При настройке КриптоПро NGate Клиент с двухфакторной аутентификацией Multifactor имеются небольшие особенности в настройках nGate, которые не описаны в официальной документации. Данная статья поможет вам правильно и корректно настроить КриптоПро NGate Клиент для успешного подключения с двухфакторной аутентификацией Multifactor.
Настройка MULTIFACTOR
Настройка мультифактора и связка с КриптоПро nGate описана на официальном сайте производителя:
https://multifactor.ru/docs/vpn/ngate-vpn-2fa/
https://multifactor.ru/docs/vpn/ngate-vpn-2fa/
Настройка nGate
1) Перейти во вкладку External Services – LDAP Servers. Создать и настроить подключение к LDAP серверу.

2) Перейти во вкладку External Services – Radius Servers. Создать и настроить подключение к Radius серверу.

3) Создать и настроить HTTP-портал: на вкладке Portals - HTTP potral.

Примечание:
Если nGate установлен за NAT устройством, то в настройках портала (поле Server Name) выставить белый IP адрес NAT устройства. Также, данный IP адрес необходимо указать в серверном сертификате для подключения VPN клиента. Если, nGate подключен напрямую к провайдеру и имеет белый IP адрес, то в поле Server Nameпрописывается белый IP адрес nGate.
Задайте параметры как на скриншоте:
- Name - Укажите произвольное имя портала;
- Server Name – IP адрес или DNS имя сервера nGate;
- User authentification type - (Username/password (LDAP));
- User Radius – Установить галочку;
- Password usage – send password to Radius.

4) В свойствах портала настраивается Resources (Сетевые параметры), которые в дальнейшем получит VPNклиент при подключении.
Подробнее:
https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/13-setting-examples/task-setting-vpn-gate-access.html
Пункт 29.

5) Во вкладке Network настраиваются сети, к которым необходим доступ при подключенном VPN клиенте.
Подробнее:
https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/13-setting-examples/task-setting-vpn-gate-access.html
Пункт 32.

6) Во вкладке ACLs настраиваются правила доступа:
- Настройка LDAP ACL. Если LDAP аутентификация, то для предоставления доступа выбираются группы Active Directory, которые будут подключаться по VPN клиенту;
- Настройка Sertificate ACL. Если аутентификация на сертификатах, то можно выставить параметры для сертификата, которые будут подключаться по VPN клиенту.
Для двухфакторной аутентификации VPN клиента, требуется настроить правила доступа - LDAP ACL.

7) Во вкладке External Services необходимо привязать LDAP и Radius клиенты, которые были созданы в пунктах 1 и 2.

8) В свойствах портала во вкладке Dynamic tunnel resources привязать правила доступа к сетям:

9) В Главном меню веб-интерфейса nGate, перейти на вкладку CA Certificates. Импортировать корневой сертификат с внешнего УЦ.
Примечание:
В примере внешний УЦ выгружен с тестового УЦ КриптоПро. Тестовый УЦ КриптоПро рекомендуется использовать только в рамках тестирования или пилотирования nGate.

10) В Главном меню веб-интерфейса nGate, перейти на вкладку Certificate Credentias - Server certificate request.
Сформировать запрос на серверный сертификат. Выпустить серверный сертификат в УЦ и импортировать в nGate.
В окне генерации запроса на Серверный сертификат введите обязательные параметры: имя Name, алгоритм шифрования Algorithm (в данном примере GOST 2012 256bit). Самым важным полем в форме запроса является поле Subject CN. Значение данного поля должно совпадать в данном примере с именем машины [hostname] шлюза. Если nGate расположен на NAT устройством, то в поле Subject CN указывается белый IP адрес NATустройства. Это же имя добавьте в поле DNS names.
В окне генерации запроса на Серверный сертификат введите обязательные параметры: имя Name, алгоритм шифрования Algorithm (в данном примере GOST 2012 256bit). Самым важным полем в форме запроса является поле Subject CN. Значение данного поля должно совпадать в данном примере с именем машины [hostname] шлюза. Если nGate расположен на NAT устройством, то в поле Subject CN указывается белый IP адрес NATустройства. Это же имя добавьте в поле DNS names.

Подробнее:
https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/13-setting-examples/task-setting-vpn-gate-access.html
Пункт 20.
11) Во вкладке Certificates выполните привязку к порталу ранее добавленного Серверного мандата (Server credential) и корневого сертификата. Перейдите на вкладку Certificates настроек портала и нажатие кнопку Assign в поле Server Credentials для входа в меню привязки.

12) Опубликовать конфигурацию на ноду nGate.

Настройка VPN клиента
1. Установить на АРМ Крипто Про CSP и VPN клиент Крипто Про;
2. Необходимо импортировать корневой сертификат на VPN клиент согласно документации
3. Перейти в раздел Состояние. И в поле указать IP адрес или DNS имя nGate:
Пример: https://1.1.1.1;
4. Затем ввести логин и пароль от доменной учетной записи, которая находится в группе Active Directory.
2. Необходимо импортировать корневой сертификат на VPN клиент согласно документации
3. Перейти в раздел Состояние. И в поле указать IP адрес или DNS имя nGate:
Пример: https://1.1.1.1;
4. Затем ввести логин и пароль от доменной учетной записи, которая находится в группе Active Directory.
Примечание:
Важно соблюдать цепочку сертификатов.
Если используется корневой сертификат от тестового УЦ КриптоПро, то второстепенные сертификаты (серверный и пользовательский) должны строго выпускаться через данный тестовый УЦ. Иначе, если выпустить серверный и пользовательский сертификаты в другом УЦ, а корневой из другого УЦ, то сертификаты не будут активны и подключение с VPN клиента к nGate будет невозможным.
Для подключения VPN клиента на базе LDAP + 2FA, нужно:
- Корневой сертификат - импортированный в VPN клиенте и nGate (nGate пункте 9);
- Серверный сертификат (созданные на УЦ) и привязанный к nGate в пункте 10.
С помощью двух сертификатов будет создаваться TLS соединение по шифрованию ГОСТ.
Для построения VPN туннеля и аутентификации клиента только на сертификатах:
- Корневой сертификат – импортированный в VPN клиенте и nGate (nGate пункте 9);
- Серверный сертификат (созданные на УЦ) и привязанный к nGate в пункте 10.
- Пользовательский сертификат. (Создается запрос сертификата VPN клиента и подписывается в УЦ, далее необходимо привязать полученный сертификат на VPN клиент).
Удачи!