VPN - Konfigurieren Sie einen Active Directory [AD]-Server über einen VPN-Tunnel

Erstellt - Aktualisiert
Serhii Boiarynov
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

In diesem Artikel sehen wir uns an, wie man einen Active Directory (AD)-Server über einen L2TP-VPN-Tunnel mit der USG FLEX/ATP/VPN-Authentifizierungsmethode konfiguriert. Dieser Artikel sollte jedoch auch für IPsec IKEv2 / IKEv1 VPN anwendbar sein.

Inhaltsübersicht

Einführung

1) Konfigurieren Sie den AAA-Server

1.1 Testen Sie Ihre AD-Authentifizierung

2) Konfigurieren Sie die Auth. Methode

3) Bringen Sie die Firewall dazu, sich mit dem AD-Server zu verbinden

4) Konfigurieren Sie das VPN

4.1 Über IKEv2

4.2 Über L2TP

5) Fehlersuche & Testen des Ergebnisses

5.1 Testen Sie Ihr Ergebnis

5.2 Fehlersuche

Einführung

VPN-Tunnel sind ein Schlüsselfaktor bei der Einrichtung von Netzwerken, die von Natur aus weitläufig sind, z. B. globale Unternehmensnetzwerke, Hauptstandorte, die mit Niederlassungen verbunden sind usw.

Ein weiteres wichtiges Merkmal von Unternehmensnetzwerken ist die Notwendigkeit, sich gegenüber einem Server zu authentifizieren, seine Vertrauenswürdigkeit unter Beweis zu stellen und somit Zugang zu internen Ressourcen zu erhalten. In diesem Tutorial wollen wir Ihnen die Werkzeuge an die Hand geben, um eine Authentifizierung gegenüber einem Authentifizierungsserver über einen VPN-Tunnel einzurichten.

Die Topologie könnte etwa so aussehen:
mceclip2.png

Zwei Firewalls sind über ein Site-to-Site-VPN verbunden, und auf dem Hauptstandort A befindet sich ein RADIUS-Server im LAN. Auf Site B gibt es möglicherweise mehrere Clients, die sich gegenüber dem RADIUS-Server auf Site A authentifizieren wollen. Auf Site B finden wir entweder lokale Clients, die eine Verbindung zum RADIUS-Server auf Site A benötigen, oder L2TP-VPN-Clients, die eine Authentifizierung gegenüber dem RADIUS-Server von Site A benötigen.

Hier müssen wir eine wichtige Unterscheidung zwischen dem VPN-Client und dem LAN-Client am Standort B treffen - während es sehr wahrscheinlich ist, dass sich der Client von Standort B problemlos gegenüber dem RADIUS von Standort A authentifizieren kann, werden die L2TP-VPN-Clients höchstwahrscheinlich nicht dazu in der Lage sein. Warum ist das so?

Site-to-Site-VPNs werden mit einer lokalen Richtlinie und einer entfernten Richtlinie eingerichtet. Diese Richtlinien legen fest, welche Netzwerkrouten beim Aufbau des Tunnels erstellt werden, d. h. welche Netzwerke miteinander "reden" dürfen. In diesem Fall gehen wir davon aus, dass das Routing zwischen 192.168.10.0/24 und 192.168.20.0/24 in Ordnung ist. Das L2TP-VPN, das von Natur aus ein anderes Subnetz als die lokalen Subnetze von Standort B sein muss, darf nicht mit Standort A kommunizieren, da es nicht in der Richtlinie "Lokal" oder "Fern" enthalten ist.

Das heißt, wenn wir keine zusätzlichen Richtlinienrouten hinzufügen. Mit Hilfe dieser Art von Routen können wir jeden Authentifizierungsversuch, der vom L2TP-VPN kommt, zu einem Ziel auf Standort A zwingen. Dazu müssen wir zunächst festlegen, dass Authentifizierungen auf Standort B an den RADIUS von Standort A gehen.

1) Konfigurieren Sie den AAA-Server

Hierfür navigieren wir zu 

Configuration > Object > AAA Server

und richten ein Authentifizierungsobjekt mit der IP 192.168.10.100 ein:

mceclip0.png

1.1 Testen Sie Ihre AD-Authentifizierung

Navigieren Sie zu 

Configuration -> Object -> AAA Server

Stellen Sie sicher, dass Sie Ihre Konfiguration speichern, bevor Sie die Validierung der Konfiguration testen

Fehlerhafte AD-Konfigurationen sehen wie folgt aus:

2) Konfigurieren Sie die Auth. Methode

Dieses AAA Server-Objekt muss nun mit einer Authentifizierungsmethode kombiniert werden, die wiederum als Hauptauthentifizierung für unser VPN festgelegt wird. Navigieren Sie zunächst in das Menü

Configuration > Object > Auth. Method

und fügen Sie den neu erstellten AAA Server in die Standard Auth. Methode:

mceclip1.png

3) Bringen Sie die Firewall dazu, sich mit dem AD-Server zu verbinden

Dann muss die USG der AD-Domäne mit dem Domänennamen des AD-Servers beitreten

Navigieren Sie zu Konfiguration -> System -> Hostname

Der Realm ist der Domänenname des Anzeigenservers und der NetBIOS-Name ist die Domäne.


Um die Firewall auf den AD-Server zu verweisen, müssen wir einen DNS-Eintrag erstellen, um den AD-Server erfolgreich über seine IP-Adresse zu finden:

4) Konfigurieren Sie das VPN

4.1 Über IKEv2

Navigieren Sie zu 

Configuration -> VPN -> IPSec VPN -> VPN Gateway - Add/Edit

Klicken Sie auf "Erweiterte Einstellungen anzeigen", aktivieren Sie "Erweitertes Authentifizierungsprotokoll" und wählen Sie den Servermodus.

Wählen Sie dann die AAA-Methode (Auth. Method) und Allowed user

4.2 Über L2TP

Danach wählen wir diese Auth. Methode für die Verwendung über das L2TP-VPN über

Configuration > VPN > L2TP over IPSec VPN

mceclip2.png

(Bitte beachten Sie, dass der IP-Adress-Pool nicht mit der oben gezeichneten Topologie übereinstimmt, da dies nur ein Beispiel für die Einrichtung des L2TP-Tunnels ist)

Nun, da das L2TP-VPN mit einer Authentifizierung eingerichtet ist, die zum RADIUS am Standort A weiterleiten soll, müssen wir Richtlinienrouten erstellen:

mceclip3.png

Die erste Policy-Route wird alles, was von irgendeiner Quelle kommt, die sich in Richtung der 192.168.10.100 IP bewegen will, in den Tunnel zu Site A schieben - also auch den Authentifizierungsversuch von unserem L2TP-VPN. Die zweite Richtlinienroute schiebt alles, was für das L2TP-VPN-Subnetz bestimmt ist, zurück in das L2TP-VPN.

Auf dem anderen Standort müssen wir dies nun einfach durch eine entsprechende Regel ergänzen, die alles von Subnetzen, die sich vom LAN des Standorts B unterscheiden (wie der Authentifizierungsversuch unseres L2TP-VPN-Subnetzes), in den Tunnel zum Standort B zurückschiebt und dabei unsere Richtlinienroute auslöst, die wir für diesen Standort festgelegt haben.

Wenn Sie diese einfache Anleitung befolgen, sollten Sie nun in der Lage sein, Ihre Clients gegenüber einem RADIUS an einem anderen entfernten VPN-Standort zu authentifizieren.

5) Fehlerbehebung & Testen Sie Ihr Ergebnis

5.1 Testen Sie Ihr Ergebnis

Navigieren Sie zu

Monitor -> Network Status -> Login Users

Navigieren Sie zu

Monitor -> VPN Monitor -> IPSec

5.2 Fehlersuche

Navigieren Sie zur Web-Konsole der Firewall oder verbinden Sie sich über SSH mit der Firewall und führen Sie folgenden Befehl aus

_debug domain-auth test profile-name [ad profile name] username [username] password [password]

Ersetzen Sie ad profile name durch den Active Directory "AD Server Summary"-Namen und verwenden Sie den Benutzernamen und das Kennwort für die Domänenauthentifizierung über MSCHAP.


Weitere Artikel finden Sie hier:

AD (Active Directory) Benutzer authentifizieren prüfen

Wie man einer Active Directory Domäne mit USG/ATP/VPN beitritt

Zwei-Faktor-Authentifizierung mit Active Directory-Benutzern

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
2 von 3 fanden dies hilfreich
Teilen