Jak skonfigurować uwierzytelnianie dwuskładnikowe (2FA) za pomocą aplikacji Google Authenticator dla zdalnego dostępu IKEv2 VPN i SSL VPN w urządzeniach Zyxel serii H

W tym artykule przedstawiono jasny, szczegółowy przewodnik dotyczący konfiguracji zdalnego dostępu VPN IKEv2 z uwierzytelnianiem dwuskładnikowym na urządzeniach Zyxel serii H. Dowiesz się, jak skonfigurować bezpieczne uwierzytelnianie użytkowników, zintegrować Google Authenticator dla 2FA oraz skonfigurować niezbędne ustawienia VPN, IP i tunelu, aby zapewnić niezawodny i chroniony zdalny dostęp do sieci.

🔹 Uwaga: W urządzeniach Zyxel serii H z systemem uOS proces autoryzacji 2FA jest wykonywany po ustanowieniu tunelu VPN. Dostęp do strony uwierzytelniania odbywa się poprzez tunel VPN, a nie bezpośrednio z interfejsu WAN.

Google Authenticator jest uważany za jedną z najbardziej niezawodnych metod 2FA, ponieważ:

• Generuje unikalny kod weryfikacyjny co 30 sekund, minimalizując ryzyko ponownego użycia lub naruszenia bezpieczeństwa.
• Działa bez połączenia z Internetem, zapewniając dostęp w środowiskach offline.
• Jest bezpłatna, lekka i łatwa do wdrożenia na wielu platformach.

Postępując zgodnie z tym przewodnikiem, administratorzy dowiedzą się, jak:

• Włączyć i skonfigurować 2FA w bramach Zyxel serii H.
• Sparować konta użytkowników VPN z Google Authenticator.
• Wdrożyć bezpieczne logowanie dla połączeń Remote Access VPN (IKEv2) i SSL VPN.

Połączenie szyfrowania VPN i uwierzytelniania dwuskładnikowego opartego na TOTP zapewnia dodatkową warstwę bezpieczeństwa, gwarantując, że tylko uwierzytelnieni użytkownicy mogą nawiązywać zdalne połączenia z siecią firmową.

Uwaga: Wszystkie adresy IP sieci i maski podsieci są użyte w tym artykule jako przykłady. Należy je zastąpić rzeczywistymi adresami IP sieci i podsiecią. 

• Klient VPN SecuExtender: wersja 7.7.50.008 lub nowsza.
• Lokalne konto użytkownika: 2FA jest obecnie obsługiwane tylko dla użytkowników lokalnych.

Włącz Google Authenticator dla użytkownika

1. Przejdź do sekcji Użytkownicy i uwierzytelnianie > Użytkownicy/grupy.

2. Wybierz wymagane lokalne konto użytkownika.

3. Włącz uwierzytelnianie dwuskładnikowe (2FA) i wybierz Google Authenticator.

Skonfiguruj Google Authenticator

1. Pobierz i zainstaluj Google Authenticator na swoim urządzeniu mobilnym.

2. Otwórz aplikację Google Authenticator i zeskanuj kod QR wyświetlony w interfejsie graficznym.

1. Wprowadź kod weryfikacyjny wygenerowany przez aplikację w kroku 3 interfejsu GUI.

2. Kliknij opcję „Weryfikuj kod” i „Zakończ”.

Skonfiguruj czas ważności i typy usług VPN

1. Włącz uwierzytelnianie dwuskładnikowe (2FA) dla dostępu do VPN.

2. Skonfiguruj czas ważności, który określa limit czasu na wprowadzenie kodu 2FA (domyślnie: 3 minuty).

3. Wybierz typy usług VPN, które wymagają 2FA, takie jak zdalny dostęp VPN lub SSL VPN.

4. Po ustanowieniu tunelu VPN użytkownicy muszą wprowadzić kod tokenu za pośrednictwem graficznego interfejsu użytkownika, aby zakończyć uwierzytelnianie.

VPN zdalnego dostępu (IKEv2)

1. Otwórz tunel zdalnego dostępu VPN (IKEv2) za pomocą klienta VPN SecuExtender.

2. Po wyświetleniu monitu wprowadź kod weryfikacyjny wygenerowany przez Google Authenticator lub użyj kodu zapasowego.

3. Zaloguj się przy użyciu nazwy użytkownika, hasła i kodu tokenu, aby zakończyć uwierzytelnianie.

SSL VPN

1. Otwórz tunel SSL VPN za pomocą klienta VPN SecuExtender.

2. Po wyświetleniu monitu wprowadź kod weryfikacyjny wygenerowany przez Google Authenticator lub użyj kodu zapasowego.

3. Zaloguj się przy użyciu nazwy użytkownika, hasła i kodu tokenu, aby zakończyć uwierzytelnianie.