VPN - Gebruikersauthenticatie configureren via een externe VPN-site

Gemaakt - Bijgewerkt
Serhii Boiarynov
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Beste klant, houd er rekening mee dat we machinevertaling gebruiken om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan hier het originele artikel: Originele versie

Dit artikel laat zien hoe u gebruikersauthenticatie configureert via IPSec site-to-site VPN met behulp van RADIUS (of Active Directory [AD]). Hierdoor moeten de clients op site A zichzelf authenticeren voor netwerktoegang met behulp van de authenticatieserver van site B.

 

Inhoudsopgave

1) Configureer Site A - USG Firewall

1.1 Stel het web in Portal

1.2 Configureer de RADIUS-groep

1.3 Stel de RADIUS-server in

1.4 Configureer een statische route voor de clients om de RADIUS-server te bereiken

2) Configureer site B - USG Firewall

2.1 Vertrouwde clients configureren op extern subnet

2.2 Configureer een statische route voor de clients om de RADIUS-server te bereiken

3) Test het resultaat

 

 

Scenario:

We hebben twee USG's verbonden via VPN Tunnel - we weten dat klanten op site A (USG60) zich moeten authenticeren op externe site B (USG40).
Topologie.png

 

1) Configureer Site A - USG Firewall

1.1 Stel het web in Portal

Stel de Web Portal in die LAN2-clients moeten verifiëren via Web Portal WEB_AUTH_USG60.JPG

1.2 Configureer de RADIUS-groep

Stel Configuratie > Object > Auth. Methode om RADIUS te "groeperen", omdat het toegangsverzoek voor de webportal van de klant intern verwijst naar RADIUS-poort 1812

AUTHMETH_USG60.JPG

1.3 Stel de RADIUS-server in

Stel onder Configuratie> Object> AAA-server> RADIUS de Radius-server in op de externe USGs lokale gateway en stel een geheim in (belangrijk voor de volgende stappen op USG40).

RADIUS_USG60.JPG

1.4 Configureer een statische route voor de clients om de RADIUS-server te bereiken

Stel onder Configuratie> Netwerk> Routing> Statische route een statische route in die verkeer naar de RADIUS Server IP (de externe USG lokale gateway-IP) stuurt via uw lokale gateway-interface. Dit zorgt ervoor dat het verzoek van uw client, dat door het eerder ingestelde AAA Server-object nu uitreikt naar 192.168.1.1, correct wordt doorgestuurd.

STATIC_USG60.JPG

 

2) Configureer site B - USG Firewall

2.1 Vertrouwde clients configureren op extern subnet

Stel in onder Configuratie > Systeem > Auth. Server een vertrouwde client door gebruik te maken van de nu externe (USG60!) lokale gateway-interface. Server-IP is de nu externe gateway-IP, in dit geval 192.168.11.1 , gebruik het geheim dat u eerder hebt ingesteld in de AAA-serverinstellingen onder stap 3.

AUTH_SERV_USG40.JPG

2.2 Configureer een statische route voor de clients om de RADIUS-server te bereiken

Voeg onder Configuratie > Netwerk > Routing > Statische route een statische route toe van USG40 die verkeer naar de USG60 externe lokale gateway (192.168.11.1) doorstuurt via de USG40 lokale gateway 192.168.1.1. Op die manier zorgt u ervoor dat het RADIUS Authentication Accept Message terugkomt naar de USG60, waar de USG60 ervoor zorgt dat de client geen toegang heeft tot internet totdat USG40 het verzoek accepteert.

STATIC_USG40.JPG



 3) Test het resultaat


GEBRUIKER_LOGIN.PNG

USER_SUCCESS.PNG



KB-00192

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 2 van 2
Delen