VPN – Konfigurieren Sie die Benutzerauthentifizierung über eine Remote-VPN-Site

Erstellt - Aktualisiert
Serhii Boiarynov
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzungen verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten zur Genauigkeit der Informationen in der übersetzten Version lesen Sie bitte den Originalartikel hier: Originalversion

Dieser Artikel zeigt Ihnen, wie Sie die Benutzerauthentifizierung über IPSec-Site-to-Site-VPN mit RADIUS (oder Active Directory [AD]) konfigurieren. Dadurch authentifizieren sich die Clients an Standort A für den Netzwerkzugriff über den Authentifizierungsserver von Standort B.

 

Inhaltsverzeichnis

1) Standort A konfigurieren – USG Firewall

1.1 Richten Sie das Web Portal ein

1.2 Konfigurieren Sie die RADIUS-Gruppe

1.3 Stellen Sie den RADIUS-Server ein

1.4 Konfigurieren Sie eine statische Route für die Clients, um den RADIUS-Server zu erreichen

2) Standort B konfigurieren – USG Firewall

2.1 Vertrauenswürdige Clients im Remote-Subnetz konfigurieren

2.2 Konfigurieren Sie eine statische Route für die Clients, um den RADIUS-Server zu erreichen

3) Testen Sie das Ergebnis

 

 

Szenario:

Wir haben zwei USGs, die über einen VPN-Tunnel verbunden sind – wir wissen, dass sich Clients auf Standort A (USG60) auf dem Remote-Standort B (USG40) authentifizieren sollen.
Topologie.png

 

1) Standort A konfigurieren – USG Firewall

1.1 Richten Sie das Web Portal ein

Legen Sie die Web-Portal fest, die LAN2-Clients über die Web-Portal authentifizieren müssen WEB_AUTH_USG60.JPG

1.2 Konfigurieren Sie die RADIUS-Gruppe

Stellen Sie Konfiguration > Objekt > Auth. Methode zum "Gruppen-RADIUS", da sich die Zugriffsanfrage des Clients auf das Webportal intern auf den RADIUS-Port 1812 bezieht

AUTHMETH_USG60.JPG

1.3 Stellen Sie den RADIUS-Server ein

Stellen Sie unter Konfiguration > Objekt > AAA-Server > RADIUS den Radius-Server auf das lokale Gateway der Remote-USG ein und legen Sie ein Geheimnis fest (wichtig für die nächsten Schritte auf USG40).

RADIUS_USG60.JPG

1.4 Konfigurieren Sie eine statische Route für die Clients, um den RADIUS-Server zu erreichen

Legen Sie unter Konfiguration > Netzwerk > Routing > Statische Route eine statische Route fest, die den Datenverkehr über Ihre lokale Gateway-Schnittstelle an die RADIUS-Server-IP (die entfernte lokale Gateway-IP von USG) weiterleitet. Dadurch wird sichergestellt, dass die Anfrage Ihres Clients, die durch das früher eingestellte AAA-Serverobjekt jetzt an 192.168.1.1 reicht, ordnungsgemäß weitergeleitet wird.

STATIC_USG60.JPG

 

2) Standort B konfigurieren – USG Firewall

2.1 Vertrauenswürdige Clients im Remote-Subnetz konfigurieren

Stellen Sie unter Konfiguration > System > Auth. Servern Sie einen vertrauenswürdigen Client, indem Sie die jetzt entfernte (USG60 !) lokale Gateway-Schnittstelle verwenden. Die Server-IP ist jetzt die Remote-Gateway-IP, in diesem Fall 192.168.11.1 , verwenden Sie das Geheimnis, das Sie zuvor in den AAA-Servereinstellungen unter Schritt 3 festgelegt haben.

AUTH_SERV_USG40.JPG

2.2 Konfigurieren Sie eine statische Route für die Clients, um den RADIUS-Server zu erreichen

Fügen Sie unter Konfiguration > Netzwerk > Routing > Statische Route eine statische Route von USG40 hinzu, die den Datenverkehr über das lokale USG40-Gateway 192.168.1.1 an das lokale USG60-Remote-Gateway (192.168.11.1) weiterleitet. Auf diese Weise stellen Sie sicher, dass die RADIUS Authentication Accept Message an das USG60 zurückkehrt, wo das USG60 den Client daran hindert, auf das Internet zuzugreifen, bis USG40 die Anfrage akzeptiert.

STATIC_USG40.JPG



 3) Testen Sie das Ergebnis


USER_LOGIN.PNG

USER_SUCCESS.PNG



KB-00192

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
2 von 2 fanden dies hilfreich
Teilen