VPN - Konfigurer brugergodkendelse via et eksternt VPN-websted

Oprettet - Opdateret
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig besked:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Ikke al tekst er muligvis oversat nøjagtigt. Hvis der er spørgsmål eller uoverensstemmelser om nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her: Originalversion

Denne artikel viser dig, hvordan du konfigurerer brugergodkendelse via IPSec site-to-site VPN ved hjælp af RADIUS (eller Active Directory [AD]). Dette får klienterne på Site A til at autentificere sig selv for netværksadgang ved hjælp af Site B's autentificeringsserver.

 

Indholdsfortegnelse

1) Konfigurer websted A - USG Firewall

1.1 Konfigurer internettet Portal

1.2 Konfigurer RADIUS-gruppen

1.3 Indstil RADIUS-serveren

1.4 Konfigurer en statisk rute, så klienterne kan nå RADIUS-serveren

2) Konfigurer websted B - USG Firewall

2.1 Konfigurer betroede klienter på fjernundernet

2.2 Konfigurer en statisk rute, så klienterne kan nå RADIUS-serveren

3) Test resultatet

 

 

Scenarie:

Vi har to USG'er forbundet via VPN-tunnel - vi ved, at klienter på websted A (USG60) skal godkendes på det eksterne websted B (USG40).
Topology.png

 

1) Konfigurer websted A - USG Firewall

1.1 Konfigurer internettet Portal

Indstil Web Portal, som LAN2-klienter skal godkende via Web Portal WEB_AUTH_USG60.JPG

1.2 Konfigurer RADIUS-gruppen

Indstil Konfiguration > Objekt > Godkendelse. Metode til at "gruppere RADIUS", fordi klientens webportaladgangsanmodning refererer internt til RADIUS-port 1812

AUTHMETH_USG60.JPG

1.3 Indstil RADIUS-serveren

Indstil under Konfiguration > Objekt > AAA-server > RADIUS Radius-serveren til den eksterne USGs lokale gateway, og indstil en hemmelighed (vigtigt for de næste trin på USG40).

RADIUS_USG60.JPG

1.4 Konfigurer en statisk rute, så klienterne kan nå RADIUS-serveren

Indstil en statisk rute under Konfiguration > Netværk > Routing > Statisk rute, som presser trafik til RADIUS Server IP (den eksterne USG lokale gateway IP) via din lokale gateway-grænseflade. Dette vil sikre, at anmodningen fra din klient, som af det tidligere indstillede AAA Server-objekt nu når ud til 192.168.1.1, vil blive videresendt korrekt.

STATIC_USG60.JPG

 

2) Konfigurer websted B - USG Firewall

2.1 Konfigurer betroede klienter på fjernundernet

Indstil under Konfiguration > System > Godkendelse. Server en betroet klient ved at bruge den nu eksterne (USG60 !) lokale gateway-grænseflade. Server-IP er den nu eksterne gateway-IP, i dette tilfælde 192.168.11.1, brug den hemmelighed, du tidligere har angivet i AAA-serverindstillingerne under trin 3.

AUTH_SERV_USG40.JPG

2.2 Konfigurer en statisk rute, så klienterne kan nå RADIUS-serveren

Tilføj under Konfiguration > Netværk > Routing > Statisk rute en statisk rute fra USG40, som skubber trafik til USG60 ekstern lokal gateway (192.168.11.1) gennem USG40 lokal gateway 192.168.1.1. På den måde sikrer du dig, at RADIUS Authentication Accept Message kommer tilbage til USG60, hvor USG60 forhindrer klienten i at få adgang til internettet, indtil USG40 accepterer anmodningen.

STATIC_USG40.JPG



 3) Test resultatet


USER_LOGIN.PNG

USER_SUCCESS.PNG



KB-00192

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
2 ud af 2 fandt dette nyttigt
Del