Наследование параметров группы. Разрешить VPN из Интернет

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Наследование параметров группы. Разрешить VPN из Интернет

Сообщение ISec » 21 май 2018, 22:44

Доброго...!

В Ideco ICS 7.6 в группе "Все" создана ldap группа "Х". В параметрах группы "Х" выставлена галка "Разрешить VPN из Интернет".
При импортировании из active directory, создаваемым в ldap группе "Х" пользователям не устанавливается автоматически вышеуказанная галка.
Создал в группе "Все" простую группу "У". В параметрах группы "У" выставил галку "Разрешить VPN из Интернет". Создал пользователя. Галка "Разрешить VPN из Интернет" у созданного таким образом пользователя (вручную) появилась.
В параметрах группы "У" снял галку "Разрешить VPN из Интернет", но у пользователя в этой группе она все равно осталась. Снял у пользователя в группе "У" галку "Разрешить VPN из Интернет", выставил ее в параметрах группы "У", но у пользователя она не появилась.

Так задумано?
Как автоматизировать процесс выставления указанной галки для импортируемых из AD пользователей?

---
До 7.6 обновился недавно. Длительный период использовалась версия 6.8.1, в которой галка для импортируемых из AD пользователей выставлялась автоматически (согласно групповым параметрам).
ISec
Пользователь
 
Сообщения: 8
Зарегистрирован: 28 окт 2015, 16:13

Re: Наследование параметров группы. Разрешить VPN из Интерне

Сообщение ideco.dmitriy » 22 май 2018, 08:15

Добрый день!
Да, в текущей версии наследование галочки убрано по соображениям безопасности.
А вам обязательно предоставлять доступ из интернета всем пользователям?
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1775
Зарегистрирован: 11 мар 2014, 08:43

Re: Наследование параметров группы. Разрешить VPN из Интерне

Сообщение ISec » 22 май 2018, 10:09

Мне необходимо предоставлять доступ к Интернет из сетей филиалов через основной шлюз Ideco (так сказать, единая точка выхода в Интернет). Без этой галочки не работает. Из Интернета никто и так не подключится, т.к. доступ закрыт.
ISec
Пользователь
 
Сообщения: 8
Зарегистрирован: 28 окт 2015, 16:13

Re: Наследование параметров группы. Разрешить VPN из Интерне

Сообщение ideco.dmitriy » 22 май 2018, 12:58

А пользователи подключаются к внешнему интерфейсу Ideco ICS? У них нет доступа к его локальному интерфейсу?
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1775
Зарегистрирован: 11 мар 2014, 08:43

Re: Наследование параметров группы. Разрешить VPN из Интерне

Сообщение ISec » 22 май 2018, 14:24

Пользователи подключаются к локальному (внутреннему) интерфейсу Ideco.

Например:
Шлюз Ideco №1 (главный офис; лицензия enterprise) находится в сегменте локальной сети 192.168.0.0/24, IP-адрес внутреннего интерфейса Ideco 192.168.0.1.
Рабочие места пользователей находятся в сегменте локальной сети 192.168.1.0/24 за Ideco №2 (филиал; лицензия SMB).
Между сегментами Ideco №1 и №2 организована связь через IPsec (Ideco ICS).
Через Ideco №2 доступ в Интернет закрыт (возможна только связь между Ideco №1 и №2 по IPsec).
Таким образом, для доступа к Интернет пользователи подключаются к Ideco №1 по IP-адресу 192.168.0.1.
ISec
Пользователь
 
Сообщения: 8
Зарегистрирован: 28 окт 2015, 16:13

Re: Наследование параметров группы. Разрешить VPN из Интерне

Сообщение ideco.dmitriy » 23 май 2018, 10:30

Для подключения к локальному интерфейсу достаточно у пользователей сделать тип авторизации по VPN.
Эти настройки наследуются от группы.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1775
Зарегистрирован: 11 мар 2014, 08:43

Re: Наследование параметров группы. Разрешить VPN из Интерне

Сообщение ISec » 23 май 2018, 13:54

ideco.dmitriy писал(а):Для подключения к локальному интерфейсу достаточно у пользователей сделать тип авторизации по VPN.
Эти настройки наследуются от группы.


Это (тип авторизации по vpn) сделано изначально и присутствует до сих пор. Да, заданный на группу тип авторизации наследуется на пользователей в группе.

С рабочих мест, которые входят в один и тот же сегмент локальной сети, что и шлюз Ideco №1, галочка "Разрешить VPN из Интернет" не нужна, а с рабочих мест, находящихся в иных сегментах локальной сети (за Ideco №2 и т.д. в филиалах) она требуется (для подключения к Ideco №1 по VPN).
ISec
Пользователь
 
Сообщения: 8
Зарегистрирован: 28 окт 2015, 16:13

Re: Наследование параметров группы. Разрешить VPN из Интерне

Сообщение ideco.dmitriy » 23 май 2018, 14:32

Понял. Постараемся добавить наследование этого параметра в будущих версиях.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 1775
Зарегистрирован: 11 мар 2014, 08:43


Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron