VPN - Конфигуриране на потребителско удостоверяване чрез отдалечен VPN сайт

Създаден - Обновено
Serhii Boiarynov
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно съобщение:
Уважаеми клиенти, имайте предвид, че ние използваме машинен превод , за да предоставяме статии на вашия местен език. Не всеки текст може да бъде преведен точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

Тази статия ще ви покаже как да конфигурирате удостоверяване на потребителя чрез IPSec VPN сайт към сайт, използвайки RADIUS (или Active Directory [AD]). Това кара клиентите на Сайт А да се удостоверяват за достъп до мрежата, като използват сървъра за удостоверяване на Сайт Б.

 

Съдържание

1) Конфигуриране на сайт A - USG Firewall

1.1 Настройте уеб Portal

1.2 Конфигуриране на групата RADIUS

1.3 Настройте RADIUS сървъра

1.4 Конфигурирайте статичен маршрут за клиентите, за да достигнат до RADIUS сървъра

2) Конфигуриране на сайт B - USG Firewall

2.1 Конфигуриране на доверени клиенти в отдалечена подмрежа

2.2 Конфигурирайте статичен маршрут за клиентите, за да достигнат до RADIUS сървъра

3) Тествайте резултата

 

 

Сценарий:

Имаме две USG, свързани чрез VPN тунел - знаем, че искаме клиентите на Сайт A (USG60) да се удостоверяват на отдалечения Сайт B (USG40).
Topology.png

 

1) Конфигуриране на сайт A - USG Firewall

1.1 Настройте уеб Portal

Задайте Web Portal, който LAN2 клиентите трябва да удостоверяват чрез Web Portal WEB_AUTH_USG60.JPG

1.2 Конфигуриране на групата RADIUS

Задайте Конфигурация > Обект > Удостоверяване. Метод за „групиране на RADIUS“, тъй като заявката за достъп до уеб портала на клиента се отнася вътрешно към RADIUS порт 1812

AUTHMETH_USG60.JPG

1.3 Настройте RADIUS сървъра

Задайте под Конфигурация > Обект > AAA сървър > RADIUS Радиус сървъра към отдалечения локален шлюз на USG и задайте Secret (важно за следващите стъпки на USG40).

RADIUS_USG60.JPG

1.4 Конфигурирайте статичен маршрут за клиентите, за да достигнат до RADIUS сървъра

Под Конфигурация > Мрежа > Маршрутизиране > Статичен маршрут задайте статичен маршрут, който насочва трафика към IP адреса на RADIUS сървъра (IP на отдалечения локален шлюз на USG) през вашия локален интерфейс на шлюза. Това ще гарантира, че заявката на вашия клиент, която от предишния обект AAA Server сега достига до 192.168.1.1, ще бъде правилно препратена.

STATIC_USG60.JPG

 

2) Конфигуриране на сайт B - USG Firewall

2.1 Конфигуриране на доверени клиенти в отдалечена подмрежа

Задайте под Configuration > System > Auth. Сървър на доверен клиент чрез използване на вече отдалечения (USG60!) локален интерфейс на шлюза. IP на сървъра вече е IP адресът на отдалечения шлюз, в този случай 192.168.11.1, използвайте тайната, която преди сте задали в настройките на AAA сървъра в стъпка 3.

AUTH_SERV_USG40.JPG

2.2 Конфигурирайте статичен маршрут за клиентите, за да достигнат до RADIUS сървъра

Добавете под Конфигурация > Мрежа > Маршрутизиране > Статичен маршрут статичен маршрут от USG40, който насочва трафика към USG60 отдалечен локален шлюз (192.168.11.1) през USG40 локален шлюз 192.168.1.1. По този начин се уверявате, че съобщението за приемане на удостоверяване на RADIUS се връща обратно към USG60, където USG60 предпазва клиента от достъп до интернет, докато USG40 приеме заявката.

STATIC_USG40.JPG



 3) Тествайте резултата


USER_LOGIN.PNG

USER_SUCCESS.PNG



KB-00192

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
2 от 2 считат материала за полезен
Споделяне