VPN - Configurer l'authentification des utilisateurs via un site VPN distant

Création - Mise à jour
Serhii Boiarynov
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important:
Cher client, sachez que nous utilisons la traduction automatique pour fournir des articles dans votre langue locale. Tous les textes ne peuvent pas être traduits avec précision. S'il y a des questions ou des divergences sur l'exactitude des informations dans la version traduite, veuillez consulter l'article original ici : Version originale

Cet article vous montrera comment configurer l'authentification des utilisateurs via un VPN de site à site IPSec à l'aide de RADIUS (ou Active Directory [AD]). Cela oblige les clients du site A à s'authentifier pour l'accès au réseau à l'aide du serveur d'authentification du site B.

 

Table des matières

1) Configurer le site A - USG Firewall

1.1 Configuration du Web Portal

1.2 Configurer le groupe RADIUS

1.3 Configurer le serveur RADIUS

1.4 Configurer une route statique pour que les clients atteignent le serveur RADIUS

2) Configurer le site B - USG Firewall

2.1 Configurer les clients de confiance sur le sous-réseau distant

2.2 Configurer une route statique pour que les clients atteignent le serveur RADIUS

3) Testez le résultat

 

 

Scénario:

Nous avons deux USG connectés via un tunnel VPN - nous savons que les clients du site A (USG60) s'authentifient sur le site distant B (USG40).
Topologie.png

 

1) Configurer le site A - USG Firewall

1.1 Configuration du Web Portal

Définissez le Web Portal que les clients LAN2 doivent authentifier via le Web Portal WEB_AUTH_USG60.JPG

1.2 Configurer le groupe RADIUS

Définissez Configuration > Objet > Auth. Méthode au "groupe RADIUS", car la demande d'accès au portail Web des clients fait référence en interne au port RADIUS 1812

AUTHMETH_USG60.JPG

1.3 Configurer le serveur RADIUS

Définissez sous Configuration > Objet > Serveur AAA > RADIUS le serveur Radius sur la passerelle locale des USG distants et définissez un secret (important pour les prochaines étapes sur USG40).

RADIUS_USG60.JPG

1.4 Configurer une route statique pour que les clients atteignent le serveur RADIUS

Sous Configuration > Réseau > Routage > Route statique, définissez une route statique qui pousse le trafic vers l'IP du serveur RADIUS (l'IP de la passerelle locale USG distante) via votre interface de passerelle locale. Cela garantira que la demande de votre client, qui, par l'ancien objet serveur AAA défini, atteint maintenant 192.168.1.1, sera correctement transmise.

STATIC_USG60.JPG

 

2) Configurer le site B - USG Firewall

2.1 Configurer les clients de confiance sur le sous-réseau distant

Défini sous Configuration > Système > Auth. Serveur un client de confiance en utilisant l'interface de passerelle locale désormais distante (USG60 !) . L'IP du serveur est l'IP de la passerelle maintenant distante, dans ce cas 192.168.11.1 , utilisez le secret que vous avez précédemment défini dans les paramètres du serveur AAA à l'étape 3.

AUTH_SERV_USG40.JPG

2.2 Configurer une route statique pour que les clients atteignent le serveur RADIUS

Ajoutez sous Configuration > Réseau > Routage > Route statique une route statique depuis USG40 qui pousse le trafic vers la passerelle locale distante USG60 (192.168.11.1) via la passerelle locale USG40 192.168.1.1. De cette façon, vous vous assurez que le message d'acceptation d'authentification RADIUS revient à l'USG60, où l'USG60 empêche le client d'accéder à Internet jusqu'à ce que l'USG40 accepte la demande.

STATIC_USG40.JPG



 3) Testez le résultat


USER_LOGIN.PNG

USER_SUCCESS.PNG



KB-00192

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 2 sur 2
Partager