Ошибка сертификата ssl ideco vpn

Интегрированные в Ideco UTM модули позволяют легко объединить несколько офисов в одну локальную сеть или подключиться к сети из любого места, где есть интернет, в том числе с использованием мобильных устройств.
Создать надежное и безопасное VPN-подключение в Ideco UTM можно максимально просто. Мы также позаботились о совместимости наших решений со сторонними маршрутизаторами, программными шлюзами и мобильными устройствами — всё это можно легко объединить в одну сеть.

В Ideco UTM поддерживаются пять самых популярных протоколов VPN: IKEv2/IPSec, SSTP, L2TP/IPsec, WireGuard и PPTP. Их можно использовать как для подключения удаленных офисов, так и для подключения конечных пользователей к сети. Все подробности в документации.

Для того чтобы вам было легче определиться с выбором VPN-технологии для вашей инфраструктуры, мы составили сравнительную таблицу по технологиям тунеллирования, реализованных в составе Ideco UTM:

Настройка защиты межсетевым экраном IDECO UTM

Настройка защиты межсетевым экраном IDECO UTM

95% угроз к нам приходит из сети интернет и поэтому стоит внимательно относиться к тому, какими сайтами пользуются сотрудники компании, чтобы запрещать доступ к зловредным, да и вообще иметь возможность фильтровать трафик, который идет в вашу сеть.

И в данном видео мы рассмотрим работу межсетевого экрана нового поколения IDECO UTM, который обладает мощным модулем контентной фильтрации для защиты от веб-угроз и антивирусной проверкой трафика.

Хотите получать свежие новости через ВК? Не вопрос, жми по ссылке: IT-Skills | Запишись в ИТ качалку

Изначально хотелось бы сказать, что разработчики данного решения позаботились о тестировании безопасности и создали сервис http://security.ideco.ru благодаря которому вы можете проверить насколько эффективна используемая вами система защиты.

В конечном итоге мы реализуем следующую систему. Поднимем виртуальный сервер IDECO UTM и интегрируем его с Active Directory, в результате чего пользователи домена будут получать доступ в интернет через сетевой экран. А уже через веб-интерфейс мы сможем мониторить всю сетевую активность и настраивать различные правила фильтрации.

Скачать дистрибутив IDECO UTM

Для начала нам потребуется скачать дистрибутив программы на сайте разработчиков https://utm.ideco.ru Кстати, вот эта анимация предельно просто и понятно объясняет суть работы программы, защита сети от внешних угроз, и блокировка трафика от посещения не связанных с работой сайтов.

Выбираем ссылку «Скачать» Заполняем форму регистрации Получаем доступ к личному кабинету на сайте, а уже оттуда загружаем дистрибутив + там же мы получаем ключ активации на 30 дней или до 40 активных пользователей.

Системные требования

Стоит учесть определенные системные требования:

Операционная система у нас будет: Linux Centos 6, 64 bit, так что при создании виртуальной машины нужно будет указать данный тип ОС.

HDD: 64Гб и более

ОЗУ: 4 Гб минимум, но желательно 8 Гб, чтобы система работала наиболее эффективно

2 сетевые карты: локальная сеть и интернет

Установка межсетевого экрана IDECO UTM

Процесс установки довольно простой, поэтому я его покажу на скриншотах + на эту тему есть подробное руководство в справочном центре (ссылка в описании)

Монтируем образ Выбираем пункт Установка Указываем часовой пояс и текущее время, важно установить правильно, для корректной работы Выбираем интерфейс локальной сети Назначаем IP и маску Перезагружаем Задаем пароль для root пользователя Попадаем в основное меню сервера.

Но, работать мы с ним будем через веб-интерфейс, поэтому заходим на какую-нибудь рабочую станцию в локальной сети и в браузере вводим IP адрес сервера IDECO UTM. Стоит учесть, что браузеры internet Explorer и Microsoft Edge не поддерживаются

Вводим логин и пароль по умолчанию administrator servicemode и появляется окно с первоначальными настройками.

Смена пароля администратора

Сменим стандартный пароль администратора на свой (Правила доступа Администратры Администратор Управление Замок (сменить пароль) Новый пароль Сохранить)

Настройка внешнего интерфейса

Тут нам потребуется настроить интерфейс, через который будем выходить в интернет (Сервисы Интерфейсы Свободные интерфейсы Настроить Роль: Внешний, Основной Название: Интернет Автоматическая конфигурация через DHCP, так как в моем случае я получаю интернет через коммутатор, можете указать вручную, если он у вас статический Сохранить Применить конфигурацию Перезагрузка Сервисы, проверяем что настройки корректны)

Активация сервера

Теперь активируем наш сервер, ключом, который генерируется в личном кабинете, и тут есть 2 варианта: если вы тестируете в сети где более 40 компьютеров будут подключаться к серверу, то выбираем лицензию demo, если менее, то можно лицензию SMB, она уже не имеет ограничения по времени, лишь по количеству рабочих станций. Подробности так же в личном кабинете (Перейти на страницу лицензии Ввести токен сервера)

Если у вас возникают какие-то проблемы или вопросы, то здесь есть подробная инструкция по каждому разделу программы (Документация)

Настройка авторизации пользователей

IDECO UTM не выпустит ни одного пользователя в интернет, пока он не будет авторизован на UTM сервере. Так как в моей ситуации сервер находится в доменной сети, то я буду авторизовать пользователей через Active Directory, если у вас не доменная сеть, то можно создать пользователей вручную. Как это сделать есть текстовая и видео инструкции.

Ввод сервера в домен

Для интеграции с Active Directory необходимо ввести сервер IDECO UTM в домен, из которого мы будем импортировать пользователей (Сервисы Active Directory Добавить домен Имя домена: office.loc DNS сервер домена Имя сервера IDECO UTM логин и пароль учетки имеющей права на присоединение компьютеров к домену Присоединить к домену Авторизация по логам: Разрешить)

Импорт пользователей из Active Directory

Теперь мы импортируем пользователей из активного каталога (Пользователи Добавить группу: AD Active Directory office.loc Группа безопасности AD Пользователи домена Сохранить). Видим, что все пользователи домена были импортированы. Каждый 15 минут сервер будет автоматически синхронизировать пользователей, так что нет необходимости повторять данную процедуру в дальнейшем.

Авторизация пользователей

Для наиболее быстрой и прозрачной авторизации пользователей настроим авторизацию по логам безопасности контроллера, причем данный функционал является уникальным среди российских решений:

1) Разрешить правило брандмауэра Удаленное управление журналом событий RPC (Панель управления Брандмауэр Дополнительные параметры Правила входящих подключений Удаленное управление журналом событий RPC ПКМ Включить)

2) Добавить сервер UTM в группу Читатели журнала событий (Диспетчер сервера Средства Пользователи и компьютеры AD Компьютеры idecoutm Член группы Добавить Читатели журнала событий)

3) Перезапустим службу авторизации по логам (IDECO UTM Сервисы Active Directory Авторизация по логам Убрать и поставить галочку: Разрешить)

4) Так как у меня раньше компьютеры выходили в интернет через контроллер домена, то нужно изменить шлюз в настройках сетевых подключений компьютеров, если у вас все раздается через DHCP, то изменим запись основного шлюза (Диспетчер серверов Средства DHCP server ipv4 Область Параметры области Маршрутизатор 192.168.0.22 Добавить Старый удалить Применить)

Тестирование работы межсетевого экрана

Запускаем рабочие станции, если они уже работали, то нужно перезагрузить, чтобы применились настройки DHCP сервера. Проверяем изменился ли адрес шлюза по умолчанию на адрес сервера UTM. Выполняем вход под разными учетными записями и попробуем выйти в интернет.

В разделе мониторинг, мы видим, какие пользователи у нас сейчас вышли в интернет, через отчеты можем посмотреть где пользователи «гуляли».

Допустим мы видим, что пользователь заходил на сайт одноклассники (m.ok.ru). Давайте заблокируем доступ к этому сайту

Блокировка доступа к ресурсам

Создадим правило контент фильтра (Правила доступа Контент фильтр Правила Черный список Редактировать Категории сайтов Социальные сети Сохранить) Пробуем зайти в одноклассники через компьютер пользователя и у нас выдается «Доступ к ресурсу заблокирован»

Если у вас есть какой-то сайт, на который вы не хотите, чтобы пользователи заходили, но его нет в запрещенных категориях, можно добавить его в черный список вручную (Пользователи и категории Черный список Редактировать URL *sys-team-admin.ru + Сохранить)

Другие функции программы IDECO UTM

Контроль приложений — можно запрещать доступ на уровне приложений TOR, TeamViewer

Ограничивать скорость интернета — чтобы пользователи не перетягивали на себя весь трафик

Анализ веб-трафика антивирусными решениями

Система предотвращения вторжений злоумышленниками

Ограничение квотами трафика и многое другое

Через сервис тотже сервис security.ideco.ru можете проверить, на сколько у вас изменилась ситуация по безопасности, после внедрения IDECO UTM

Благодаря IDECO UTM вы можете мониторить все, что у вас происходит при взаимодействии с внешним миром. Причем функционал позволяет создать уникальную конфигурацию, позволяющую удовлетворить ваши потребности.

Кроме того, сервисом предоставляются как текстовые, так и видео инструкции.

Источник

Знакомство с Ideco ICS

В нашей рубрике мы уже знакомились с практически готовыми решениями для поднятия небольшого сервера для SOHO-сегмента (см. трилогию о Zentyal). Ну а в этот раз мы представим вам отечественную разработку — интернет-шлюз Ideco Internet Control Server.

Напоминаем, что попытки повторить действия автора могут привести к потере гарантии на оборудование и даже к выходу его из строя. Материал приведен исключительно в ознакомительных целях. Если же вы собираетесь воспроизводить действия, описанные ниже, настоятельно советуем внимательно прочитать статью до конца хотя бы один раз. Редакция 3DNews не несет никакой ответственности за любые возможные последствия.

В отличие от того же Zentyal это сугубо коммерческий продукт, в котором в идеальном случае всё работает «из коробки», но нет практически никакой возможности лёгкого расширения функциональности. Например, поддержки DDNS как не было, так до сих пор и нет. К тому же есть ряд ограничений по поддерживаемому оборудованию. Впрочем, даже встроенных возможностей вполне хватит для организации небольшой сети, а простота установки и настройки с лихвой перекрывает почти все недостатки продукта. Мы рассмотрим установку и базовую настройку бесплатной версии Ideco ICS. Есть две разновидности «халявной» лицензии. Одна подходит для малого бизнеса и позволяет обслуживать до пяти пользователей. Вторая предназначена для домашнего использования не более чем десятью пользователями. Расчёт, в общем-то, прост — если продукт понравился, то за дополнительные лицензии и некоторые возможности (антивирусы и так далее) придётся доплачивать.

⇡#Установка

Нам понадобится компьютер с двумя сетевыми интерфейсами, минимум 256 Мбайт RAM, процессором с частотой от 800 МГц и жёстким диском хотя бы на 20 Гбайт, а также оптическим приводом. Список совместимого оборудования можно посмотреть здесь. Затем надо будет скачать ISO-образ дистрибутива и записать его на болванку. Осталось выставить в BIOS загрузку с CD-ROM и перезагрузиться. Процесс установки Ideco ICS предельно прост — в меню загрузчика набираем setup и жмём Enter. Если после загрузки ядра ПК завис или вывел какую-либо ошибку, то можно попробовать выбрать другое ядро (клавиша F1) либо ещё раз проверить, подходит ли ваше оборудование и настройки BIOS (в частности, для SATA-дисков надо выставить режим совместимости).

Дальнейшее участие пользователя в установке сведено к минимуму — надо будет лишь выбрать одну из сетевых карт в качестве интерфейса для локальной сети и её адресацию. Обратите внимание, что при установке жёсткий диск переразбивается, то есть все данные на нём будут потёрты. Процесс установки вряд ли займёт больше 15-20 минут. После этого свежесозданный сервер потребует перезагрузки, а перед этим покажет логин и пароль администратора для входа в систему. По умолчанию это Administrator и servicemode.

Затем к локальному сетевому интерфейсу надо подключить любой другой ПК, в настройках сети которого прописать вручную IP-адрес из выбранной на этапе установки подсети. В нашем примере это была подсеть 192.168.0.0 с маской 255.255.255.0 (24).

⇡#Первоначальная настройка

Открываем в браузере адрес https://IP-сервера/ (в нашем примере это будет https://192.168.0.1/) и попадаем в панель управления сервером. (Порядочный браузер, конечно же, ругнётся на неверный SSL-сертификат, но это не страшно.) Авторизуемся с дефолтными логином и паролем и попадаем в мастер базовой настройки Ideco ICS. Здесь нам надо указать имя сервера (любое), выбрать часовой пояс и при необходимости поменять настройки локального сетевого интерфейса. На следующем этапе предлагается настроить подключение к интернет-провайдеру. Ideco ICS поддерживает ручное указание всех параметров сети, получение оных по DHCP, а также подключение через PPTP или PPPoE. Затем надо указать параметры подключения администратора. E-Mail лучше указывать реальный — туда будут сыпаться уведомления и отчёты о работе сервера. Для простоты можно оставить авторизацию по IP. Если не указывать никакой IP-адрес, то подключение к веб-консоли будет возможно с любого локального ПК. Пароль же рекомендуется поменять на свой.

Следующий этап — настройка параметров безопасности. Здесь рекомендуется включить автоматическое обновление и отменить блокировку сканеров портов. Учтите, что антивирусное сканирование и спам-фильтр от Касперского будут бесплатно работать только в течение 30 дней. Да и вообще, первые 30 дней Ideco ICS работает в триальном режиме, а затем часть необязательных для домашних пользователей функций будет отключена. После выбора параметров безопасности нам предложат добавить пользователей. Указываем любое имя для пользовательской группы по умолчанию и выбираем тип авторизации. В нашей маленькой сети достаточно будет авторизации по IP-адресу или связке IP+MAC. Для упрощения настройки можно включить все локальные ПК, вручную прописать на них статические IP-адреса (для 5-10 машин это не так уж долго), а затем просто просканировать сеть — Ideco ICS автоматически найдёт их и сделает все настройки.

Если есть желание, то можно включить встроенный DHCP-сервер. Например, можно прописать вручную IP-адреса у пяти машин, а остальные пять раздавать по DHCP для гостевых устройств, смартфонов и так далее. Настройку почтового сервера мы оставим в стороне, так как для домашних пользователей это не очень актуально, а так называемый малый бизнес вполне может обойтись бесплатными почтовыми сервисами. Прокси-сервер желательно включить, а заодно сделать его прозрачным и скрывать его наличие.

Если вы включили прокси, то можно задать и антивирусное сканирование сетевого трафика на лету. Для нас подойдёт бесплатный антивирус ClamAV — стопроцентной защиты он не даёт (как и все подобные продукты), но от распространённой заразы защитит. Наконец, на последнем этапе ещё раз проверяем все введённые настройки, сохраняем их и ждём перезагрузки сервера.

После перезагрузки снова авторизуемся под аккаунтом администратора и попадаем в веб-интерфейс консоли управления. В разделе «О программе» можно сразу же зарегистрировать свою копию Ideco.

⇡#Базовая настройка

Ideco ICS вырос, по сути, из биллинговой системы, поэтому логика работы поначалу может быть не совсем привычна тем, кто знаком с домашними роутерами или различными дистрибутивами для подобных задач. Одни из основных элементов интернет-шлюза — это профили (в девичестве тарифы), пулы IP-адресов и сетей. Пулы адресов — это наборы подсетей, из которых будут выдаваться IP-адреса клиентам. Правила также включают в себя наборы подсетей, но служат для своего рода разделения типа трафика. Наконец, профили нужны для тарификации данных и ограничения скорости. В нашем примере помимо основного профиля мы добавили ещё один, с лимитом скорости. На основе этих же правил можно задать, например, и ограничения по объёму трафика.

В разделе «Пользователи» можно управлять группами и пользователями. Все пользователи, добавленные в ту или иную группу, по умолчанию наследуют все её параметры. Если вы решили добавить ещё одного клиента, то просто скопируйте все основные настройки из уже имеющихся. Естественно, надо поменять IP-адрес, MAC-адрес (если нужно) и задать прочие параметры. После добавления надо нажать на иконку со значком i, чтобы проверить правильность настроек. По клику на значок с ключами задаётся пользовательский пароль. Кстати, по умолчанию уже добавлено несколько групп пользователей — их лучше всего удалить, нажав на значок корзины в меню слева.

Чтобы трафик не «считался», укажите нулевую цену за мегабайт в профилях, а также отключите предупреждения об остатке и пороге отключения в свойствах группы пользователей.

В Ideco ICS есть довольно развесистая система фильтрации трафика. Настраивается она в разделе «Безопасность». Первым делом меняем параметры антивируса ClamAV — включаем автоматическое обновление баз, выбираем типы проверяемых объектов и их максимальный объём. Затем займёмся настройкой системного файрволла. Тут, в общем, всё не так уж сложно. Для начала создаём или редактируем группу правил для более удобного управления ими. Затем наполняем группу нужными правилами. Здесь довольно много опций — ограничение скорости, запрет/разрешение доступа, проброс портов и так далее. Статические маршруты прописываются в разделе «Сервер» → «Сетевые параметры» → «Маршруты».

Можно также отредактировать группы ключевых слов (в том числе и части URL или расширения файлов), по которым будет вестись фильтрация трафика. Отдельно выделены правила для пользовательского файрволла — от системных они отличаются тем, что их можно применить к группе пользователей или к какому-то конкретному клиенту. Добавляются эти правила как раз в настройках групп.

После настройки всех нужных сетевых правил переходим в раздел «Сервер» → «Дополнительно». Здесь можно отключить проверку дисков для ускорения загрузки сервера, задействовать синхронизацию времени с NTP-сервером, настроить автоматическую очистку старых файлов статистики для экономии места на диске, а также добавить в раздел «Полезные файлы» дистрибутивы каких-нибудь программ, документы, ссылки и так далее.

Эти самые полезные файлы будут показываться на заглавной странице веб-интерфейса Ideco ICS. Там же любой из обычных пользователей может авторизоваться и посмотреть, например, свою статистику потребления трафика.

Более подробную статистику, да и вообще информацию о том, что происходит с сервером и пользователями, можно в реальном времени посмотреть в разделе «Монитор».

Если вам не нужны некоторые сервисы, то их можно отключить на вкладке. Среди первых кандидатов на вылет PPTP/PPPoE-сервера, Jabber, SNMP/MRTG, неиспользуемые варианты авторизации, встроенные почта и веб-сервер, ну и так далее. Впрочем, часть из них может оказаться полезной. Например, FTP- или PPTP-сервер. Если провайдер предоставляет вам статический внешний IP-адрес (напоминаем, что DDNS нет), можно организовать удалённое подключение к локальной сети из Интернета. Для этого у нужных пользователей надо установить галочку «Разрешить VPN из Интернет», а на удалённой машине (ноутбуке чаще всего) создать новое PPTP-подключение. Мы уже рассматривали процесс его создания в данной статье. Конечно, в качестве адреса сервера надо указать наш внешний IP-адрес Ideco ICS и не забыть отключить в настройках соединения вход в домен, а также требование обязательного шифрования MPPE.

Дальнейшее «допиливание» интернет-шлюза под свои нужды можно сделать уже самостоятельно, внимательно изучив прилагаемую к дистрибутиву документацию. Благо большинство опций там расписано достаточно подробно. Обратите внимание также на то, что часть настроек доступна только из локальной консоли сервера. Оттуда, например, можно произвести ручное обновление компонентов Ideco ICS с перезагрузкой сервера. Пароль для входа тот же, что и для аккаунта администратора. На этом всё. Удачной вам настройки!

Напоследок — маленький тизер. В следующий раз мы познакомимся с ещё одним отечественным программным интернет-шлюзом с удивительно похожим на Ideco ICS названием, но построенным на базе FreeBSD, а не Linux.

Источник

При открытии сайтов в браузере иногда возникают ошибки – домен в адресной строке выделяется красным с зачеркиванием или ресурс вообще не открывается. Типовая причина скрывается в сбоях работы сертификата SSL. Исправить их может только администратор сайта, но перед обращением к нему стоит проверить собственный компьютер.

Текущие тенденции сайтостроения предполагают высокую безопасность соединения пользователя с веб-ресурсом. Это необходимо для защиты персональных данных, секретных номеров банковских карт и информации о проводимых сделках. Организуется безопасность подключением протокола шифрования Secure Sockets Layer (сокращенно SSL).

Особенности сертификата:

1. Сертификат выпускается доверенным центром Certification Authority (CA).
2. После выдачи он подключается к домену средствами провайдера хостинга.
3. Срок его действия ограничен 1 годом, после чего требуется продление.

Работа сайта возможна и без SSL, но поисковые системы «не доверяют» таким ресурсам и помечают их в браузере как неблагонадежные. Поэтому лучше разобраться, как решить проблему с защитой и полноценно пользоваться протоколом HTTPS. Сертификат актуален на сайтах, где присутствует регистрация, предлагается покупка товаров или онлайн-оплата различных сервисов.

При появлении любых сомнений в исправности защиты регистрироваться на сайте или вводить ранее выданные логин и пароль не рекомендуется. Тем более не стоит осуществлять онлайн-оплату с банковских карт или электронных кошельков, ведь не исключено, что проблема возникла из-за взлома ресурса злоумышленниками.

Причины появления ошибок SSL

Существует всего две причины, почему браузер отображает ошибку сертификата SSL со стороны сервера. Первая заключается в окончании срока активации, вторая – это покупка сертификата у поставщика без достаточных полномочий для выдачи «полноценной защиты». Например, виной может быть выбор самоподписанного сертификата, лишь эмулирующего работу реального протокола.

Остальные проблемы обычно скрываются на локальном компьютере:

1. Произошел сброс системного времени.
2. Неправильно настроена антивирусная программа.
3. Сбоит браузер или установленное расширение.
4. Срабатывает вредоносный скрипт.

Чтобы выяснить настоящую причину, пользователю браузера рекомендуется проверить все перечисленные факторы. При том же заражении компьютерными вирусами возможно проявление сразу нескольких симптомов – от изменения текущего времени и блокировки антивирусом до подключения перенаправления страниц в браузере и других неприятностей.

Изредка встречаются ситуации, когда проблема возникла со стороны администратора, если он ошибся при подключении нового сертификата или забыл продлить его действие. Обычно такие неполадки устраняются быстро, потому что после активации сайт проверяется и, в случае неработоспособности сертификата, проводится повторное подключение вплоть до получения положительного результата.

Время и дата

Сертификат SSL имеет четко обозначенный срок действия с датой активации и деактивации. Такой подход отчасти дает дополнительную защиту, потому что в случае технического сбоя в системных часах компьютера сайты перестают открываться. Сброс времени обычно происходит «назад», на дату изготовления материнской платы, на что и реагирует система.

Варианты исправления ситуации:

1. Вручную внести корректную дату и время, после чего обновить страницу в браузере.
2. Воспользоваться функцией синхронизации через интернет, встроенной в Windows.
3. Заменить батарейку на памяти BIOS. При первом запуске ПК нужно внести корректные данные.

Каждый раз после изменения времени рекомендуется ручное обновление страницы или перезапуск браузера. Такой шаг активирует повторное соединение с сервером и позволяет зайти на сайт «с нуля», но уже с правильным временем, соответствующим сроку действия сертификата SSL (после активации и до ее завершения).

Настройки антивируса и брандмауэра

Программы для защиты компьютера от вирусов и хакерских атак иногда блокируют и «полезные» соединения, например, определенные домены или сразу весь протокол HTTPS, используемый при подключении сертификата SSL. Большинство антивирусов и брандмауэров проверяют его работу, и это становится причиной блокировки сайта как «злоумышленника, пытающего украсть данные».

Варианты исправления ситуации:

1. Отключить режим «проверка протокола HTTPS». После этого зайти на сайт заново.
2. Полностью выключить антивирусную программу. Перезагрузить ПК, открыть страницу.
3. Сбросить настройки брандмауэра. Опять проводится перезапуск компьютера и веб-ресурса.

Функция временного отключения имеется в любой защитной программе, даже интегрированной в операционную систему Windows. Но это не гарантирует полную деактивацию приложения. В этом случае разобраться в ситуации поможет открытие сайта на другом компьютере или запуск безопасного режима (актуально для проводного подключения к интернету).

Браузер и операционная система

Наличие проблемы с браузером проще всего определить открытием сайта на другом устройстве или в другой программе. Иногда решение заключается в банальном обновлении версии приложения до актуальной. То же относится к операционной системе, если используется интегрированный браузер вроде Edge. Пакеты обновлений для того и выпускаются, чтобы устранять неполадки в ПО.

Варианты исправления ситуации:

1. Полностью очистить историю браузера вместе с кэшем и другими данными.
2. Временно отключить все ранее установленные и активные расширения.
3. Переустановить программу после ее полной деинсталляции.

Остается еще один вариант – сбросить настройки браузера до состояния «по умолчанию». Способ аналогичен переустановке, но экономит время. Правда, он неэффективен, если проблема возникла из-за сбоя в одном из служебных файлов программы. Отдельное внимание стоит уделить расширению, выполняющему функции антивирусной защиты, ведь оно часто блокирует даже безопасное соединение.

Заражение компьютерными вирусами

Выдачей ошибки SSL браузер, вероятно, предупреждает о попытке его подмены, переадресации на сайт-клон или иной угрозе. В это случае рекомендуется провести полную проверку компьютера на наличие вирусов. Если присутствуют другие признаки заражения, стоит скачать парочку программ со свежими антивирусными базами (например, CureIt).

Варианты исправления ситуации:

1. Временно отключить все программы из автозагрузки.
2. Провести очистку диска от временных файлов.
3. Перезагрузить компьютер после предыдущих шагов.

Выполняются перечисленные действия программами типа CCleaner. Они дают прямой доступ как к автозагрузке операционной системе, так и к списку расширений установленных браузеров. Также в таких программах обычно есть функция удаления ненужных системных файлов, в которых запросто может быть тело компьютерного вируса.

Если предложенные способы устранения ошибки SSL не помогли, остается ждать, пока проблему устранит администратор, или воспользоваться любым другим тематическим сайтом с аналогичным контентом.

by Loredana Harsana

Loredana is a passionate writer with a keen interest in PC software and technology. She started off writing about mobile phones back when Samsung Galaxy S II was… read more

Updated on February 14, 2023

VPN, an acronym for Virtual Privacy Networks has certificates by a public authority that manages them. They are essential electronic documents, as VPN devices use them to indicate if they are the ones you connect to. Thus, it is imperative to quickly fix any VPN certificate validation failure.

Digital certificates of VPN are also used for authentication, and this is more secure than preshared keys. VPN certificates expire due to security reasons and when there is a need to replace them.

It used to take a more extended period of time for a valid VPN certificate to last, however, in 2021, SSL certificate expiration was reduced and a valid certificate lasted for 12 months only.

Still, this may not be the sole reason you are getting a failure in certificate validation. There are many other reasons why this may be happening with Cisco or some other VPN service provider.

Virtual Privacy Networks improve your security and privacy as you browse the Internet, which is why people use them. Therefore if you cannot validate VPN security, the purpose of getting the VPN in the first place is defeated.

How do I get a VPN certificate?

1. Visit the Azure portal as an administrator.
2. Click on Azure Active Directory on the left menu.
3. Go to the Manage section in the Azure Active Directory menu and click on Security.
4. Click on the Protect section on the Security page and select Conditional Access.
5. Go to the Policies page on the Conditional access page and click on VPN Connectivity.
6. Click New Certificate and generate one for yourself.

To have access to generate a new VPN certificate, you need to create an Azure Microsoft account. Microsoft has a free trial that you can use to gain access before you need to pay.

When your VPN certificate expires, you need to update it. If you do not update your VPN certificate, you lose security and become exposed to threats that make your private and classified information vulnerable.

How do I update my VPN certificate?

In order to update your VPN certificate, you will have to enter the Certificates – Local Computer app from your system and tweak your current certificate.

For an in-depth, step-by-step guide on how to achieve this, follow the second solution from the list below in order to update your VPN certificate.

Do VPN certificates expire?

VPN certificates are issued with an expiration date for the sake of increased security. After that date has passed, the certificates must be updated with fresh ones.

There is a validity period of three years attached to the VPN certificates that were issued by both the Internal RSA CA for Gateways and the Internal ECDSA CA.

How do I fix VPN validation failure?

1. Check the validity of your VPN certificate

1. Press the Windows and R keys on your device to open the Run tab and type in mmc then press Enter.
2. Click on the File option in the top right corner and select Add/Remove Snap-in from the drop-down menu.
3. Choose Certificates from the Available snap-ins section then click on the Add button.
4. From the three options, click on My User Account.

These steps will enable you access to the current User certificates to see the certificate that you have in the system. When you double-click on the certificate, you can see the details, which include the validity and expiry date.

After you check, and find that your VPN certificate may have expired, proceed to renew it.

Read more about this topic

• Fix: WiFi certificate error on Windows 10 [Can’t Connect]
• Set up a Windows 11 Ikev2 VPN in record time and with ease
• FIX: Cannot connect to L2TP VPN on Windows 10/11

2. Update your VPN certificate

1. Click on the magnifying glass icon from your Taskbar then type in certlm.msc and select the topmost result.
2. Right-click on the open space and select All Tasks.
3. Click on Advanced Operations and select Create Custom Request.
4. Select Proceed without enrollment and continue with the onscreen steps.
5. Click on the arrow next to Details and select Properties from the drop-down menu.
6. Name the certificate a title that is easy to remember then click on Subject and select common name from the Full QDN drop-down menu.
7. Enter the Fully Qualified Domain Name and click Add followed by Next.
8. Go back to Properties and select the Extensions tab.
9. Select Extended Key Usage, and click on Server Authentication and Add.
10. Click on the Private Key tab then select Cryptographic service provider and check the Microsoft RSA or Microsoft DH option as you wish.
11. Save everything by clicking on Apply and OK then click on the magnifying glass icon on your Taskbar and type PowerShell. Finally, click on the topmost result in order to open it.
12. Type in the following command and press Enter: cd $homedesktop
13. On the next line, type in the following command and replace the FILE_NAME with your certificate’s name: certutil.exe FILE_NAME
14. Copy the content of the file and submit it to your public certification authority for signing.

To fix certificate validation failure VPN Cisco, and certificate validation failure VPN anyconnect, you have to first verify that the hostname and host address are still valid and then check if the certificate has expired before you proceed to install a new certificate or update the existing one.

3. Turn on OCSP Nonce on the Windows server

1. Press the Windows and R keys to open a command bar and type certlm.msc to open the Certificate Service Management Console.
2. Select Certificate template from the left menu and click on Manage then find OCSP Respond Signing from the drop-down menu and select it.
3. Right-click on it and select Properties.
4. Click on the Security tab and add the server that will be hosting the OCSP services.
5. Check Read and Enrol then go back to Certificate template. Click on New, select Certificate Template to issue, and choose OCSP signing.
6. Click on the certificate server and select Properties.
7. Select the Extension tab and choose Authority Information Access. Select the URL of the server and click on Add.
8. Go to the dashboard of the server manager of the OCSP service and click on Add roles and features.
9. Check Active directory services and select Role services. Uncheck Certification Authority and check Online Responder.
10. Launch the Online Responder management console.

OCSP is Online Certificate Status Protocol, and it is a method that browsers use to ensure that a security certificate is valid. Enabling OCSP service nonce protects secure network communication.

Microsoft Windows uses RFC 5019 while Cisco AnyConnect VPN ASA uses RFC 2560. This disparity causes VPN validation failure, and as such needs fixing.

When OpenVPN certificate verification failed and VPN certificate validation failure occurs, these are the steps that you can follow to rectify them.

Also, for IBM VPN certificate validation failure, there is a renew certificate application in the IBM store that can help you with renewing your certificate if it is outdated.

How do I add a VPN certificate to Windows 10/11?

1. Open Settings by holding Windows and I together then go to Network and Internet followed by VPN.
2. Click on Add VPN.
3. On the dropdown menu, select Windows built-in as the VPN provider.
4. Type in a name for the VPN connection in the Connection name field.
5. Get the server name and address from the provider and type it into the Server address field.
6. In the Type-of-sign-in info bar, type in the one your VPN provider uses and click on Save.
7. When the name of the VPN appears, connect to it.

Is there any good 3rd party VPN for business?

There is another security method to protect all your business data and avoid certificate validation failure for your VPN protection.

You can use the Perimeter 81 as a Zero Trust Application Access software and secure any sensitive data from public use. This way, you guarantee private communication with IPSec or WireGuard technology.

Plus, it provides safer digital support against data leaking or cyber threats with access by role, a cloud-based interface, or monitoring tools.

⇒ Get Perimeter 81

In conclusion, VPN is vital because of the protection and security that users get from it. These steps will fix the validation failure that pops up. However, if these do not work, you can disconnect completely and start a new connection.

Check out our post with the five best VPNs for Windows 11, after 3 months of usage and tests, to decide which one to get on your devices.

We hope our guide proved to be useful to you. Don’t hesitate to share your thoughts with us in the comments section below. Thanks for reading!

Настройка защиты межсетевым экраном IDECO UTM

Настройка защиты межсетевым экраном IDECO UTM

95% угроз к нам приходит из сети интернет и поэтому стоит внимательно относиться к тому, какими сайтами пользуются сотрудники компании, чтобы запрещать доступ к зловредным, да и вообще иметь возможность фильтровать трафик, который идет в вашу сеть.

И в данном видео мы рассмотрим работу межсетевого экрана нового поколения IDECO UTM, который обладает мощным модулем контентной фильтрации для защиты от веб-угроз и антивирусной проверкой трафика.

Хотите получать свежие новости через ВК? Не вопрос, жми по ссылке: IT-Skills | Запишись в ИТ качалку

Изначально хотелось бы сказать, что разработчики данного решения позаботились о тестировании безопасности и создали сервис http://security.ideco.ru благодаря которому вы можете проверить насколько эффективна используемая вами система защиты.

В конечном итоге мы реализуем следующую систему. Поднимем виртуальный сервер IDECO UTM и интегрируем его с Active Directory, в результате чего пользователи домена будут получать доступ в интернет через сетевой экран. А уже через веб-интерфейс мы сможем мониторить всю сетевую активность и настраивать различные правила фильтрации.

Скачать дистрибутив IDECO UTM

Для начала нам потребуется скачать дистрибутив программы на сайте разработчиков https://utm.ideco.ru Кстати, вот эта анимация предельно просто и понятно объясняет суть работы программы, защита сети от внешних угроз, и блокировка трафика от посещения не связанных с работой сайтов.

Выбираем ссылку «Скачать» Заполняем форму регистрации Получаем доступ к личному кабинету на сайте, а уже оттуда загружаем дистрибутив + там же мы получаем ключ активации на 30 дней или до 40 активных пользователей.

Системные требования

Стоит учесть определенные системные требования:

Операционная система у нас будет: Linux Centos 6, 64 bit, так что при создании виртуальной машины нужно будет указать данный тип ОС.

HDD: 64Гб и более

ОЗУ: 4 Гб минимум, но желательно 8 Гб, чтобы система работала наиболее эффективно

2 сетевые карты: локальная сеть и интернет

Установка межсетевого экрана IDECO UTM

Процесс установки довольно простой, поэтому я его покажу на скриншотах + на эту тему есть подробное руководство в справочном центре (ссылка в описании)

Монтируем образ Выбираем пункт Установка Указываем часовой пояс и текущее время, важно установить правильно, для корректной работы Выбираем интерфейс локальной сети Назначаем IP и маску Перезагружаем Задаем пароль для root пользователя Попадаем в основное меню сервера.

Но, работать мы с ним будем через веб-интерфейс, поэтому заходим на какую-нибудь рабочую станцию в локальной сети и в браузере вводим IP адрес сервера IDECO UTM. Стоит учесть, что браузеры internet Explorer и Microsoft Edge не поддерживаются

Вводим логин и пароль по умолчанию administrator servicemode и появляется окно с первоначальными настройками.

Смена пароля администратора

Сменим стандартный пароль администратора на свой (Правила доступа Администратры Администратор Управление Замок (сменить пароль) Новый пароль Сохранить)

Настройка внешнего интерфейса

Тут нам потребуется настроить интерфейс, через который будем выходить в интернет (Сервисы Интерфейсы Свободные интерфейсы Настроить Роль: Внешний, Основной Название: Интернет Автоматическая конфигурация через DHCP, так как в моем случае я получаю интернет через коммутатор, можете указать вручную, если он у вас статический Сохранить Применить конфигурацию Перезагрузка Сервисы, проверяем что настройки корректны)

Активация сервера

Теперь активируем наш сервер, ключом, который генерируется в личном кабинете, и тут есть 2 варианта: если вы тестируете в сети где более 40 компьютеров будут подключаться к серверу, то выбираем лицензию demo, если менее, то можно лицензию SMB, она уже не имеет ограничения по времени, лишь по количеству рабочих станций. Подробности так же в личном кабинете (Перейти на страницу лицензии Ввести токен сервера)

Если у вас возникают какие-то проблемы или вопросы, то здесь есть подробная инструкция по каждому разделу программы (Документация)

Настройка авторизации пользователей

IDECO UTM не выпустит ни одного пользователя в интернет, пока он не будет авторизован на UTM сервере. Так как в моей ситуации сервер находится в доменной сети, то я буду авторизовать пользователей через Active Directory, если у вас не доменная сеть, то можно создать пользователей вручную. Как это сделать есть текстовая и видео инструкции.

Ввод сервера в домен

Для интеграции с Active Directory необходимо ввести сервер IDECO UTM в домен, из которого мы будем импортировать пользователей (Сервисы Active Directory Добавить домен Имя домена: office.loc DNS сервер домена Имя сервера IDECO UTM логин и пароль учетки имеющей права на присоединение компьютеров к домену Присоединить к домену Авторизация по логам: Разрешить)

Импорт пользователей из Active Directory

Теперь мы импортируем пользователей из активного каталога (Пользователи Добавить группу: AD Active Directory office.loc Группа безопасности AD Пользователи домена Сохранить). Видим, что все пользователи домена были импортированы. Каждый 15 минут сервер будет автоматически синхронизировать пользователей, так что нет необходимости повторять данную процедуру в дальнейшем.

Авторизация пользователей

Для наиболее быстрой и прозрачной авторизации пользователей настроим авторизацию по логам безопасности контроллера, причем данный функционал является уникальным среди российских решений:

1) Разрешить правило брандмауэра Удаленное управление журналом событий RPC (Панель управления Брандмауэр Дополнительные параметры Правила входящих подключений Удаленное управление журналом событий RPC ПКМ Включить)

2) Добавить сервер UTM в группу Читатели журнала событий (Диспетчер сервера Средства Пользователи и компьютеры AD Компьютеры idecoutm Член группы Добавить Читатели журнала событий)

3) Перезапустим службу авторизации по логам (IDECO UTM Сервисы Active Directory Авторизация по логам Убрать и поставить галочку: Разрешить)

4) Так как у меня раньше компьютеры выходили в интернет через контроллер домена, то нужно изменить шлюз в настройках сетевых подключений компьютеров, если у вас все раздается через DHCP, то изменим запись основного шлюза (Диспетчер серверов Средства DHCP server ipv4 Область Параметры области Маршрутизатор 192.168.0.22 Добавить Старый удалить Применить)

Тестирование работы межсетевого экрана

Запускаем рабочие станции, если они уже работали, то нужно перезагрузить, чтобы применились настройки DHCP сервера. Проверяем изменился ли адрес шлюза по умолчанию на адрес сервера UTM. Выполняем вход под разными учетными записями и попробуем выйти в интернет.

В разделе мониторинг, мы видим, какие пользователи у нас сейчас вышли в интернет, через отчеты можем посмотреть где пользователи «гуляли».

Допустим мы видим, что пользователь заходил на сайт одноклассники (m.ok.ru). Давайте заблокируем доступ к этому сайту

Блокировка доступа к ресурсам

Создадим правило контент фильтра (Правила доступа Контент фильтр Правила Черный список Редактировать Категории сайтов Социальные сети Сохранить) Пробуем зайти в одноклассники через компьютер пользователя и у нас выдается «Доступ к ресурсу заблокирован»

Если у вас есть какой-то сайт, на который вы не хотите, чтобы пользователи заходили, но его нет в запрещенных категориях, можно добавить его в черный список вручную (Пользователи и категории Черный список Редактировать URL *sys-team-admin.ru + Сохранить)

Другие функции программы IDECO UTM

Контроль приложений — можно запрещать доступ на уровне приложений TOR, TeamViewer

Ограничивать скорость интернета — чтобы пользователи не перетягивали на себя весь трафик

Анализ веб-трафика антивирусными решениями

Система предотвращения вторжений злоумышленниками

Ограничение квотами трафика и многое другое

Через сервис тотже сервис security.ideco.ru можете проверить, на сколько у вас изменилась ситуация по безопасности, после внедрения IDECO UTM

Благодаря IDECO UTM вы можете мониторить все, что у вас происходит при взаимодействии с внешним миром. Причем функционал позволяет создать уникальную конфигурацию, позволяющую удовлетворить ваши потребности.

Кроме того, сервисом предоставляются как текстовые, так и видео инструкции.

Источник

Знакомство с Ideco ICS

В нашей рубрике мы уже знакомились с практически готовыми решениями для поднятия небольшого сервера для SOHO-сегмента (см. трилогию о Zentyal). Ну а в этот раз мы представим вам отечественную разработку — интернет-шлюз Ideco Internet Control Server.

Напоминаем, что попытки повторить действия автора могут привести к потере гарантии на оборудование и даже к выходу его из строя. Материал приведен исключительно в ознакомительных целях. Если же вы собираетесь воспроизводить действия, описанные ниже, настоятельно советуем внимательно прочитать статью до конца хотя бы один раз. Редакция 3DNews не несет никакой ответственности за любые возможные последствия.

В отличие от того же Zentyal это сугубо коммерческий продукт, в котором в идеальном случае всё работает «из коробки», но нет практически никакой возможности лёгкого расширения функциональности. Например, поддержки DDNS как не было, так до сих пор и нет. К тому же есть ряд ограничений по поддерживаемому оборудованию. Впрочем, даже встроенных возможностей вполне хватит для организации небольшой сети, а простота установки и настройки с лихвой перекрывает почти все недостатки продукта. Мы рассмотрим установку и базовую настройку бесплатной версии Ideco ICS. Есть две разновидности «халявной» лицензии. Одна подходит для малого бизнеса и позволяет обслуживать до пяти пользователей. Вторая предназначена для домашнего использования не более чем десятью пользователями. Расчёт, в общем-то, прост — если продукт понравился, то за дополнительные лицензии и некоторые возможности (антивирусы и так далее) придётся доплачивать.

⇡#Установка

Нам понадобится компьютер с двумя сетевыми интерфейсами, минимум 256 Мбайт RAM, процессором с частотой от 800 МГц и жёстким диском хотя бы на 20 Гбайт, а также оптическим приводом. Список совместимого оборудования можно посмотреть здесь. Затем надо будет скачать ISO-образ дистрибутива и записать его на болванку. Осталось выставить в BIOS загрузку с CD-ROM и перезагрузиться. Процесс установки Ideco ICS предельно прост — в меню загрузчика набираем setup и жмём Enter. Если после загрузки ядра ПК завис или вывел какую-либо ошибку, то можно попробовать выбрать другое ядро (клавиша F1) либо ещё раз проверить, подходит ли ваше оборудование и настройки BIOS (в частности, для SATA-дисков надо выставить режим совместимости).

Дальнейшее участие пользователя в установке сведено к минимуму — надо будет лишь выбрать одну из сетевых карт в качестве интерфейса для локальной сети и её адресацию. Обратите внимание, что при установке жёсткий диск переразбивается, то есть все данные на нём будут потёрты. Процесс установки вряд ли займёт больше 15-20 минут. После этого свежесозданный сервер потребует перезагрузки, а перед этим покажет логин и пароль администратора для входа в систему. По умолчанию это Administrator и servicemode.

Затем к локальному сетевому интерфейсу надо подключить любой другой ПК, в настройках сети которого прописать вручную IP-адрес из выбранной на этапе установки подсети. В нашем примере это была подсеть 192.168.0.0 с маской 255.255.255.0 (24).

⇡#Первоначальная настройка

Открываем в браузере адрес https://IP-сервера/ (в нашем примере это будет https://192.168.0.1/) и попадаем в панель управления сервером. (Порядочный браузер, конечно же, ругнётся на неверный SSL-сертификат, но это не страшно.) Авторизуемся с дефолтными логином и паролем и попадаем в мастер базовой настройки Ideco ICS. Здесь нам надо указать имя сервера (любое), выбрать часовой пояс и при необходимости поменять настройки локального сетевого интерфейса. На следующем этапе предлагается настроить подключение к интернет-провайдеру. Ideco ICS поддерживает ручное указание всех параметров сети, получение оных по DHCP, а также подключение через PPTP или PPPoE. Затем надо указать параметры подключения администратора. E-Mail лучше указывать реальный — туда будут сыпаться уведомления и отчёты о работе сервера. Для простоты можно оставить авторизацию по IP. Если не указывать никакой IP-адрес, то подключение к веб-консоли будет возможно с любого локального ПК. Пароль же рекомендуется поменять на свой.

Следующий этап — настройка параметров безопасности. Здесь рекомендуется включить автоматическое обновление и отменить блокировку сканеров портов. Учтите, что антивирусное сканирование и спам-фильтр от Касперского будут бесплатно работать только в течение 30 дней. Да и вообще, первые 30 дней Ideco ICS работает в триальном режиме, а затем часть необязательных для домашних пользователей функций будет отключена. После выбора параметров безопасности нам предложат добавить пользователей. Указываем любое имя для пользовательской группы по умолчанию и выбираем тип авторизации. В нашей маленькой сети достаточно будет авторизации по IP-адресу или связке IP+MAC. Для упрощения настройки можно включить все локальные ПК, вручную прописать на них статические IP-адреса (для 5-10 машин это не так уж долго), а затем просто просканировать сеть — Ideco ICS автоматически найдёт их и сделает все настройки.

Если есть желание, то можно включить встроенный DHCP-сервер. Например, можно прописать вручную IP-адреса у пяти машин, а остальные пять раздавать по DHCP для гостевых устройств, смартфонов и так далее. Настройку почтового сервера мы оставим в стороне, так как для домашних пользователей это не очень актуально, а так называемый малый бизнес вполне может обойтись бесплатными почтовыми сервисами. Прокси-сервер желательно включить, а заодно сделать его прозрачным и скрывать его наличие.

Если вы включили прокси, то можно задать и антивирусное сканирование сетевого трафика на лету. Для нас подойдёт бесплатный антивирус ClamAV — стопроцентной защиты он не даёт (как и все подобные продукты), но от распространённой заразы защитит. Наконец, на последнем этапе ещё раз проверяем все введённые настройки, сохраняем их и ждём перезагрузки сервера.

После перезагрузки снова авторизуемся под аккаунтом администратора и попадаем в веб-интерфейс консоли управления. В разделе «О программе» можно сразу же зарегистрировать свою копию Ideco.

⇡#Базовая настройка

Ideco ICS вырос, по сути, из биллинговой системы, поэтому логика работы поначалу может быть не совсем привычна тем, кто знаком с домашними роутерами или различными дистрибутивами для подобных задач. Одни из основных элементов интернет-шлюза — это профили (в девичестве тарифы), пулы IP-адресов и сетей. Пулы адресов — это наборы подсетей, из которых будут выдаваться IP-адреса клиентам. Правила также включают в себя наборы подсетей, но служат для своего рода разделения типа трафика. Наконец, профили нужны для тарификации данных и ограничения скорости. В нашем примере помимо основного профиля мы добавили ещё один, с лимитом скорости. На основе этих же правил можно задать, например, и ограничения по объёму трафика.

В разделе «Пользователи» можно управлять группами и пользователями. Все пользователи, добавленные в ту или иную группу, по умолчанию наследуют все её параметры. Если вы решили добавить ещё одного клиента, то просто скопируйте все основные настройки из уже имеющихся. Естественно, надо поменять IP-адрес, MAC-адрес (если нужно) и задать прочие параметры. После добавления надо нажать на иконку со значком i, чтобы проверить правильность настроек. По клику на значок с ключами задаётся пользовательский пароль. Кстати, по умолчанию уже добавлено несколько групп пользователей — их лучше всего удалить, нажав на значок корзины в меню слева.

Чтобы трафик не «считался», укажите нулевую цену за мегабайт в профилях, а также отключите предупреждения об остатке и пороге отключения в свойствах группы пользователей.

В Ideco ICS есть довольно развесистая система фильтрации трафика. Настраивается она в разделе «Безопасность». Первым делом меняем параметры антивируса ClamAV — включаем автоматическое обновление баз, выбираем типы проверяемых объектов и их максимальный объём. Затем займёмся настройкой системного файрволла. Тут, в общем, всё не так уж сложно. Для начала создаём или редактируем группу правил для более удобного управления ими. Затем наполняем группу нужными правилами. Здесь довольно много опций — ограничение скорости, запрет/разрешение доступа, проброс портов и так далее. Статические маршруты прописываются в разделе «Сервер» → «Сетевые параметры» → «Маршруты».

Можно также отредактировать группы ключевых слов (в том числе и части URL или расширения файлов), по которым будет вестись фильтрация трафика. Отдельно выделены правила для пользовательского файрволла — от системных они отличаются тем, что их можно применить к группе пользователей или к какому-то конкретному клиенту. Добавляются эти правила как раз в настройках групп.

После настройки всех нужных сетевых правил переходим в раздел «Сервер» → «Дополнительно». Здесь можно отключить проверку дисков для ускорения загрузки сервера, задействовать синхронизацию времени с NTP-сервером, настроить автоматическую очистку старых файлов статистики для экономии места на диске, а также добавить в раздел «Полезные файлы» дистрибутивы каких-нибудь программ, документы, ссылки и так далее.

Эти самые полезные файлы будут показываться на заглавной странице веб-интерфейса Ideco ICS. Там же любой из обычных пользователей может авторизоваться и посмотреть, например, свою статистику потребления трафика.

Более подробную статистику, да и вообще информацию о том, что происходит с сервером и пользователями, можно в реальном времени посмотреть в разделе «Монитор».

Если вам не нужны некоторые сервисы, то их можно отключить на вкладке. Среди первых кандидатов на вылет PPTP/PPPoE-сервера, Jabber, SNMP/MRTG, неиспользуемые варианты авторизации, встроенные почта и веб-сервер, ну и так далее. Впрочем, часть из них может оказаться полезной. Например, FTP- или PPTP-сервер. Если провайдер предоставляет вам статический внешний IP-адрес (напоминаем, что DDNS нет), можно организовать удалённое подключение к локальной сети из Интернета. Для этого у нужных пользователей надо установить галочку «Разрешить VPN из Интернет», а на удалённой машине (ноутбуке чаще всего) создать новое PPTP-подключение. Мы уже рассматривали процесс его создания в данной статье. Конечно, в качестве адреса сервера надо указать наш внешний IP-адрес Ideco ICS и не забыть отключить в настройках соединения вход в домен, а также требование обязательного шифрования MPPE.

Дальнейшее «допиливание» интернет-шлюза под свои нужды можно сделать уже самостоятельно, внимательно изучив прилагаемую к дистрибутиву документацию. Благо большинство опций там расписано достаточно подробно. Обратите внимание также на то, что часть настроек доступна только из локальной консоли сервера. Оттуда, например, можно произвести ручное обновление компонентов Ideco ICS с перезагрузкой сервера. Пароль для входа тот же, что и для аккаунта администратора. На этом всё. Удачной вам настройки!

Напоследок — маленький тизер. В следующий раз мы познакомимся с ещё одним отечественным программным интернет-шлюзом с удивительно похожим на Ideco ICS названием, но построенным на базе FreeBSD, а не Linux.

Источник