VPN: configura l'autenticazione utente tramite un sito VPN remoto

Creato - Aggiornato
Serhii Boiarynov
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso IMPORTANTE:
Gentile cliente, tieni presente che utilizziamo la traduzione automatica per fornire articoli nella tua lingua locale. Non tutto il testo può essere tradotto accuratamente. In caso di domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, consultare l'articolo originale qui: Versione originale

Questo articolo ti mostrerà come configurare l'autenticazione utente tramite VPN site-to-site IPSec utilizzando RADIUS (o Active Directory [AD]). In questo modo i client sul Sito A si autenticano per l'accesso alla rete utilizzando il server di autenticazione del Sito B.

 

Tabella dei contenuti

1) Configurare il sito A - USG Firewall

1.1 Configurare il Web Portal

1.2 Configurare il gruppo RADIUS

1.3 Impostare il server RADIUS

1.4 Configurare un percorso statico affinché i client raggiungano il server RADIUS

2) Configurare il sito B - USG Firewall

2.1 Configurare i client attendibili sulla sottorete remota

2.2 Configurare un percorso statico affinché i client raggiungano il server RADIUS

3) Testare il risultato

 

 

Scenario:

Abbiamo due USG collegati tramite tunnel VPN: sappiamo che vogliamo che i client sul sito A (USG60) si autentichino sul sito remoto B (USG40).
Topologia.png

 

1) Configurare il sito A - USG Firewall

1.1 Configurare il Web Portal

Impostare il Web Portal che i client LAN2 devono autenticare tramite Web Portal WEB_AUTH_USG60.JPG

1.2 Configurare il gruppo RADIUS

Impostare Configurazione > Oggetto > Aut. Metodo per "raggruppare RADIUS", perché la richiesta di accesso al portale Web dei client fa riferimento internamente alla porta RADIUS 1812

AUTHMETH_USG60.JPG

1.3 Impostare il server RADIUS

Impostare in Configurazione > Oggetto > Server AAA > RADIUS il server Radius sul gateway locale USG remoto e impostare un segreto (importante per i passaggi successivi su USG40).

RADIUS_USG60.JPG

1.4 Configurare un percorso statico affinché i client raggiungano il server RADIUS

In Configurazione > Rete > Routing > Percorso statico, imposta un percorso statico che spinge il traffico verso l'IP del server RADIUS (l'IP del gateway locale USG remoto) tramite l'interfaccia del gateway locale. Ciò assicurerà che la richiesta del tuo client, che dal precedente oggetto AAA Server impostato ora raggiunge 192.168.1.1, venga inoltrata correttamente.

STATICO_USG60.JPG

 

2) Configurare il sito B - USG Firewall

2.1 Configurare i client attendibili sulla sottorete remota

Impostare in Configurazione > Sistema > Aut. Servire un client attendibile utilizzando l'interfaccia del gateway locale ora remoto (USG60!) . L'IP del server è l'IP del gateway ora remoto, in questo caso 192.168.11.1 , usa il segreto precedentemente impostato nelle impostazioni del server AAA nel passaggio 3.

AUTH_SERV_USG40.JPG

2.2 Configurare un percorso statico affinché i client raggiungano il server RADIUS

Aggiungere in Configurazione > Rete > Routing > Instradamento statico un instradamento statico da USG40 che invia il traffico al gateway locale remoto USG60 (192.168.11.1) tramite il gateway locale USG40 192.168.1.1. In questo modo, ti assicuri che il messaggio di accettazione dell'autenticazione RADIUS torni all'USG60, dove l'USG60 impedisce al client di accedere a Internet fino a quando l'USG40 non accetta la richiesta.

STATIC_USG40.JPG



 3) Testare il risultato


USER_LOGIN.PNG

USER_SUCCESS.PNG



KB-00192

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 2 su 2
Condividi