VPN - Active Directory [AD] kiszolgáló konfigurálása VPN-alagúton keresztül

Létrehozva - Frissítve
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
További kérdései vannak? Kérelem beküldése

Fontos értesítés:
Kérjük, vegye figyelembe, hogy gépi fordítást használunk, hogy a cikkeket az Ön helyi nyelvén nyújtsuk. Előfordulhat, hogy nem minden szöveget fordítunk le pontosan. Ha a lefordított változatban szereplő információk pontosságával kapcsolatban kérdés vagy eltérés merül fel, kérjük, tekintse meg az eredeti cikket itt: Eredeti változat

Ez a cikk részletes áttekintést nyújt arról, hogyan lehet egy Active Directory (AD) kiszolgálót L2TP VPN-alagúton keresztül konfigurálni az USG FLEX/ATP VPN hitelesítési módszerrel. Emellett az itt bemutatott útmutatás alkalmazható IPsec IKEv2 és IKEv1 VPN-konfigurációkra is.

A VPN-alagutak kritikus szerepet játszanak a természetüknél fogva kiterjedt hálózatok, például globális vállalati hálózatok vagy leányvállalati telephelyekkel összekapcsolt fő telephelyek létrehozásakor.

A vállalati hálózatok alapvető jellemzője a felhasználók hitelesítésének folyamata egy kiszolgálóval szemben, ezáltal bizonyítva a megbízhatóságot és a belső erőforrásokhoz való hozzáférést. Ennek a bemutatónak az a célja, hogy felvértezze Önt a szükséges eszközökkel a hitelesítési kiszolgálón keresztül történő hitelesítés VPN-alagúton keresztüli konfigurálásához.
mceclip2.png

Két tűzfal Site-to-Site VPN-en keresztül van összekötve, és az A főoldalon van egy RADIUS-kiszolgáló a LAN-on belül. A B oldalon több olyan ügyfél is lehet, amely az A oldalon lévő RADIUS-kiszolgáló felé szeretne hitelesíteni. A B oldalon vagy helyi ügyfeleket találunk, amelyeknek az A oldalon lévő RADIUS-kiszolgáló felé kell csatlakozniuk, vagy L2TP VPN-ügyfeleket, amelyeknek az A oldalon lévő RADIUS felé kell hitelesíteniük.

Itt fontos különbséget kell tennünk a VPN-ügyfél és a B webhelyen lévő helyi kliens között - míg a B webhelyről származó kliens nagy valószínűséggel minden gond nélkül képes hitelesíteni magát az A webhely RADIUS-ának RADIUS-a felé, addig az L2TP VPN-ügyfelek valószínűleg nem lesznek erre képesek. Miért van ez így?

A Site-to-Site VPN-ek egy helyi és egy távoli házirenddel vannak beállítva. Ezek a házirendek határozzák meg, hogy az alagút létrehozásakor milyen hálózati útvonalak jönnek létre, azaz mely hálózatok "beszélhetnek egymással". Ebben az esetben feltételezzük, hogy a 192.168.10.0/24 és 192.168.20.0/24 közötti útválasztás rendben van. Az L2TP VPN, amelynek természeténél fogva más alhálózatnak kell lennie, mint a B oldal helyi alhálózatainak, nem kommunikálhat az A oldal felé, mivel az nem szerepel a helyi vagy távoli házirendben.

Vagyis, ha nem adunk hozzá további házirend útvonalakat. Az ilyen útvonalak segítségével az L2TP VPN-ből érkező minden hitelesítési kísérletet az A webhelyen lévő célpont felé kényszeríthetünk. Először is meg kell határoznunk, hogy a B webhelyen történő hitelesítéseket az A webhely RADIUS-ához irányítsuk.

Az AAA-kiszolgáló konfigurálása

Konfiguráció > Objektum > AAA-kiszolgáló

és állítson be egy hitelesítési objektumot a 192.168.10.100-as IP-cím felé:

mceclip0.png

Tesztelje az AD-hitelesítést

Konfiguráció -> Objektum -> AAA-kiszolgáló

Győződjön meg róla, hogy elmentette a konfigurációt, mielőtt teszteli a konfiguráció érvényesítését.

Jó eredmény Rossz eredmény

Az Auth. Method

Ezt az AAA Server-Objektet most egy hitelesítési módszerrel kell kombinálni, amely viszont a VPN-ünk fő hitelesítésének lesz beállítva. Először navigáljunk a menübe

Konfiguráció > Objektum > Auth. Method

és adjuk hozzá az újonnan létrehozott AAA-kiszolgálót az alapértelmezett Auth. Methodhoz:

mceclip1.png

A tűzfal csatlakozzon az AD-kiszolgálóhoz

Ezután az USG-nek csatlakoznia kell az AD-tartományhoz az AD-kiszolgáló tartománynevével.

Navigáljon a Configuration -> System -> Hostname (Konfiguráció -> Rendszer -> Hostnév) menüpontra.

A Realm az ad szerver tartományneve, a NetBIOS név pedig a tartomány.

Ahhoz, hogy a tűzfalat az AD szerverre irányítsuk, létre kell hoznunk egy DNS rekordot, hogy sikeresen megtaláljuk az AD szervert az AD szerver IP címén keresztül:

A VPN konfigurálása

IKEv2-n keresztül

Konfiguráció -> VPN -> IPSec VPN -> VPN átjáró - Hozzáadás/szerkesztés

Kattintson a "Speciális beállítások megjelenítése" gombra, és engedélyezze a "Kiterjesztett hitelesítési protokollt", és válassza a Kiszolgáló módot.

Ezután válassza ki az AAA módszert (Auth. Method) és az Engedélyezett felhasználó

L2TP-n keresztül

Ezt követően válasszuk ki ezt az Auth. Módszert az L2TP VPN-en keresztül használjuk a következő módon

Konfiguráció > VPN > L2TP over IPSec VPN

mceclip2.png

(Felhívjuk a figyelmet arra, hogy az IP-címkészlet nem felel meg a fenti topológiának, mivel ez csak egy példa az L2TP-tunnel beállítására.)

Most, hogy az L2TP VPN-t olyan hitelesítéssel állítottuk be, amelynek továbbítania kell az A webhelyen lévő RADIUS felé, házirend-útvonalakat kell létrehoznunk:

mceclip3.png

Az első házirend-útvonal minden olyan forrásból érkező dolgot, amely a 192.168.10.100 IP cím felé akar haladni, az A oldalra vezető alagútba tol - ami az L2TP VPN-ünk hitelesítési kísérletét is jelenti. A második házirend-útvonal mindent, ami az L2TP VPN alhálózatának szól, visszatol az L2TP VPN-be.

A másik helyszínen most már csak ki kell egészítenünk ezt egy megfelelő szabályon keresztül, amely a B helyszín LAN-jától eltérő alhálózatokból bármit (például az L2TP VPN alhálózatunk kísérletét) visszatol az alagútba a B helyszín felé, kiváltva az adott helyszínen beállított házirend-útvonalunkat.

Ezt az egyszerű útmutatót követve most már képesnek kell lennie arra, hogy hitelesítse ügyfeleit egy másik távoli VPN-helyen lévő RADIUS felé.

DNS-továbbítás beállítása az AD tartományhoz (ajánlott)

A megfelelő AD névfeloldás biztosítása érdekében a helyi DNS-bejegyzés mellett konfigurálja a DNS-továbbítást is:

  • Válassza a Konfiguráció → Rendszer → DNS → Domain Zone Forwarder menüpontot, adja hozzá az AD tartományt (pl. company.local), és állítsa be az AD DNS-kiszolgálót továbbítóként.

  • A VPN-kapcsolat → Ügyfélbeállítások menüpontban jelölje ki az AD DNS-kiszolgálót (vagy a tűzfal LAN-IP-jét, ha a továbbítás engedélyezve van) Első DNS-kiszolgálónak.

  • (Választható) Adjon hozzá házirend-útvonalat, ha a DNS-lekérdezéseket a VPN-en keresztül kell kényszeríteni.

Ellenőrizze a következővel: nslookup dc1.company.local.

Hibaelhárítás és az eredmény tesztelése

Navigáljon a

Monitor -> Network Status -> Login Users

Navigáljon a

Monitor -> VPN Monitor -> IPSec

Hibaelhárítás

Navigáljon a tűzfal webkonzoljára, vagy csatlakozzon a tűzfalhoz SSH-n keresztül, és futtassa ezt a parancsot

debug domain-auth test profile-name [hirdetés profil neve] username [felhasználónév] password [jelszó]

Az ad profile name-t helyettesítse az Active Directory "AD Server Summary" névvel, és használja a tartományi hitelesítés MSCHAP-on keresztüli felhasználónevét és jelszavát.

További cikkek itt találhatók:

AD (Active Directory) felhasználói hitelesítés ellenőrzése

Hogyan csatlakozhat egy Active Directory tartományhoz USG/ATP/VPN segítségével?

Hogyan végezzen kétfaktoros hitelesítést Active Directory felhasználókkal?

A szakasz cikkei

Több megjelenítése
Hasznos volt ez a cikk?
3/2 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.