FAQ

Настройка подключения КриптоПро NGate Клиент с двухфакторной аутентификацией Multifactor

При настройке КриптоПро NGate Клиент с двухфакторной аутентификацией Multifactor имеются небольшие особенности в настройках nGate, которые не описаны в официальной документации. Данная статья поможет вам правильно и корректно настроить КриптоПро NGate Клиент для успешного подключения с двухфакторной аутентификацией Multifactor.

Настройка MULTIFACTOR

Настройка мультифактора и связка с КриптоПро nGate описана на официальном сайте производителя:
https://multifactor.ru/docs/vpn/ngate-vpn-2fa/

Настройка nGate

1) Перейти во вкладку External Services – LDAP Servers. Создать и настроить подключение к LDAP серверу.
2) Перейти во вкладку External Services – Radius Servers. Создать и настроить подключение к Radius серверу.
3) Создать и настроить HTTP-портал: на вкладке Portals - HTTP potral.
Примечание:

Если nGate установлен за NAT устройством, то в настройках портала (поле Server Name) выставить белый IP адрес NAT устройства. Также, данный IP адрес необходимо указать в серверном сертификате для подключения VPN клиента. Если, nGate подключен напрямую к провайдеру и имеет белый IP адрес, то в поле Server Nameпрописывается белый IP адрес nGate.
Задайте параметры как на скриншоте:
  • Name - Укажите произвольное имя портала;
  • Server Name – IP адрес или DNS имя сервера nGate;
  • User authentification type - (Username/password (LDAP));
  • User Radius – Установить галочку;
  • Password usage – send password to Radius.
4) В свойствах портала настраивается Resources (Сетевые параметры), которые в дальнейшем получит VPNклиент при подключении.
Подробнее:
https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/13-setting-examples/task-setting-vpn-gate-access.html
Пункт 29.
5) Во вкладке Network настраиваются сети, к которым необходим доступ при подключенном VPN клиенте.
Подробнее:
https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/13-setting-examples/task-setting-vpn-gate-access.html
Пункт 32.
6) Во вкладке ACLs настраиваются правила доступа:
  • Настройка LDAP ACL. Если LDAP аутентификация, то для предоставления доступа выбираются группы Active Directory, которые будут подключаться по VPN клиенту;
  • Настройка Sertificate ACL. Если аутентификация на сертификатах, то можно выставить параметры для сертификата, которые будут подключаться по VPN клиенту.
Для двухфакторной аутентификации VPN клиента, требуется настроить правила доступа - LDAP ACL.
7) Во вкладке External Services необходимо привязать LDAP и Radius клиенты, которые были созданы в пунктах 1 и 2.
8) В свойствах портала во вкладке Dynamic tunnel resources привязать правила доступа к сетям:
9) В Главном меню веб-интерфейса nGate, перейти на вкладку CA Certificates. Импортировать корневой сертификат с внешнего УЦ.
Примечание:

В примере внешний УЦ выгружен с тестового УЦ КриптоПро. Тестовый УЦ КриптоПро рекомендуется использовать только в рамках тестирования или пилотирования nGate.
10) В Главном меню веб-интерфейса nGate, перейти на вкладку Certificate Credentias - Server certificate request.
Сформировать запрос на серверный сертификат. Выпустить серверный сертификат в УЦ и импортировать в nGate.

В окне генерации запроса на Серверный сертификат введите обязательные параметры: имя Name, алгоритм шифрования Algorithm (в данном примере GOST 2012 256bit). Самым важным полем в форме запроса является поле Subject CN. Значение данного поля должно совпадать в данном примере с именем машины [hostname] шлюза. Если nGate расположен на NAT устройством, то в поле Subject CN указывается белый IP адрес NATустройства. Это же имя добавьте в поле DNS names.
Подробнее:
https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/13-setting-examples/task-setting-vpn-gate-access.html
Пункт 20.
11) Во вкладке Certificates выполните привязку к порталу ранее добавленного Серверного мандата (Server credential) и корневого сертификата. Перейдите на вкладку Certificates настроек портала и нажатие кнопку Assign в поле Server Credentials для входа в меню привязки.
12) Опубликовать конфигурацию на ноду nGate.

Настройка VPN клиента

1. Установить на АРМ Крипто Про CSP и VPN клиент Крипто Про;

2. Необходимо импортировать корневой сертификат на VPN клиент согласно документации

3. Перейти в раздел Состояние. И в поле указать IP адрес или DNS имя nGate:

Пример: https://1.1.1.1;

4. Затем ввести логин и пароль от доменной учетной записи, которая находится в группе Active Directory.
Примечание:

Важно соблюдать цепочку сертификатов.

Если используется корневой сертификат от тестового УЦ КриптоПро, то второстепенные сертификаты (серверный и пользовательский) должны строго выпускаться через данный тестовый УЦ. Иначе, если выпустить серверный и пользовательский сертификаты в другом УЦ, а корневой из другого УЦ, то сертификаты не будут активны и подключение с VPN клиента к nGate будет невозможным.
Для подключения VPN клиента на базе LDAP + 2FA, нужно:
  • Корневой сертификат - импортированный в VPN клиенте и nGate (nGate пункте 9);
  • Серверный сертификат (созданные на УЦ) и привязанный к nGate в пункте 10.

С помощью двух сертификатов будет создаваться TLS соединение по шифрованию ГОСТ.
Для построения VPN туннеля и аутентификации клиента только на сертификатах:
  • Корневой сертификат – импортированный в VPN клиенте и nGate (nGate пункте 9);
  • Серверный сертификат (созданные на УЦ) и привязанный к nGate в пункте 10.
  • Пользовательский сертификат. (Создается запрос сертификата VPN клиента и подписывается в УЦ, далее необходимо привязать полученный сертификат на VPN клиент).
Удачи!