VPN - Configurați un server Active Directory [AD] prin intermediul unui tunel VPN

Creat 14 martie 2022, 23:07 - Actualizat 11 septembrie 2025, 14:24

Serhii Boiarynov

Aveți mai multe întrebări? Trimitere solicitare

Notificare importantă:
Stimate client, vă rugăm să fiți conștient de faptul că folosim traducere automată pentru a furniza articole în limba dvs. locală. Este posibil ca nu toate textele să fie traduse cu acuratețe. Dacă există întrebări sau discrepanțe privind acuratețea informațiilor din versiunea tradusă, vă rugăm să consultați articolul original aici: Versiunea originală

Acest articol oferă o prezentare detaliată a modului de configurare a unui server Active Directory (AD) prin intermediul unui tunel VPN L2TP utilizând metoda de autentificare USG FLEX/ATP VPN. În plus, îndrumările prezentate aici sunt aplicabile configurațiilor VPN IPsec IKEv2 și IKEv1.

Tunelurile VPN sunt o componentă esențială în stabilirea rețelelor care sunt în mod inerent expansive, cum ar fi rețelele corporative globale sau site-urile principale interconectate cu locațiile filialelor.

O caracteristică fundamentală a rețelelor corporative este procesul de autentificare a utilizatorilor la un server, demonstrând astfel fiabilitatea și obținerea accesului la resursele interne. Acest tutorial urmărește să vă ofere instrumentele necesare pentru a configura autentificarea la un server de autentificare prin intermediul unui tunel VPN.

Două firewall-uri sunt conectate prin VPN Site-to-Site, iar pe site-ul principal A există un server RADIUS în LAN. Pe site-ul B, pot exista mai mulți clienți care doresc să se autentifice la serverul RADIUS de pe site-ul A. Pe site-ul B, găsim fie clienți locali care au nevoie de conexiune la serverul RADIUS de pe site-ul A, fie clienți VPN L2TP care au nevoie de autentificare la serverul RADIUS de pe site-ul A.

Aici, trebuie să facem o diferențiere importantă între clientul VPN și clientul LAN de pe site-ul B - în timp ce este foarte probabil ca clientul de pe site-ul B să se poată autentifica fără nicio problemă la RADIUS de pe site-ul A, clienții VPN L2TP nu vor putea face acest lucru. De ce se întâmplă acest lucru?

VPN-urile Site-to-Site sunt configurate cu o politică locală și o politică la distanță. Aceste politici determină rutele de rețea care sunt create la crearea tunelului, adică ce rețele au voie să "vorbească între ele". În acest caz, presupunem că rutarea între 192.168.10.0/24 și 192.168.20.0/24 este în regulă. VPN-ul L2TP, care în mod inerent trebuie să fie o subrețea diferită de subrețele locale de pe site-ul B, nu are voie să comunice către site-ul A deoarece nu este inclus în politica locală sau la distanță.

Adică, dacă nu adăugăm rute de politică suplimentare. Cu ajutorul acestui tip de rute, putem forța orice încercare de autentificare care vine de la VPN-ul L2TP către o destinație de pe site-ul A. Mai întâi, trebuie să definim că autentificările de pe site-ul B sunt direcționate către RADIUS-ul site-ului A.

Configurați serverul AAA

Configurare > Obiect > Server AAA

și configurați un obiect de autentificare către IP 192.168.10.100:

Testați autentificarea AD

Configuration -> Object -> AAA Server

Asigurați-vă că salvați configurația înainte de a testa validarea configurației.

Configurați Auth. Metodă

Acest AAA Server-Object trebuie acum combinat cu o metodă de autentificare, care la rândul său este setată ca autentificare principală pentru VPN-ul nostru. Mai întâi, navigați la meniul

Configuration > Object > Auth. Metodă

și adăugați serverul AAA nou creat în metoda implicită Auth. Method:

Faceți ca Firewall-ul să se alăture serverului AD

Apoi, USG trebuie să se alăture domeniului AD cu numele de domeniu al serverului AD

Navigați la Configuration -> System -> Hostname

Realm este numele de domeniu al serverului AD și numele NetBIOS este domeniul.

Pentru a direcționa firewall-ul către serverul AD, trebuie să creăm o înregistrare DNS pentru a găsi cu succes serverul AD prin intermediul adresei IP a serverului AD:

Configurați VPN-ul

Prin IKEv2

Configuration -> VPN -> IPSec VPN -> VPN Gateway - Add/Edit

Faceți clic pe "Show Advanced Settings" și activați "Extended Authentication Protocol" și selectați Server mode.

Apoi selectați metoda AAA (Auth. Method) și utilizatorul permis (Allowed user)

Via L2TP

După aceea, selectăm această Auth. Method pentru a fi utilizată prin VPN L2TP prin

Configuration > VPN > L2TP over IPSec VPN

(Vă rugăm să rețineți că grupul de adrese IP nu corespunde topologiei desenate mai sus, deoarece acesta este doar un exemplu privind modul de configurare a tunelului L2TP)

Acum că VPN-ul L2TP este configurat cu o autentificare care ar trebui transmisă către RADIUS pe site-ul A, trebuie să creăm rute de politică:

Prima rută de politică va împinge tot ceea ce vine de la orice sursă, care dorește să se îndrepte spre IP-ul 192.168.10.100, în tunelul către site-ul A - ceea ce înseamnă, de asemenea, încercarea de autentificare din VPN-ul nostru L2TP. A doua rută de politică va împinge tot ceea ce este destinat subrețelei VPN L2TP înapoi în VPN L2TP.

Pe celălalt site, trebuie pur și simplu să completăm acest lucru printr-o regulă corespunzătoare, care va împinge tot ceea ce provine din subrețele diferite de LAN-ul site-ului B (cum ar fi încercarea subrețelei noastre VPN L2TP) înapoi în tunelul către site-ul B, declanșând ruta noastră de politică pe care am stabilit-o pe acel site.

Urmând acest ghid simplu, ar trebui să fiți acum în măsură să vă autentificați clienții către un RADIUS dintr-o altă locație VPN îndepărtată.

Configurați redirecționarea DNS pentru domeniul AD (recomandat)

Pentru a asigura rezoluția corectă a numelui AD, configurați redirecționarea DNS în plus față de intrarea DNS locală:

Mergeți la Configuration → System → DNS → Domain Zone Forwarder, adăugați domeniul AD (de exemplu, company.local) și setați serverul DNS AD ca forwarder.
În Conexiune VPN → Setări client, atribuiți serverul DNS AD (sau IP-ul LAN al firewall-ului dacă redirecționarea este activată) ca Primul server DNS.
(Opțional) Adăugați o rută de politică dacă interogările DNS trebuie să fie forțate prin VPN.

Verificați cu: nslookup dc1.company.local.

Soluționarea problemelor și testarea rezultatelor

Navigați la

Monitor -> Stare rețea -> Autentificare utilizatori

Navigați la

Monitor -> VPN Monitor -> IPSec

Rezolvarea problemelor

Navigați la consola web a firewall-ului sau conectați-vă la firewall prin SSH și executați această comandă

debug domain-auth test profile-name [ad profile name] username [username] password [password]

Înlocuiți numele profilului ad cu numele Active Directory "AD Server Summary" și utilizați numele de utilizator și parola de autentificare a domeniului prin MSCHAP.

Mai multe articole găsiți aici:

Verificare autentificare utilizator AD (Active Directory)

Cum să vă alăturați unui domeniu Active Directory cu USG/ATP/VPN

Cum să efectuați autentificarea cu doi factori cu utilizatorii Active Directory

Articole în această secțiune

Vizualizați mai mult

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.