VPN: configure la autenticación de usuario a través de un sitio VPN remoto

Creación - Actualización
Serhii Boiarynov
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Noticia importante:
Estimado cliente, tenga en cuenta que utilizamos la traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con precisión. Si hay preguntas o discrepancias sobre la precisión de la información en la versión traducida, revise el artículo original aquí: Versión original

Este artículo le mostrará cómo configurar la autenticación de usuario a través de VPN de sitio a sitio IPSec usando RADIUS (o Active Directory [AD]). Esto hace que los clientes del Sitio A se autentiquen para acceder a la red mediante el servidor de autenticación del Sitio B.

 

Tabla de contenidos

1) Configurar el sitio A - USG Firewall

1.1 Configurar la Web Portal

1.2 Configurar el grupo RADIUS

1.3 Configurar el servidor RADIUS

1.4 Configure una ruta estática para que los clientes lleguen al servidor RADIUS

2) Configurar el sitio B - USG Firewall

2.1 Configurar clientes de confianza en una subred remota

2.2 Configure una ruta estática para que los clientes lleguen al servidor RADIUS

3) Prueba el resultado

 

 

Guión:

Tenemos dos USG conectados a través de un túnel VPN; sabemos que queremos que los clientes del Sitio A (USG60) se autentiquen en el Sitio B remoto (USG40).
Topología.png

 

1) Configurar el sitio A - USG Firewall

1.1 Configurar la Web Portal

Configurar la Web Portal que los clientes LAN2 tienen que autenticar vía Web Portal WEB_AUTH_USG60.JPG

1.2 Configurar el grupo RADIUS

Establezca Configuración > Objeto > Autenticación. Método para "agrupar RADIUS", porque la solicitud de acceso al portal web del cliente se refiere internamente al puerto RADIUS 1812

AUTHMETH_USG60.JPG

1.3 Configurar el servidor RADIUS

Establezca en Configuración > Objeto > Servidor AAA > RADIUS el servidor Radius en la puerta de enlace local del USG remoto y establezca un secreto (importante para los próximos pasos en el USG40).

RADIO_USG60.JPG

1.4 Configure una ruta estática para que los clientes lleguen al servidor RADIUS

En Configuración > Red > Enrutamiento > Ruta estática, configure una ruta estática que envíe tráfico a la IP del servidor RADIUS (la IP de la puerta de enlace local remota de USG) a través de su interfaz de puerta de enlace local. Esto asegurará que la solicitud de su cliente, que por el antiguo objeto AAA Server establecido ahora llega a 192.168.1.1, se reenviará correctamente.

STATIC_USG60.JPG

 

2) Configurar el sitio B - USG Firewall

2.1 Configurar clientes de confianza en una subred remota

Configúrelo en Configuración > Sistema > Autenticación. Sirva a un cliente de confianza utilizando la interfaz de puerta de enlace local ahora remota (¡USG60!) . La IP del servidor es ahora la IP de la puerta de enlace remota, en este caso 192.168.11.1, use el secreto que configuró anteriormente en la configuración del servidor AAA en el paso 3.

AUTH_SERV_USG40.JPG

2.2 Configure una ruta estática para que los clientes lleguen al servidor RADIUS

Agregue en Configuración > Red > Enrutamiento > Ruta estática una ruta estática desde USG40 que envía tráfico a la puerta de enlace local remota de USG60 (192.168.11.1) a través de la puerta de enlace local de USG40 192.168.1.1. De esa manera, se asegura de que el mensaje de aceptación de autenticación RADIUS regrese al USG60, donde el USG60 impide que el cliente acceda a Internet hasta que el USG40 acepte la solicitud.

STATIC_USG40.JPG



 3) Prueba el resultado


USUARIO_LOGIN.PNG

USUARIO_ÉXITO.PNG



KB-00192

Artículos en esta sección

Más información
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 2 de 2
Compartir