VPN - Määritä Active Directory [AD]-palvelin VPN-tunnelin kautta.

Tässä artikkelissa on yksityiskohtainen yleiskatsaus Active Directory (AD) -palvelimen määrittämiseen L2TP VPN -tunnelin kautta USG FLEX/ATP VPN -todennusmenetelmää käyttäen. Lisäksi tässä esitettyjä ohjeita voidaan soveltaa IPsec IKEv2- ja IKEv1-VPN-konfiguraatioihin.

VPN-tunnelit ovat kriittinen osa, kun perustetaan luonnostaan laajoja verkkoja, kuten maailmanlaajuisia yritysverkkoja tai pääkonttoreita, jotka on yhdistetty toisiinsa sivukonttoreiden kanssa.

Yritysverkkojen perusominaisuutena on käyttäjien todentaminen palvelimelle, mikä osoittaa luotettavuuden ja mahdollistaa pääsyn sisäisiin resursseihin. Tämän opetusohjelman tarkoituksena on antaa sinulle tarvittavat työkalut, joilla voit määrittää todennuksen todennuspalvelimelle VPN-tunnelin kautta.

Kaksi palomuuria on yhdistetty Site-to-Site-VPN:n kautta, ja pääsivustolla A on RADIUS-palvelin lähiverkossa. Sivustolla B saattaa olla useita asiakkaita, jotka haluavat todennuksen sivuston A RADIUS-palvelimelle. Sivustolla B on joko paikallisia asiakkaita, jotka tarvitsevat yhteyden sivuston A RADIUS-palvelimelle, tai L2TP VPN -asiakkaita, jotka tarvitsevat todennuksen sivuston A RADIUS-palvelimelle.

Tässä yhteydessä on tehtävä tärkeä ero VPN-asiakkaan ja sivuston B lähiverkkoasiakkaan välillä - vaikka on hyvin todennäköistä, että sivuston B asiakas voi tunnistautua ongelmitta sivuston A RADIUS-palvelimelle, L2TP VPN -asiakkaat eivät todennäköisesti pysty tähän. Miksi näin on?

Site-to-Site-VPN:t perustetaan paikallisella käytännöllä ja etäkäytännöllä. Nämä käytännöt määrittävät, mitkä verkkoreitit luodaan tunnelia luotaessa, eli mitkä verkot saavat "puhua keskenään". Tässä tapauksessa oletamme, että 192.168.10.0/24:n ja 192.168.20.0/24:n välinen reititys on kunnossa. L2TP VPN:n, jonka on luonnostaan oltava eri aliverkko kuin sivuston B paikalliset aliverkot, ei sallita kommunikoida sivuston A suuntaan, koska se ei sisälly paikalliseen tai etäkäytäntöön.

Eli jos emme lisää ylimääräisiä politiikkareittejä. Tällaisten reittien avulla voimme pakottaa kaikki L2TP VPN:stä tulevat todennusyritykset kohteeseen Sivustolla A. Ensin meidän on määriteltävä, että Sivuston B todennukset ohjataan Sivuston A RADIUSiin.

AAA-palvelimen määrittäminen

Määritys > Kohde > AAA-palvelin

ja määritä todennuskohde kohti IP 192.168.10.100:

Testaa AD-todennus

Konfigurointi -> Objekti -> AAA-palvelin

Varmista, että tallennat konfiguraation ennen konfiguraation validoinnin testaamista.

Hyvä tulos	Huono tulos

Määritä Auth. Method

Tämä AAA-palvelinobjekti on nyt yhdistettävä todennusmenetelmään, joka puolestaan asetetaan VPN:n päätodennukseksi. Siirry ensin valikkoon

Configuration > Object > Auth. Method

ja lisää juuri luotu AAA-palvelin oletusarvoiseen Auth. Method:

Tee palomuurin liittyminen AD-palvelimeen

Tämän jälkeen USG:n on liityttävä AD-toimialueeseen AD-palvelimen toimialueen nimellä.

Siirry kohtaan Configuration (Määritykset) -> System (Järjestelmä) -> Hostname (Isäntänimi).

Realm on ad-palvelimen Domain-nimi ja NetBIOS-nimi on domain.

Jotta palomuuri voidaan osoittaa AD-palvelimelle, meidän on luotava DNS-tietue, joka löytää AD-palvelimen onnistuneesti AD-palvelimen IP-osoitteen kautta:

VPN:n määrittäminen

IKEv2:n kautta

Määritys -> VPN -> IPSec VPN -> VPN-yhdyskäytävä - Lisää/Muokkaa

Napsauta "Näytä lisäasetukset" ja ota käyttöön "Extended Authentication Protocol" ja valitse Server mode.

Valitse sitten AAA-menetelmä (Auth. Method) ja Sallittu käyttäjä.

L2TP:n kautta

Tämän jälkeen valitsemme tämän Auth. Method käytettäväksi L2TP VPN:n kautta.

Configuration > VPN > L2TP over IPSec VPN.

(Huomaa, että IP-osoitepooli ei vastaa edellä piirrettyä topologiaa, koska tämä on vain esimerkki L2TP-tunnelin määrittämisestä).

Nyt kun L2TP-VPN on määritetty todennuksella, jonka pitäisi ohjata eteenpäin RADIUS-verkkoon sivustolla A, meidän on luotava käytäntöreitit:

Ensimmäinen reitti työntää kaiken, mikä tulee mistä tahansa lähteestä, joka haluaa siirtyä kohti 192.168.10.100 IP-osoitetta, tunneliin sivustolle A - eli myös L2TP VPN:n todennusyrityksen. Toinen käytäntöreitti työntää kaiken L2TP VPN -aliverkkoon tarkoitetun takaisin L2TP VPN:ään.

Toisella sivustolla meidän on nyt vain täydennettävä tätä vastaavalla säännöllä, joka työntää kaiken sivuston B LAN:sta poikkeavista aliverkoista (kuten L2TP VPN -aliverkkomme yrityksen) takaisin tunneliin kohti sivustoa B, mikä laukaisee kyseiselle sivustolle asettamamme käytäntöreitin.

Tämän yksinkertaisen ohjeen jälkeen sinun pitäisi nyt pystyä todentamaan asiakkaasi RADIUSiin toisessa etä-VPN-sijainnissa.

Määritä AD-toimialueen DNS-tiedonsiirto (suositellaan).

Varmistaaksesi asianmukaisen AD-nimen resoluution, määritä DNS-tiedonsiirto paikallisen DNS-merkinnän lisäksi:

• Siirry kohtaan Configuration (Määritys) → System (Järjestelmä) → DNS → Domain Zone Forwarder (DNS-alueen edelleenlähetys), lisää AD-verkkotunnus (esim. company.local) ja määritä AD DNS-palvelin edelleenlähettäjäksi.

• Määritä AD DNS-palvelin (tai palomuurin lähiverkon IP-osoite, jos välitys on käytössä) kohdassa VPN-yhteys → Asiakasasetukset ensimmäiseksi DNS-palvelimeksi.

• (Valinnainen) Lisää käytäntöreitti, jos DNS-kyselyt on pakotettava VPN:n kautta.

Tarkista asia seuraavasti: nslookup dc1.company.local.

Vianmääritys ja tuloksen testaaminen

Siirry osoitteeseen

Monitor -> Network Status -> Login Users

Siirry osoitteeseen

Monitor -> VPN Monitor -> IPSec

Vianmääritys

Siirry palomuurin web-konsoliin tai muodosta yhteys palomuuriin SSH:n kautta ja suorita tämä komento.

debug domain-auth test profile-name [mainosprofiilin nimi] username [käyttäjätunnus] password [salasana]

Korvaa ad profile name Active Directoryn "AD Server Summary" -nimellä ja käytä MSCHAPin kautta tapahtuvan toimialuetunnistuksen käyttäjänimeä ja salasanaa.

Lisää artikkeleita löytyy täältä:

AD (Active Directory) käyttäjän todennustarkistus

Miten liittyä Active Directory -toimialueeseen USG/ATP/VPN:n avulla?

Kuinka tehdä kaksitekijätodennus Active Directory -käyttäjien kanssa?