VPN - Configurazione di un server Active Directory [AD] attraverso un tunnel VPN

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. Se ci sono domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, si prega di rivedere l'articolo originale qui:Versione originale

Questo articolo fornisce una panoramica dettagliata su come configurare un server Active Directory (AD) attraverso un tunnel VPN L2TP utilizzando il metodo di autenticazione USG FLEX/ATP VPN. Inoltre, le indicazioni presentate sono applicabili alle configurazioni VPN IPsec IKEv2 e IKEv1.

I tunnel VPN sono un componente critico quando si creano reti che sono intrinsecamente espansive, come le reti aziendali globali o le sedi principali interconnesse con le sedi secondarie.

Una caratteristica fondamentale delle reti aziendali è il processo di autenticazione degli utenti a un server, per dimostrare l'affidabilità e ottenere l'accesso alle risorse interne. Questa esercitazione mira a fornire gli strumenti necessari per configurare l'autenticazione a un server di autenticazione tramite un tunnel VPN.
mceclip2.png

Due firewall sono collegati tramite VPN sito-sito e nel sito principale A è presente un server RADIUS all'interno della LAN. Nel sito B, potrebbero esserci diversi client che vogliono autenticarsi verso il server RADIUS del sito A. Nel sito B, si trovano client locali che devono connettersi al server RADIUS del sito A, oppure client VPN L2TP che richiedono l'autenticazione verso il RADIUS del sito A.

In questo caso, dobbiamo fare un'importante distinzione tra il client VPN e il client LAN del sito B: mentre è molto probabile che il client del sito B possa autenticarsi senza problemi verso il RADIUS del sito A, i client VPN L2TP molto probabilmente non saranno in grado di farlo. Perché?

Le VPN site-to-site sono impostate con un criterio locale e un criterio remoto. Questi criteri determinano quali percorsi di rete vengono creati al momento della creazione del tunnel, ovvero quali reti sono autorizzate a "parlare tra loro". In questo caso, si presume che il routing tra 192.168.10.0/24 e 192.168.20.0/24 vada bene. La VPN L2TP, che intrinsecamente deve essere una sottorete diversa dalle sottoreti locali del sito B, non può comunicare con il sito A perché non è inclusa nei criteri locali o remoti.

Questo se non si aggiungono ulteriori rotte di policy. Con l'aiuto di questo tipo di rotte, possiamo forzare qualsiasi tentativo di autenticazione proveniente dalla VPN L2TP verso una destinazione del sito A. In primo luogo, dobbiamo definire che le autenticazioni del sito B siano dirette al RADIUS del sito A.

Configurare il server AAA

Configurazione > Oggetto > Server AAA

e configurare un oggetto di autenticazione verso l'IP 192.168.10.100:

mceclip0.png

Testare l'autenticazione AD

Configurazione -> Oggetto -> Server AAA

Assicurarsi di salvare la configurazione prima di testare la convalida della configurazione.

Risultato buono Risultato negativo

Configurare il metodo Auth. Metodo

Questo oggetto-server AAA deve ora essere combinato con un metodo di autenticazione, che a sua volta è impostato come autenticazione principale per la nostra VPN. Per prima cosa, navigare nel menu

Configurazione > Oggetto > Metodo di Aut. Metodo

e aggiungere il server AAA appena creato al metodo Auth. Method:

mceclip1.png

Fare in modo che il firewall si unisca al server AD

Quindi l'USG deve unirsi al dominio AD con il nome del dominio del server AD

Accedere a Configurazione -> Sistema -> Nome host

Il Realm è il nome del dominio del server AD e il nome NetBIOS è il dominio.

Per puntare il firewall al server AD, è necessario creare un record DNS per trovare correttamente il server AD tramite l'indirizzo IP del server AD:

Configurare la VPN

Tramite IKEv2

Configurazione -> VPN -> VPN IPSec -> Gateway VPN - Aggiungi/Modifica

Fare clic su "Mostra impostazioni avanzate" e abilitare "Protocollo di autenticazione esteso" e selezionare la modalità Server.

Selezionare quindi il metodo AAA (Auth. Method) e l'utente consentito.

Via L2TP

Successivamente, selezioniamo questo metodo di Autenticazione. da utilizzare tramite la VPN L2TP tramite

Configurazione > VPN > L2TP su IPSec VPN

mceclip2.png

(Si noti che il pool di indirizzi IP non corrisponde alla topologia disegnata sopra, poiché questo è solo un esempio di come impostare il tunnel L2TP).

Ora che la VPN L2TP è impostata con un'autenticazione che deve essere inoltrata verso il RADIUS del sito A, dobbiamo creare delle policy route:

mceclip3.png

La prima policy route spingerà nel tunnel verso il sito A tutto ciò che proviene da qualsiasi sorgente che voglia dirigersi verso l'IP 192.168.10.100, ovvero anche il tentativo di autenticazione dalla nostra VPN L2TP. La seconda policy route spingerà tutto ciò che è destinato alla sottorete L2TP VPN verso la VPN L2TP.

Sull'altro sito, ora dobbiamo semplicemente integrare il tutto con una regola corrispondente, che spingerà tutto ciò che proviene da sottoreti diverse dalla LAN del sito B (come il tentativo della nostra sottorete VPN L2TP) nel tunnel verso il sito B, attivando il nostro percorso di policy che abbiamo impostato su quel sito.

Seguendo questa semplice guida, ora dovreste essere in grado di autenticare i vostri client verso un RADIUS su un'altra postazione VPN remota.

Configurare l'inoltro DNS per il dominio AD (consigliato)

Per garantire la corretta risoluzione dei nomi AD, configurare l'inoltro DNS in aggiunta alla voce DNS locale:

  • Accedere a Configurazione → Sistema → DNS → Inoltro zona dominio, aggiungere il dominio AD (ad esempio, company.local) e impostare il server DNS AD come inoltro.

  • In Connessione VPN → Impostazioni client, assegnare il server DNS AD (o l'IP LAN del firewall se l'inoltro è abilitato) come primo server DNS.

  • (Facoltativo) Aggiungere un percorso di criterio se le query DNS devono essere forzate attraverso la VPN.

Verificare con: nslookup dc1.company.local.

Risoluzione dei problemi e verifica dei risultati

Passare a

Monitor -> Stato della rete -> Utenti connessi

Passare a

Monitor -> Monitor VPN -> IPSec

Risoluzione dei problemi

Accedere alla Console Web del firewall o connettersi al firewall tramite SSH ed eseguire il seguente comando

debug domain-auth test profile-name [ad profile name] username [username] password [password]

Sostituire ad profile name con il nome "AD Server Summary" di Active Directory e utilizzare il nome utente e la password dell'autenticazione di dominio tramite MSCHAP.

Altri articoli si trovano qui:

Controllo autenticazione utente AD (Active Directory)

Come unirsi a un dominio Active Directory con USG/ATP/VPN

Come eseguire l'autenticazione a due fattori con gli utenti di Active Directory

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 2 su 3
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.