Инструкция по настройке VPN

для подключения к информационным системам МГУ имени М.В.Ломоносова
Если у вас возникли трудности с подключением VPN, пожалуйста, обратитесь в поддержку по адресу 1c@srcc.msu.ru
Данная инструкция подразумевает, что у вас уже есть ключ и права для доступа к информационным системам. Для получения прав или ключа, необходимо воспользоваться системой подачи заявок на права.

Настройка Windows 10

  1. Скачайте и установите драйверы Рутокен
    Для этого воспользуйтесь ссылкой на сайт производителя https://www.rutoken.ru/support/download/windows/.
  2. Скачайте и установите корневой сертификат НИВЦ МГУ
    Для этого воспользуйтесь ссылкой на сертификат.
    После скачивания откройте папку загрузок, выберите файл сертификата, щелкните по нему правой кнопкой мыши и выберите Установить сертификат.

    В окне предупреждения нажмите кнопку Открыть

    Выберите хранилище Локальный компьютер, затем нажмите Далее.

    При запросе системой разрешния на внесение изменений нажмите Да

    Выберите Поместить все сертификаты в следующее хранилище, нажмите Обзор, выберите Доверенные корневые центры сертификации, далее нажмите ОК, затем Далее.

    Нажмите Готово и дождитесь сообщения об успешном импорте сертификата.

  3. Добавьте подключение к VPN
    Откройте программу Настройки, выберите Сеть и интернет и перейдите в раздел VPN

    Нажмите Добавить VPN подключение и введите следующие параметры:
    • Поставщик услуг VPN - Windows
    • Имя подключения - любое значение, например Сеть НИВЦ МГУ
    • Имя или адрес сервера - vpn-ike2.srcc.msu.ru
    • Тип VPN - IKEv2
    • Тип данных для входа - Смарт-карта
    Затем нажмите Сохранить.

    В блоке Сопутствующие параметры нажмите Настройка параметров адаптера

    Выберите адаптер с именем подключения, которое вы задали выше, щелкните по нему правой кнопкой и нажмите Свойства

    Перейдите на вкладку Сеть. Снимите флажок у компонента IP версии 6. Далее установите курсор на компонент IP версии 4 и нажмите Свойства

    Снимите флажок с пункта Использовать основной шлюз в удаленной сети, затем нажмите ОК и нажатием кнопок ОК закройте все окна.

  4. Подключение к VPN и проверка доступности ресурсов
    Вставьте смарт-карту, нажмите на значок сетевого подключения внизу справа, в открывшемся окне выберите добавленное на предыдущем шаге подключение и нажмите Подключиться.

    В появившемся окне введите пинкод смарт-карты и нажмите OK

    В случае появления сообщения о невозможности проверки сертификата, нажмите Подключиться

    После успешного подключения, запустите приложение Командная строка и выполните команду ping time.b.users.srcc.msu.ru. Если все настроено правильно, вы увидите успешное получение ответов от сервера.

  5. Запуск приложения
    Скачайте ярлык для используемого вами приложения: После скачивания дважды щелкните по скачанному ярлыку. В случае появления сообщения об ошибке проверки подлинности, поставьте флажок Больше не выводить запрос и нажмите Да.

    В появившемся окне нажмите Больше вариантов

    Нажмите на учетную запись вида [Шесть символов]@b.users.srcc.msu.ru, удостоверьтесь, что в верхней части окна установилось то же значение, введите пинкод и нажмите OK, после чего ожидайте запуска системы.

Настройка Windows 7

  1. Скачайте и установите драйверы Рутокен
    Для этого воспользуйтесь ссылкой на сайт производителя https://www.rutoken.ru/support/download/windows/.
  2. Скачайте и установите корневой сертификат НИВЦ МГУ
    Для этого воспользуйтесь ссылкой на сертификат.
    После скачивания откройте папку загрузок, выберите файл сертификата, щелкните по нему правой кнопкой мыши и выберите Установить сертификат.

    В окне предупреждения нажмите кнопку Открыть

    Выберите хранилище Локальный компьютер, затем нажмите Далее.


    Обратите внимание, что в некоторых версиях Windows 7 не предлагается выбор хранилища сертификатов.В этом случае, понадобится другая последовательность действий.


    При запросе системой разрешния на внесение изменений нажмите Да

    Выберите Поместить все сертификаты в следующее хранилище, нажмите Обзор, выберите Доверенные корневые центры сертификации, далее нажмите ОК, затем Далее.

    Нажмите Готово и дождитесь сообщения об успешном импорте сертификата.

  3. Добавьте подключение к VPN
    Откройте программу Панель управления, выберите Центр управления сетями и нажмите Настройка нового подключения к сети

    Выберите Подключение к рабочему месту

    Выберите Нет, создать новое подключение и нажмите Далее.

    Выберите Использовать мое подключение к Интернету

    Введите следующие параметры:
    • Интернет-адрес - vpn-ike2.srcc.msu.ru
    • Имя местоназначения - любое значение, например Сеть НИВЦ МГУ
    • Использовать смарт-карту - установите флажок
    • Не подключаться сейчас - установите флажок
    Затем нажмите Создать и далее Закрыть.

    В окне настроек нажмите Изменение параметров адаптера

    Выберите добавленное подключение, щелкните по нему правой кнопкой мыши и выберите Свойства

    Перейдите на вкладку Безопасность и установите в поле Тип VPN значение IKEv2

    Перейдите на вкладку Сеть. Снимите флажок у компонента IP версии 6. Далее установите курсор на компонент IP версии 4 и нажмите Свойства

    Снимите флажок с пункта Использовать основной шлюз в удаленной сети, затем нажмите ОК и нажатием кнопок ОК закройте все окна.

  4. Подключение к VPN и проверка доступности ресурсов
    Вставьте смарт-карту, нажмите на значок сетевого подключения внизу справа, в открывшемся окне выберите добавленное на предыдущем шаге подключение и нажмите Подключение.

    В появившемся окне введите пинкод смарт-карты и нажмите OK

    В случае появления сообщения о невозможности проверки сертификата, нажмите Подключиться

    После успешного подключения, запустите приложение Командная строка и выполните команду ping time.b.users.srcc.msu.ru. Если все настроено правильно, вы увидите успешное получение ответов от сервера.

  5. Запуск приложения
    Скачайте ярлык для используемого вами приложения: После скачивания дважды щелкните по скачанному ярлыку. В случае появления сообщения об ошибке проверки подлинности, поставьте флажок Больше не выводить запрос и нажмите Да.
    Нажмите на учетную запись вида [Шесть символов]@b.users.srcc.msu.ru, введите пинкод и нажмите OK, после чего ожидайте запуска системы.

Настройка Linux

Данная инструкция предназначена для настройки Linux-дистрибутивов основанных на Debian (в т.ч. Astra Linux) с использованием графической оболочки и Network Manager для управления подключением.
  1. Установка дополнительных пакетов для использования VPN
    Выполните следующую команду:
    user@astra:~$ sudo apt-get install opensc strongswan libstrongswan-extra-plugins libcharon-extra-plugins libengine-pkcs11-openssl strongswan-nm
  2. Установка пакетов для доступа к удаленному рабочему столу
    Выполните следующую команду:
    user@astra:~$ sudo apt-get install remmina
  3. Скачайте и установите плагин Рутокен для Linux
    Для этого воспользуйтесь ссылкой на сайт производителя https://www.rutoken.ru/support/download/pkcs/. Будьте внимательны при выборе версии плагина для вашего дистрибутива Linux.
  4. Скачайте и установите корневой сертификат НИВЦ МГУ
    Для этого воспользуйтесь ссылкой на сертификат.
    Далее скопируйте скачанный сертификат в директорию /usr/local/share/ca-certificates/, после чего запустите скрипт обновления корневых сертификатов. 
    user@astra:~$ sudo cp ./rootca.crt /usr/local/share/ca-certificates/
user@astra:~$ sudo update-ca-certificates
Updating certificates in /etc/ssl/certs...
1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
done.
  5. Настройте charon для использования Рутокен
    Для этого отредактируйте файл /etc/strongswan.d/charon/pkcs11.conf 
    pkcs11 {
    load = yes
    modules {
        rutoken {
            load_certs = yes
            path = /usr/lib/librtpkcs11ecp.so
        }
    }
}
  6. Настройте параметры плагина charon network manager для использования Рутокен
    Для этого отредактируйте файл /etc/strongswan.d/charon-nm.conf 
    charon-nm {
    load-modular = yes
    plugins {
	    include "/etc/strongswan.d/charon/pkcs11.conf"
    }
    tls {
	    key_exchange = ecdhe-ecdsa, ecdhe-rsa, dhe-rsa, rsa
	    cipher = aes256gcm, aes128gcm, chacha20poly1305, aes256, aes128, camellia256, camellia128, null
	    mac = sha1
    	version_min=1.0
	    version_max=1.0
    }
}
  7. Подключите смарт-карту
    Дополнительно необходимо проверить, что смарт-карта определилась в системе. Для этого выполните команду lsusb и проверьте, что устройство Activ Rutoken ECP присутствует в системе. 
    user@astra:/home/# sudo lsusb
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 001 Device 003: ID 0a89:0030 Aktiv Rutoken ECP
Bus 001 Device 002: ID 80ee:0021 VirtualBox USB Tablet
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
  8. Добавьте новое сетевое подключение
    В данном пункте указан пример настроек для Astra Linux. В других дистрибутивах настройка осуществляется похожим образом.
    Запустите Панель управления, перейдите в раздел Сеть и выберите Сетевые соединения.

    Нажмите на кнопку +, выберите тип соединения IPsec/IKEv2 и нажмите Создать.

    Введите следующие параметры:
    • Имя соединения - любое значение, например Сеть НИВЦ МГУ
    • Address - vpn-ike2.srcc.msu.ru
    • Authentification - EAP-TLS
    • Certificate - Smartcard
    • Identity - ваш идентификатор, [Шесть символов]@b.users.srcc.msu.ru
    • Request an inner IP address - поставьте галочку.
    После этого нажмите кнопку Сохранить.

  9. Подключитесь к VPN и проверьте доступность сети
    Щелкните на значке сети внизу справа, выберите Соединения VPN и далее добавленную на прошлом шаге сеть.

    Введите пин-код от смарт-карты и нажмите ОК.

    Если все настройки были проведены верно, вы увидите сообщение об успешном подключении.
    Для проверки доступности сети, запустите Терминал и выполните в нем команду ping time.b.users.srcc.msu.ru. При правильной настройке, удаленный сервер должен отвечать на ваши запросы. 
    user@astra:/home/# ping time.b.users.srcc.msu.ru
PING gate-dmz.b.users.srcc.msu.ru (10.89.0.1) 56(84) bytes of data.
64 bytes from gate-dmz.b.users.srcc.msu.ru (10.89.0.1): icmp_seq=1 ttl=63 time=1.74 ms
64 bytes from gate-dmz.b.users.srcc.msu.ru (10.89.0.1): icmp_seq=2 ttl=63 time=1.91 ms
64 bytes from gate-dmz.b.users.srcc.msu.ru (10.89.0.1): icmp_seq=3 ttl=63 time=2.30 ms
64 bytes from gate-dmz.b.users.srcc.msu.ru (10.89.0.1): icmp_seq=4 ttl=63 time=2.30 ms
  10. Запуск приложения
    Скачайте ярлык для используемого вами приложения: Запустите Remmina, щелкните на кнопку меню, выберите Импортировать и выберите скачанный файл.

    Щелкните правой кнопкой мыши по импортированному файлу и выберите пункт меню Редактировать.

    При желании, поменяйте название подключения и перейдите на вкладку Дополнительные.

    Установите галочку Сделать смарт-карту общедоступной, после чего нажмите Сохранить и подключить.

    Выберите пункт Вход со смарт-картой, введите пинкод, после чего запустится информационная система.

  11. Добавление сервера RDP вручную
    Данный пункт актуален только в случаях, когда вы добавляете вручную сервер RDP по адресу или доменному имени.
    После добавления сервера в Remmina необходимо отметить галочкой пункт Сделать смарт-карту общедоступной. Дальнейшие действия идентичны предыдущему пункту.

Настройка MacOS

Данная инструкция предназначена для настройки MacOS версии Sonoma. Возможна настройка более ранних версий MacOS аналогичным образом, но их работа не гарантируется.
В ряде случаев наблюдаются сбои подключений после обновления MacOS. В этих случаях, рекомендуется произвести настройку заново.
  1. Установка драйверов Рутокен
    Скачайте с сайта производителя приложение Рутокен для MacOS по ссылке https://www.rutoken.ru/support/download/mac/. После установки запустите приложение.
  2. Установка плагина Рутокен для PKCS11
    Скачайте с сайта производителя установщик библиотеки rtPKCS11ecp для macOS по ссылке https://www.rutoken.ru/support/download/pkcs/, установите его и перезапустите компьютер.
  3. Установка клиента Microsoft RDP
    Скачайте из Appstore клиент Microsoft Remote Desktop. Вы можете найти его при помощи поиска или воспользоваться ссылкой https://apps.apple.com/us/app/microsoft-remote-desktop/id1295203466?mt=12. Обязательно запустите его один раз после установки!
  4. Скачайте и установите корневой сертификат НИВЦ МГУ
    Для этого воспользуйтесь ссылкой на сертификат.
    После скачивания откройте приложение Связка ключей и добавьте скачанный сертификат в связку ключей Вход на вкладку Сертификаты.

    Дважды щелкните на добавленном сертификате (он имеет имя SRCC VPN CA), разверните блок Доверие и выберите Всегда доверять, после чего закройте окна Связки ключей.
  5. Настройка VPN подключения
    Подключите ваш ключ к компьютеру.
    Откройте приложение Системные настройки, выберите VPN, нажмите кнопку Добавить конфигурацию VPN и выберите IKEv2.

    Введите следующие параметры:
    • Отображаемое имя - любое значение, например Сеть НИВЦ МГУ
    • Адрес сервера - vpn-ike2.srcc.msu.ru
    • Удаленный ID - vpn-ike2.srcc.msu.ru
    • Аутентификация - Сертификат
    После этого нажмите кнопку Выбрать.

    В появившемся окне выберите свой сертификат, имеющий вид [Шесть символов]@b.users.srcc.msu.ru, нажмите Выбрать, затем Создать в окне настроек.
    Обратите внимание, что при после каждого ежегодного обновления сертификата, необходимо заново выбирать новый сертификат в этом окне настроек.
  6. Активация VPN подключения
    Переведите ползунок настроенного подключения к VPN, введите пин-код карты.

    Если все настройки были выполнены корректно, подключение перейдет в статус Подключено.
  7. Проверка функционирования DNS
    В текущей версии MacOS возможна ошибка, при которой системой не используется DNS-сервер из VPN сети.
    Для проверки, запустите программу Терминал и введите команду ping time.b.users.srcc.msu.ru. В приведенном примере, DNS сервер не используется и не может разрешить адрес time.b.users.srcc.msu.ru. 
    iMac:~ $ ping time.b.users.srcc.msu.ru
ping: cannot resolve time.b.users.srcc.msu.ru: Unknown host
    Для исправления указанной ошибки, необходимо создать папку /etc/resolver, поместить в нее файл с именем b.users.srcc.msu.ru с содержимым 
    domain b.users.srcc.msu.ru
search b.users.srcc.msu.ru
nameserver 10.89.0.1
    после чего перезапустить DNS командой sudo killall -HUP mDNSResponder. Затем необходимо повторить ping time.b.users.srcc.msu.ru. 
    iMac:~ $ sudo mkdir /etc/resolver
iMac:~ $ echo -e "domain b.users.srcc.msu.ru\nsearch b.users.srcc.msu.ru\nnameserver 10.89.0.1\n" | sudo tee /etc/resolver/b.users.srcc.msu.ru
iMac:~ $ sudo killall -HUP mDNSResponder
iMac:~ snussi$ ping time.b.users.srcc.msu.ru
PING gate-dmz.b.users.srcc.msu.ru (10.89.0.1): 56 data bytes
64 bytes from 10.89.0.1: icmp_seq=0 ttl=63 time=1.367 ms
64 bytes from 10.89.0.1: icmp_seq=1 ttl=63 time=1.571 ms
  8. Запуск приложения
    Скачайте ярлык для используемого вами приложения:
    В текущей версии Microsoft Remote Desktop не поддерживается вход по смарт-картам. Для подключения с использованием смарт-карты, необходимо внимательно следовать дальнейшим пунктам инструкции!
    Откройте ярлык при помощи двойного клика по нему. Оставьте логин и пароль без изменений! и нажмите Continue. В случае появления сообщений о проблемах с проверкой подключения, нажмите Connect. Дополнительно, можно установить флажок Don't ask again.



    На удаленном рабочем столе отобразится сообщение Неверное имя пользователя или пароль. Нажмите ОК.

    Нажмите на кнопку Сменить пользователя.

    В появившемся списке пользователей необходимо выбрать свою учетную запись вида [Шесть символов]@b.users.srcc.msu.ru.

    Введите пин-код от вашей смарт-карты.

    Если система опять выдаст сообщение о неправильности пароля, второй раз проделайте вышеуказанные процедуры.
  9. Добавление сервера RDP вручную
    Данный пункт актуален только в случаях, когда вы добавляете вручную сервер RDP по адресу или доменному имени.
    После добавления сервера в приложение Microsoft Remote Desktop, необходимо убедиться, что включено перенаправление смарт-карт.
    Для этого необходимо перейти в настройки сервера, отрыть вкладку Devices & Audio и проверить, что установлена галочка Smart cards.

    Дальнейшие действия идентичны предыдущему пункту.