Notă importantă: |
Acest articol vă va arăta cum să configurați autentificarea utilizatorului prin VPN IPSec site-to-site folosind RADIUS (sau Active Directory [AD]). Acest lucru face ca clienții de pe Site-ul A să se autentifice pentru acces la rețea folosind serverul de autentificare al Site-ului B.
Cuprins
1) Configurați site-ul A - USG Firewall
1.1 Configurați Web Portal
1.2 Configurați grupul RADIUS
1.3 Setați serverul RADIUS
1.4 Configurați o rută statică pentru ca clienții să ajungă la serverul RADIUS
2) Configurați site-ul B - USG Firewall
2.1 Configurați clienți de încredere pe subrețea la distanță
2.2 Configurați o rută statică pentru ca clienții să ajungă la serverul RADIUS
3) Testați rezultatul
Scenariu:
Avem două USG-uri conectate prin VPN Tunnel - știm că dorim ca clienții de pe Site-ul A (USG60) să se autentifice pe site-ul B la distanță (USG40).
1) Configurați site-ul A - USG Firewall
1.1 Configurați Web Portal
Setați Portal Web pe care clienții LAN2 trebuie să-l autentifice prin Web Portal
1.2 Configurați grupul RADIUS
Setați Configurare > Obiect > Autentificare. Metoda de „grupare RADIUS”, deoarece cererea de acces la portalul web al clienților se referă în interior la portul RADIUS 1812
1.3 Setați serverul RADIUS
Setați sub Configurare > Obiect > Server AAA > RADIUS Serverul Radius la gateway-ul local Remote USG și setați un Secret (important pentru pașii următori pe USG40).
1.4 Configurați o rută statică pentru ca clienții să ajungă la serverul RADIUS
Sub Configurare > Rețea > Rutare > Rută statică, setați o rută statică care împinge traficul către IP-ul serverului RADIUS (IP-ul gateway-ului local USG la distanță) prin interfața gateway-ului local. Acest lucru se va asigura că cererea clientului dvs., care de către fostul obiect Server AAA setat ajunge acum la 192.168.1.1, va fi redirecționată corespunzător.
2) Configurați site-ul B - USG Firewall
2.1 Configurați clienți de încredere pe subrețea la distanță
Setați în Configurare > Sistem > Autentificare. Serviți un client de încredere utilizând interfața gateway-ului local la distanță (USG60!) . IP-ul serverului este IP-ul gateway-ului de la distanță, în acest caz 192.168.11.1, utilizați secretul pe care l-ați setat anterior în setările serverului AAA la pasul 3.
2.2 Configurați o rută statică pentru ca clienții să ajungă la serverul RADIUS
Adăugați sub Configurație > Rețea > Rutare > Rută statică o rută statică de la USG40 care împinge traficul către gateway-ul local la distanță USG60 (192.168.11.1) prin gateway-ul local USG40 192.168.1.1. În acest fel, vă asigurați că mesajul de acceptare a autentificării RADIUS ajunge înapoi la USG60, unde USG60 împiedică clientul să acceseze internet până când USG40 acceptă cererea.
3) Testați rezultatul
KB-00192

Comentarii
0 comentariiVă rugăm să vă autentificați pentru a lăsa un comentariu.