW.

3. Kirim rute ke semua jaringan lokal. Ketika opsi ini diaktifkan, klien akan dikirimi rute ke semua jaringan NGFW lokal, termasuk jaringan yang terhubung melalui IPsec dan jaringan yang dirutekan.

4. Kirim rute ke jaringan lokal TKMTRM Ideco. Jika opsi ini diaktifkan, klien akan dikirimi rute hanya ke jaringan NGFW lokal, tanpa memperhitungkan IPsec dan jaringan yang dirutekan.

5. Kirim hanya yang ditentukan saja. Saat Anda mengaktifkan opsi ini, Anda diberi kesempatan untuk memilih rute mana yang akan dikirim ke klien.

Jika rute klien VPN tumpang tindih dengan rute yang dikirim oleh TKMTRM Ideco, maka pilih Jangan kirim atau Kirim hanya yang ditentukan.

Akses melalui VPN

Tab berisi tabel aturan yang beroperasi dari atas ke bawah. Segera setelah kolom Sumber koneksi, Pengguna dan grup, Protokol koneksi cocok dengan aturan, tindakan yang dipilih saat membuat aturan akan dilakukan. Jika Anda menentukan Metode 2FA, autentikasi akan dilakukan menggunakan faktor kedua. Aturannya dapat menggunakan grup pengguna TKMTRM Ideco dan grup keamanan AD.

Menambahkan grup keamanan AD untuk VPN tidak perlu mengimpor ke pohon pengguna. Masukkan TKMTRM Ideco ke dalam domain dan pilih grup keamanan yang diperlukan pada tab Akses VPN.

Untuk mengaktifkan akses VPN untuk sekelompok pengguna, ikuti langkah-langkah berikut:

1. Buka Pengguna -> Koneksi VPN -> Akses VPN.

2. Isi kolom formulir yang diperlukan:

3. Klik Simpan.

Untuk mengoperasikan koneksi VPN menggunakan protokol yang dipilih, konfigurasikan TKMTRM Ideco sesuai di bagian Koneksi VPN -> Umum.

Anda dapat menentukan jenis autentikasi dua faktor yang berbeda untuk grup pengguna yang berbeda. Untuk menyiapkan autentikasi dua faktor, gunakan artikel

Aturan untuk mengeluarkan alamat IP

Tab ini memungkinkan Anda membuat aturan untuk mengeluarkan alamat IP kepada pengguna yang terhubung melalui VPN. NGFW memindai tabel aturan dari atas ke bawah hingga pengguna pertama cocok.

Jika pengguna tidak mematuhi ketentuan aturan, ia diberikan alamat IP gratis dari jaringan untuk koneksi VPN. Pada saat yang sama, semua subnet dan alamat tunggal yang ditentukan dalam semua aturan tabel dan digunakan dalam sesi saat ini dikecualikan darinya. Jika tidak ada alamat yang tersisa, koneksi dihentikan

Untuk membuat aturan, klik Tambahkan dan isi kolom berikut:

Nama - masukkan nama aturan;
Pengguna dan grup - pilih pengguna atau grup pengguna yang akan menerapkan aturan;
Menerbitkan alamat - masukkan alamat IP atau subnet;
Komentar - kolom mungkin kosong.

Penting:

Subnet yang ditentukan dalam aturan harus sepenuhnya berada dalam jaringan untuk koneksi VPN. Jika tidak, aturan tersebut dianggap tidak valid, alamat tidak dapat dikeluarkan, dan koneksi dihentikan.
Anda tidak dapat menentukan jaringan yang sama dalam dua aturan berbeda.
Jika aturan berbeda menentukan jaringan yang berpotongan (misalnya, jaringan 10.128.1.0/24 adalah subnet dari jaringan 10.128.0.0/20), maka: *alamat dari jaringan 10.128.1.0/24 tidak akan pernah dikeluarkan;
saat mengeluarkan alamat jaringan 10.128.0.0/20, alamat subnet 10.128.1.0/24 akan dikecualikan darinya.
Jika Anda menentukan dalam aturan jaringan yang cocok dengan jaringan untuk koneksi VPN, maka semua pengguna VPN yang tidak cocok dengan aturan dalam tabel tidak akan bisa mendapatkan alamat dan terhubung. *Jumlah koneksi VPN simultan dari satu pengguna juga akan dibatasi oleh ukuran jaringan yang ditentukan untuknya dalam aturan.
Jika aturan menentukan satu alamat IP dan sudah digunakan di sesi saat ini, maka pengguna yang ditentukan dalam aturan tidak akan dapat membuat koneksi VPN kedua - ia tidak akan bisa mendapatkan alamat tersebut;
Jika aturan menentukan jaringan dengan awalan /30 (atau topeng 255.255.255.252) dan jaringan yang lebih luas (misalnya, 10.128.2.0/24), maka ketika mengeluarkan alamat dari jaringan tersebut, alamat jaringan tersebut itu sendiri dan alamat siaran (10.128.2.0 dan 10.128.2.255) tidak akan digunakan.

Untuk menonaktifkan aturan, klik di kolom kontrol. Untuk menghapus aturan, klik .

PreviousAkun personal pengguna NextOtentifikasi due faktor

Last updated 2 months ago