USG/ATP/VPN - VPN 2FA s SMS (eCall)

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte původní článek zde: Originální verze

Řada firewallů Zyxel nabízí možnost ověření 2FA prostřednictvím SMS pro přístup k VPN a správě. Lze použít místní uživatele firewallu i uživatele AD nebo Radius.

1. PORTÁL eCall

2. Oznamovací server

3. Dvoufaktorové ověřování

4. Bezpečnostní politika

5. Instalace HTTPS

6. Brána VPN

1. ECALL PORTAL

Účet eCall si můžete založit na adrese https://portal.ecall-messaging.com/ecall/. Založení účtu proběhne v krátkém čase.

Po otevření účtu lze v části Rozhraní > E-mailové rozhraní zadat adresu odesílatele firewallu pomocí tlačítka "Přidat adresu". Dále je třeba aktivovat možnost "Povolím zasílání zpráv e-mailem prostřednictvím mého účtu eCall.".

Jen pro informaci, žádná další nastavení nejsou nutná.
mceclip0.png

Server pro oznámení

Konfigurace > Systém > Oznámení

  • Poštovní server

mceclip1.png

Nejprve nastavte e-mailový server pro odesílání pošty. Obvykle se pro odesílání používá port 587 a v případě potřeby také zabezpečení TLS a STARTLS. Zda je poštovní server správně nastaven, lze zkontrolovat například odesláním denního hlášení.

  • SMS

Pro eCall lze použít následující nastavení:

Povolit SMS
aktivovat
Výchozí kód země pro telefonní číslo: 41 pro Švýcarsko
Doména poskytovatele: sms.ecall.ch
Automatické přidání do "mail to" aktivovat
Mail Subject: +$mobile_number$
Mail from: E-mailová adresa je zaznamenána na portálu eCall. V ideálním případě je totožná s e-mailovou adresou v nastavení poštovního serveru.
Mail To: Adresa: +$mobile_number$

Výchozí kód země pro telefonní číslo" může být také "0". Telefonní číslo uživatele však pak musí být definováno s předponou "+xx", např. +41761234567.

  • Nastavení uživatele

Konfigurace > Objekt > Uživatel/skupina > Uživatel.

K uživateli je přidáno mobilní číslo ve formátu 0761234567.

mceclip0.png

Kromě toho je aktivována funkce 2FA.

mceclip1.png

Dvoufaktorové ověřování

Konfigurace > Objekt > Auth. Method > Two-factor Authentication > VPN Access.

mceclip2.png

Funkce musí být zapnuta jako základní požadavek. Následně se určí, pro koho a pro jaké připojení má být 2FA aktivní. "URL autorizovaného odkazu" je adresa definovaná v SMS zprávě. Přístup zvenčí musí být možný přes zadaný port zvenčí. Pro eCall musí být použita volba "Použít vícejazyčný soubor".

Soubor se vzorem lze získat a upravit prostřednictvím odkazu ke stažení.
Soubor lze poté nahrát zpět do firewallu.

Soubor musí obsahovat zástupný symbol .

Lze použít následující zástupné symboly:

Adresa URL autorizačního odkazu

Uživatel, který se zaregistroval pro 2FA

název brány firewall (Konfigurace > Systém > Název hostitele).

Platný čas > Čas, ve kterém se klient může ověřit.

Zásady zabezpečení

Konfigurace > Zásady zabezpečení > Řízení zásad

Pro ověřování pomocí 2FA musí být vytvořena zásada zabezpečení.

mceclip3.png

Od: wan

Do: 2FA: 2FA: 2FA: 2FA: 2FA: 2FA: 1: ZyWALL

Zdroj: v případě potřeby lze omezit, např. na Švýcarsko.

Služba: Wiz_2FA (port se dynamicky přizpůsobuje při změně v nabídce 2FA))

Akce: povolit

HTTPS Einstellungen

Konfigurace > Systém > WWW > HTTPS > Řízení uživatelských služeb.

Pro "Řízení uživatelských služeb" musí být povolen přístup ze zóny "WAN" nebo "ALL".

mceclip4.png

Brána VPN

Konfigurace > VPN > IPSec VPN > Brána VPN.

Pro IPSec VPN (L2TP/IKEv1/IKEv2) musí být v bráně VPN aktivováno 2FA.
mceclip5.png

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 0 z 0
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.