So konfigurieren Sie 2FA mit Google Authenticator für den Fernzugriff über IKEv2-VPN und SSL-VPN auf der Zyxel H-Serie

Dieser Artikel enthält eine klare, schrittweise Anleitung zur Konfiguration eines IKEv2-Fernzugriffs-VPN mit Zwei-Faktor-Authentifizierung auf Geräten der Zyxel H-Serie. Sie erfahren, wie Sie eine sichere Benutzerauthentifizierung einrichten, Google Authenticator für 2FA integrieren und die erforderlichen VPN-, IP- und Tunnel-Einstellungen konfigurieren, um einen zuverlässigen und geschützten Fernzugriff für Ihr Netzwerk zu gewährleisten.

🔹 Hinweis: Auf Geräten der Zyxel H-Serie mit uOS wird der 2FA-Autorisierungsprozess nach dem Aufbau des VPN-Tunnels durchgeführt. Der Zugriff auf die Authentifizierungsseite erfolgt über den VPN-Tunnel und nicht direkt über die WAN-Schnittstelle.

Google Authenticator gilt als eine der zuverlässigsten Methoden für 2FA, da es:

• alle 30 Sekunden einen eindeutigen Bestätigungscode generiert, wodurch das Risiko einer Wiederverwendung oder Kompromittierung minimiert wird.
• ohne Internetverbindung funktioniert und somit den Zugriff in Offline-Umgebungen gewährleistet.
• kostenlos, ressourcenschonend und einfach auf mehreren Plattformen zu implementieren ist.

Anhand dieser Anleitung lernen Administratoren, wie sie:

• 2FA auf Gateways der Zyxel H-Serie aktivieren und konfigurieren.
• VPN-Benutzerkonten mit Google Authenticator koppeln.
• Sichere Anmeldung für Remote Access VPN (IKEv2) und SSL VPN-Verbindungen implementieren.

Die Kombination aus VPN-Verschlüsselung und TOTP-basierter 2FA bietet eine verbesserte Sicherheitsebene und stellt sicher, dass nur authentifizierte Benutzer Fernverbindungen zum Unternehmensnetzwerk herstellen können.

Hinweis: Alle Netzwerk-IP-Adressen und Subnetzmasken werden in diesem Artikel als Beispiele verwendet. Bitte ersetzen Sie sie durch Ihre tatsächlichen Netzwerk-IP-Adressen und Ihr Subnetz. 

• SecuExtender VPN-Client: Version 7.7.50.008 oder höher.
• Lokales Benutzerkonto: 2FA wird derzeit nur für lokale Benutzer unterstützt.

Google Authenticator für einen Benutzer aktivieren

1. Gehen Sie zu „Benutzer & Authentifizierung“ > „Benutzer/Gruppe“.

2. Wählen Sie das gewünschte lokale Benutzerkonto aus.

3. Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) und wählen Sie Google Authenticator.

Google Authenticator einrichten

1. Laden Sie Google Authenticator herunter und installieren Sie es auf Ihrem Mobilgerät.

2. Öffnen Sie die Google Authenticator -App und scannen Sie den in der Web-GUI angezeigten QR-Code.

1. Geben Sie den von der App generierten Bestätigungscode in Schritt 3 der Web-GUI ein.

2. Klicken Sie auf „Code überprüfen“ und „Fertigstellen“.

Konfigurieren Sie die Gültigkeitsdauer und die VPN-Diensttypen

1. Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für den VPN-Zugriff.

2. Konfigurieren Sie die Gültigkeitsdauer, die das Zeitlimit für die Eingabe des 2FA-Codes definiert (Standard: 3 Minuten).

3. Wählen Sie die VPN-Diensttypen aus, für die 2FA erforderlich ist, z. B. Remote Access VPN oder SSL VPN.

4. Nachdem der VPN-Tunnel hergestellt wurde, müssen Benutzer den Token-Code über die Web-GUI eingeben, um die Authentifizierung abzuschließen.

Remote Access VPN (IKEv2)

1. Öffnen Sie den Remote Access VPN (IKEv2) -Tunnel mit dem SecuExtender VPN-Client.

2. Geben Sie bei Aufforderung den von Google Authenticator generierten Bestätigungscode ein oder verwenden Sie einen Backup-Code.

3. Melden Sie sich mit Ihrem Benutzernamen, Passwort und Token-Code an, um die Authentifizierung abzuschließen.

SSL-VPN

1. Öffnen Sie den SSL-VPN- Tunnel mit dem SecuExtender VPN-Client.

2. Geben Sie bei Aufforderung den von Google Authenticator generierten Bestätigungscode ein oder verwenden Sie einen Backup-Code.

3. Melden Sie sich mit Ihrem Benutzernamen, Passwort und Token-Code an, um die Authentifizierung abzuschließen.