VPN — skonfiguruj uwierzytelnianie użytkownika za pośrednictwem zdalnej witryny VPN

Utworzono - Zaktualizowano
Serhii Boiarynov
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna uwaga:
Drogi Kliencie, pamiętaj, że używamy tłumaczenia maszynowego , aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być dokładnie przetłumaczone. Jeśli są pytania lub rozbieżności dotyczące dokładności informacji w przetłumaczonej wersji, przejrzyj oryginalny artykuł tutaj: Wersja oryginalna

W tym artykule dowiesz się, jak skonfigurować uwierzytelnianie użytkownika za pośrednictwem sieci VPN typu site-to-site IPSec przy użyciu usługi RADIUS (lub usługi Active Directory [AD]). Powoduje to, że klienci w lokacji A uwierzytelniają się w celu uzyskania dostępu do sieci przy użyciu serwera uwierzytelniania w lokacji B.

 

Spis treści

1) Skonfiguruj witrynę A — USG Firewall

1.1 Konfiguracja sieci Web Portal

1.2 Skonfiguruj grupę RADIUS

1.3 Ustaw serwer RADIUS

1.4 Skonfiguruj trasę statyczną, aby klienci mogli dotrzeć do serwera RADIUS

2) Skonfiguruj witrynę B — USG Firewall

2.1 Skonfiguruj zaufanych klientów w zdalnej podsieci

2.2 Skonfiguruj trasę statyczną, aby klienci mogli dotrzeć do serwera RADIUS

3) Przetestuj wynik

 

 

Scenariusz:

Mamy dwa USG połączone przez tunel VPN — wiemy, że chcemy, aby klienci w witrynie A (USG60) uwierzytelniali się w zdalnej witrynie B (USG40).
Topologia.png

 

1) Skonfiguruj witrynę A — USG Firewall

1.1 Konfiguracja sieci Web Portal

Ustaw Web Portal, którego klienci LAN2 muszą uwierzytelniać przez Web Portal WEB_AUTH_USG60.JPG

1.2 Skonfiguruj grupę RADIUS

Ustaw Konfiguracja > Obiekt > Uwierz. Metoda „grupowania RADIUS”, ponieważ żądanie dostępu do portalu internetowego klienta odnosi się wewnętrznie do portu RADIUS 1812

AUTHMETH_USG60.JPG

1.3 Ustaw serwer RADIUS

Ustaw w Configuration > Object > AAA Server > RADIUS serwer Radius na lokalną bramę Remote USGs i ustaw Secret (ważne dla następnych kroków na USG40).

RADIUS_USG60.JPG

1.4 Skonfiguruj trasę statyczną, aby klienci mogli dotrzeć do serwera RADIUS

W obszarze Konfiguracja > Sieć > Routing > Trasa statyczna ustaw trasę statyczną, która kieruje ruch do adresu IP serwera RADIUS (adres IP zdalnej bramy lokalnej USG) przez interfejs bramy lokalnej. To zapewni, że żądanie twojego klienta, które przez wcześniej ustawiony obiekt AAA Server dociera teraz do 192.168.1.1, zostanie poprawnie przekazane.

STATIC_USG60.JPG

 

2) Skonfiguruj witrynę B — USG Firewall

2.1 Skonfiguruj zaufanych klientów w zdalnej podsieci

Ustaw w obszarze Konfiguracja > System > Autoryzacja. Serwer zaufanego klienta za pomocą teraz zdalnego (USG60 !) lokalnego interfejsu bramy. Adres IP serwera jest teraz zdalnym adresem IP bramy, w tym przypadku 192.168.11.1 , użyj klucza tajnego, który wcześniej ustawiłeś w ustawieniach serwera AAA w kroku 3.

AUTH_SERV_USG40.JPG

2.2 Skonfiguruj trasę statyczną, aby klienci mogli dotrzeć do serwera RADIUS

W sekcji Konfiguracja > Sieć > Routing > Trasa statyczna dodaj trasę statyczną z USG40, która kieruje ruch do zdalnej bramy lokalnej USG60 (192.168.11.1) przez bramę lokalną USG40 192.168.1.1. W ten sposób upewnisz się, że komunikat akceptacji uwierzytelnienia RADIUS wróci do USG60, gdzie USG60 uniemożliwia klientowi dostęp do Internetu, dopóki USG40 nie zaakceptuje żądania.

STATIC_USG40.JPG



 3) Przetestuj wynik


USER_LOGIN.PNG

USER_SUCCESS.PNG



KB-00192

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 2 z 2
Udostępnij