VPN - Een Active Directory [AD]-server configureren via een VPN-tunnel

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier:Originele versie

Dit artikel geeft een gedetailleerd overzicht van hoe u een Active Directory (AD)-server kunt configureren via een L2TP VPN-tunnel met behulp van de USG FLEX/ATP VPN-verificatiemethode. De richtlijnen in dit artikel zijn ook van toepassing op IPsec IKEv2 en IKEv1 VPN-configuraties.

VPN-tunnels zijn een kritisch onderdeel bij het opzetten van netwerken die van nature expansief zijn, zoals wereldwijde bedrijfsnetwerken of hoofdlocaties die verbonden zijn met nevenlocaties.

Een fundamenteel kenmerk van bedrijfsnetwerken is het proces van authenticatie van gebruikers bij een server, waardoor betrouwbaarheid wordt aangetoond en toegang tot interne bronnen wordt verkregen. Deze tutorial heeft als doel je te voorzien van de benodigde tools om authenticatie naar een authenticatieserver via een VPN-tunnel te configureren.
mceclip2.png

Twee firewalls zijn verbonden via Site-to-Site VPN en op de hoofdsite A staat een RADIUS-server in het LAN. Op Site B kunnen er verschillende clients zijn die zich willen authenticeren naar de RADIUS-server op Site A. Op Site B vinden we ofwel lokale clients die verbinding nodig hebben met de RADIUS-server op Site A, of L2TP VPN-clients die authenticatie nodig hebben naar de RADIUS van Site A.

Hier moeten we een belangrijk onderscheid maken tussen de VPN Client en de LAN Client op Site B - terwijl het zeer waarschijnlijk is dat de Client van Site B zich zonder problemen kan authenticeren naar RADIUS van Site A, zullen de L2TP VPN clients dat waarschijnlijk niet kunnen. Hoe komt dat?

Site-to-Site VPN's worden opgezet met een lokaal beleid en een extern beleid. Deze beleidsregels bepalen welke netwerkroutes worden aangemaakt bij het creëren van een tunnel, wat betekent welke netwerken met elkaar mogen "praten". In dit geval nemen we aan dat het routeren tussen 192.168.10.0/24 en 192.168.20.0/24 in orde is. De L2TP VPN, die inherent een ander subnet moet zijn dan de lokale subnetten op site B, mogen niet communiceren met site A omdat het niet is opgenomen in het beleid Lokaal of Remote.

Dat wil zeggen, als we geen extra beleidsroutes toevoegen. Met behulp van dit soort routes kunnen we elke authenticatiepoging vanaf het L2TP VPN forceren naar een bestemming op Site A. Eerst moeten we definiëren dat authenticaties op Site B worden doorgestuurd naar de RADIUS van Site A.

Configureer de AAA-server

Configuratie > Object > AAA-server

en stel een authenticatieobject in naar het IP 192.168.10.100:

mceclip0.png

Test uw AD-authenticatie

Configuratie -> Object -> AAA-server

Zorg ervoor dat u uw configuratie opslaat voordat u de configuratie valideert.

Goed resultaat Slecht resultaat

Configureer de Auth. Methode

Dit AAA Server-Object moet nu worden gecombineerd met een authenticatiemethode, die op zijn beurt wordt ingesteld als de belangrijkste authenticatie voor ons VPN. Navigeer eerst naar het menu

Configuratie > Object > Auth. Methode

en voeg de nieuw aangemaakte AAA-server toe aan de standaard Auth. Methode:

mceclip1.png

Zorg dat de firewall zich aansluit bij de AD-server

Vervolgens moet de USG zich aansluiten bij het AD-domein met de domeinnaam van de AD-server

Navigeer naar Configuratie -> Systeem -> Hostnaam

De Realm is de domeinnaam van de advertentieserver en de NetBIOS-naam is het domein.

Om de firewall naar de AD-server te wijzen, moeten we een DNS-record aanmaken om de AD-server met succes te vinden via het IP-adres van de AD-server:

De VPN configureren

Via IKEv2

Configuratie -> VPN -> IPSec VPN -> VPN Gateway - Toevoegen/Bewerken

Klik op "Show Advanced Settings" (Geavanceerde instellingen weergeven) en schakel "Extended Authentication Protocol" (Uitgebreid authenticatieprotocol) in en selecteer Server mode (Servermodus).

Selecteer vervolgens de AAA-methode (Auth. Method) en Toegestane gebruiker

Via L2TP

Daarna selecteren we deze Auth. Methode om te gebruiken via de L2TP VPN via

Configuratie > VPN > L2TP over IPSec VPN

mceclip2.png

(Houd er rekening mee dat de IP-adrespool niet overeenkomt met de hierboven getekende topologie, aangezien dit slechts een voorbeeld is van hoe de L2TP-tunnel moet worden ingesteld)

Nu de L2TP VPN is ingesteld met een authenticatie die moet doorsturen naar de RADIUS op Locatie A, moeten we beleidsroutes maken:

mceclip3.png

De eerste policy route zal alles wat van welke bron dan ook komt, dat naar het 192.168.10.100 IP wil gaan, in de tunnel naar Site A duwen - wat ook de authenticatie poging van onze L2TP VPN betekent. De tweede policy route duwt alles wat bedoeld is voor het L2TP VPN subnet terug in de L2TP VPN.

Op de andere site moeten we dit nu gewoon aanvullen met een overeenkomstige regel, die alles van subnetten die verschillen van het LAN van site B (zoals de poging van ons L2TP VPN-subnet) terug de tunnel in duwt naar site B, waardoor onze beleidsroute wordt geactiveerd die we op die site hebben ingesteld.

Na het volgen van deze eenvoudige gids, zou je nu in staat moeten zijn om je clients te authenticeren naar een RADIUS op een andere VPN-locatie op afstand.

Configureer DNS doorsturen voor AD domein (aanbevolen)

Om een correcte AD naamomzetting te garanderen, moet u DNS doorsturen configureren naast de lokale DNS entry:

  • Ga naar Configuratie → Systeem → DNS → Domein Zone-forwarder, voeg uw AD-domein toe (bijv. company.local) en stel de AD DNS-server in als forwarder.

  • Wijs in VPN-verbinding → Clientinstellingen de AD DNS-server (of het LAN-IP van de firewall als doorsturen is ingeschakeld) toe als Eerste DNS-server.

  • (Optioneel) Voeg een beleidsroute toe als DNS-query's via het VPN moeten worden geforceerd.

Controleer dit met: nslookup dc1.company.local.

Problemen oplossen & uw resultaat testen

Navigeer naar

Monitor -> Netwerkstatus -> Gebruikers aanmelden

Navigeer naar

Monitor -> VPN-monitor -> IPSec

Problemen oplossen

Navigeer naar de Web Console van de firewall of maak verbinding met de firewall via SSH en voer dit commando uit

debug domain-auth test profile-name [ad profielnaam] gebruikersnaam [gebruikersnaam] wachtwoord [wachtwoord]

Vervang de profielnaam door de Active Directory "AD Server Summary" naam en gebruik de gebruikersnaam en het wachtwoord van de domeinauthenticatie via MSCHAP.

Meer artikelen vindt u hier:

AD (active directory) gebruiker authenticeren controleren

Hoe toetreden tot een Active Directory Domein met USG/ATP/VPN

Hoe twee-factor authenticatie doen met Active Directory gebruikers

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 2 van 3
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.