Как да конфигурирате 2FA с помощта на Google Authenticator за отдалечен достъп IKEv2 VPN и SSL VPN на Zyxel H-Series

Тази статия предоставя ясно, стъпка по стъпка ръководство за конфигуриране на IKEv2 Remote Access VPN с двуфакторна автентификация на устройства от серията Zyxel H. Ще научите как да настроите сигурна автентификация на потребителя, да интегрирате Google Authenticator за 2FA и да конфигурирате необходимите VPN, IP и тунелни настройки, за да осигурите надежден и защитен отдалечен достъп до вашата мрежа.

🔹 Забележка: На устройствата от серията Zyxel H, работещи с uOS, процесът на 2FA удостоверяване се извършва след установяване на VPN тунела. Достъпът до страницата за удостоверяване се осъществява през VPN тунела, а не директно от WAN интерфейса.

Google Authenticator се счита за един от най-надеждните методи за 2FA, защото:

• Генерира уникален код за проверка на всеки 30 секунди, което минимизира риска от повторна употреба или компрометиране.
• Работи без интернет връзка, като осигурява достъп в офлайн среда.
• Е безплатен, лек и лесен за внедряване на различни платформи.

Следвайки това ръководство, администраторите ще научат как да:

• Активират и конфигурират 2FA на шлюзовете от серията Zyxel H.
• Свързват VPN потребителски акаунти с Google Authenticator.
• Да внедрят сигурно влизане за VPN за отдалечен достъп (IKEv2) и SSL VPN връзки.

Комбинацията от VPN криптиране и 2FA на базата на TOTP осигурява подобрено ниво на сигурност, гарантирайки, че само автентифицирани потребители могат да установят отдалечени връзки към корпоративната мрежа.

Забележка: Всички IP адреси на мрежата и маски на подмрежата са използвани като примери в тази статия. Моля, заместете ги с действителните IP адреси на вашата мрежа и подмрежа. 

• SecuExtender VPN клиент: версия 7.7.50.008 или по-нова.
• Локален потребителски акаунт: 2FA понастоящем се поддържа само за локални потребители.

Активиране на Google Authenticator за потребител

1. Отидете в „Потребител и удостоверяване“ > „Потребител/група“.

2. Изберете необходимия локален потребителски акаунт.

3. Активирайте двуфакторна автентификация (2FA) и изберете Google Authenticator.

Настройка на Google Authenticator

1. Изтеглете и инсталирайте Google Authenticator на мобилното си устройство.

2. Отворете приложението Google Authenticator и сканирайте QR кода, показан в уеб GUI.

1. Въведете кода за потвърждение, генериран от приложението, в стъпка 3 на уеб GUI.

2. Кликнете върху „Провери код“ и „Завърши“.

Конфигуриране на валидното време и типовете VPN услуги

1. Активирайте двуфакторна автентификация (2FA) за VPN достъп.

2. Конфигурирайте валидното време, което определя времевото ограничение за въвеждане на кода за 2FA (по подразбиране: 3 минути).

3. Изберете типовете VPN услуги, които изискват 2FA, като VPN за отдалечен достъп или SSL VPN.

4. След като VPN тунелът бъде установен, потребителите трябва да въведат кода на токена чрез уеб GUI, за да завършат удостоверяването.

VPN за отдалечен достъп (IKEv2)

1. Отворете тунела за отдалечен достъп VPN (IKEv2) с помощта на SecuExtender VPN Client.

2. Когато бъдете подканени, въведете кода за проверка, генериран от Google Authenticator, или използвайте резервен код.

3. Влезте с вашето потребителско име, парола и токен код, за да завършите удостоверяването.

SSL VPN

1. Отворете SSL VPN тунела, използвайки SecuExtender VPN клиент.

2. Когато ви бъде поискано, въведете кода за потвърждение, генериран от Google Authenticator, или използвайте резервен код.

3. Влезте с вашето потребителско име, парола и токен код, за да завършите удостоверяването.