VPN - Konfigurieren Sie einen Active Directory Server über einen VPN-Tunnel

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

 

Dieser Artikel bietet einen detaillierten Überblick über die Konfiguration eines Active Directory (AD)-Servers über einen L2TP-VPN-Tunnel unter Verwendung der USG FLEX/ATP VPN-Authentifizierungsmethode. Darüber hinaus ist die hier vorgestellte Anleitung auch auf IPsec IKEv2- und IKEv1-VPN-Konfigurationen anwendbar.

VPN-Tunnel sind eine kritische Komponente beim Aufbau von Netzwerken, die sich von Natur aus ausdehnen, wie z. B. globale Unternehmensnetzwerke oder Hauptstandorte, die mit Zweigstellen verbunden sind.

Ein grundlegendes Merkmal von Unternehmensnetzwerken ist der Prozess der Authentifizierung von Benutzern gegenüber einem Server, wodurch die Vertrauenswürdigkeit nachgewiesen und der Zugriff auf interne Ressourcen ermöglicht wird. In diesem Tutorial lernen Sie die notwendigen Werkzeuge kennen, um die Authentifizierung gegenüber einem Authentifizierungsserver über einen VPN-Tunnel zu konfigurieren.
mceclip2.png

Zwei Firewalls sind über ein Site-to-Site-VPN verbunden, und auf dem Hauptstandort A befindet sich ein RADIUS-Server im LAN. Auf Site B gibt es möglicherweise mehrere Clients, die sich gegenüber dem RADIUS-Server auf Site A authentifizieren möchten. Auf Site B gibt es entweder lokale Clients, die eine Verbindung zum RADIUS-Server auf Site A benötigen, oder L2TP-VPN-Clients, die eine Authentifizierung gegenüber dem RADIUS-Server von Site A benötigen.

 

Hier müssen wir eine wichtige Unterscheidung zwischen dem VPN-Client und dem LAN-Client am Standort B treffen - während es sehr wahrscheinlich ist, dass sich der Client von Standort B problemlos gegenüber dem RADIUS von Standort A authentifizieren kann, werden die L2TP-VPN-Clients höchstwahrscheinlich nicht dazu in der Lage sein. Warum ist das so?

Site-to-Site-VPNs werden mit einer lokalen Richtlinie und einer entfernten Richtlinie eingerichtet. Diese Richtlinien legen fest, welche Netzwerkrouten beim Aufbau des Tunnels erstellt werden, d. h. welche Netzwerke miteinander "reden" dürfen. In diesem Fall gehen wir davon aus, dass das Routing zwischen 192.168.10.0/24 und 192.168.20.0/24 in Ordnung ist. Das L2TP-VPN, das von Natur aus ein anderes Subnetz als die lokalen Subnetze von Standort B sein muss, darf nicht mit Standort A kommunizieren, da es nicht in der Richtlinie "Lokal" oder "Fern" enthalten ist.

Das heißt, wenn wir keine zusätzlichen Richtlinienrouten hinzufügen. Mit Hilfe dieser Art von Routen können wir jeden Authentifizierungsversuch, der vom L2TP-VPN kommt, zu einem Ziel auf Standort A zwingen. Zunächst müssen wir festlegen, dass Authentifizierungen auf Standort B an den RADIUS von Standort A geleitet werden.

Konfigurieren Sie den AAA-Server

Konfiguration > Objekt > AAA-Server

und richten Sie ein Authentifizierungsobjekt mit der IP 192.168.10.100 ein:

mceclip0.png

Testen Sie Ihre AD-Authentifizierung

Konfiguration -> Objekt -> AAA-Server

Stellen Sie sicher, dass Sie Ihre Konfiguration speichern, bevor Sie die Konfigurationsvalidierung testen.

Gutes Ergebnis Schlechtes Ergebnis

Konfigurieren Sie die Auth. Methode

Dieses AAA Server-Objekt muss nun mit einer Authentifizierungsmethode kombiniert werden, die wiederum als Hauptauthentifizierung für unser VPN festgelegt wird. Navigieren Sie zunächst in das Menü

Konfiguration > Objekt > Auth. Methode

und fügen Sie den neu erstellten AAA Server in die Standard Auth. Methode hinzu:

mceclip1.png

Die Firewall muss dem AD-Server beitreten

Dann muss die USG der AD-Domäne mit dem Domänennamen des AD-Servers beitreten

Navigieren Sie zu Konfiguration -> System -> Hostname

Der Realm ist der Domänenname des AD-Servers und der NetBIOS-Name ist die Domäne.

Um die Firewall auf den AD-Server zu verweisen, müssen wir einen DNS-Eintrag erstellen, um den AD-Server erfolgreich über seine IP-Adresse zu finden:

Konfigurieren Sie das VPN

Über IKEv2

Konfiguration -> VPN -> IPSec VPN -> VPN-Gateway - Hinzufügen/Bearbeiten

Klicken Sie auf "Erweiterte Einstellungen anzeigen" und aktivieren Sie "Erweitertes Authentifizierungsprotokoll" und wählen Sie den Servermodus.

Wählen Sie dann die AAA-Methode (Auth. Method) und Allowed user

Über L2TP

Danach wählen wir diese Auth. Methode für die Verwendung über das L2TP-VPN über

Konfiguration > VPN > L2TP über IPSec VPN

mceclip2.png

(Bitte beachten Sie, dass der IP-Adresspool nicht mit der oben gezeichneten Topologie übereinstimmt, da dies nur ein Beispiel für die Einrichtung des L2TP-Tunnels ist)

Nachdem nun das L2TP-VPN mit einer Authentifizierung eingerichtet ist, die zum RADIUS auf Site A weiterleiten soll, müssen wir Policy-Routen erstellen:

mceclip3.png

Die erste Policy-Route wird alles, was von irgendeiner Quelle kommt, die sich in Richtung der 192.168.10.100 IP bewegen will, in den Tunnel zu Site A schieben - also auch den Authentifizierungsversuch von unserem L2TP-VPN. Die zweite Richtlinienroute schiebt alles, was für das L2TP-VPN-Subnetz bestimmt ist, zurück in das L2TP-VPN.

Auf dem anderen Standort müssen wir dies nun einfach durch eine entsprechende Regel ergänzen, die alles von Subnetzen, die sich vom LAN des Standorts B unterscheiden (wie der Authentifizierungsversuch unseres L2TP-VPN-Subnetzes), in den Tunnel zum Standort B zurückschiebt und dabei unsere Richtlinienroute auslöst, die wir für diesen Standort festgelegt haben. 

Wenn Sie diese einfache Anleitung befolgen, sollten Sie nun in der Lage sein, Ihre Clients gegenüber einem RADIUS an einem anderen entfernten VPN-Standort zu authentifizieren.

Konfigurieren Sie die DNS-Weiterleitung für die AD-Domäne (empfohlen)

Um eine korrekte AD-Namensauflösung zu gewährleisten, konfigurieren Sie zusätzlich zum lokalen DNS-Eintrag eine DNS-Weiterleitung:

  • Gehen Sie zu Konfiguration → System → DNS → Domain Zone Forwarder, fügen Sie Ihre AD-Domäne hinzu (z. B. company.local) und setzen Sie den AD-DNS-Server als Forwarder.

  • Weisen Sie unter VPN-Verbindung → Client-Einstellungen den AD DNS-Server (oder die LAN-IP der Firewall, wenn die Weiterleitung aktiviert ist) als ersten DNS-Server zu.

  • (Optional) Fügen Sie eine Richtlinienroute hinzu, wenn DNS-Anfragen durch das VPN geleitet werden müssen.

Überprüfen Sie dies mit: nslookup dc1.company.local.

Fehlersuche & Testen Sie Ihr Ergebnis

Navigieren Sie zu

Monitor -> Netzwerkstatus -> Benutzer anmelden

Navigieren Sie zu

Überwachung -> VPN-Überwachung -> IPSec

Fehlersuche

Navigieren Sie zur Web-Konsole der Firewall oder verbinden Sie sich über SSH mit der Firewall und führen Sie diesen Befehl aus

debug domain-auth test profile-name [ad profile name] username [username] password [password]

Ersetzen Sie ad profile name durch den Active Directory "AD Server Summary" Namen und verwenden Sie den Benutzernamen und das Passwort der Domain Authentication via MSCHAP.

Weitere Artikel finden Sie hier:

AD (Active Directory) Benutzer authentifizieren prüfen

Wie man einer Active Directory Domäne mit USG/ATP/VPN beitritt

Wie man die Zwei-Faktor-Authentifizierung mit Active Directory-Benutzern durchführt

 

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
2 von 3 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.