Как настроить двухфакторную аутентификацию с помощью Google Authenticator для удаленного доступа IKEv2 VPN и SSL VPN на Zyxel H-Series

В этой статье представлено понятное пошаговое руководство по настройке VPN удаленного доступа IKEv2 с двухфакторной аутентификацией на устройствах Zyxel серии H. Вы узнаете, как настроить безопасную аутентификацию пользователей, интегрировать Google Authenticator для 2FA и настроить необходимые параметры VPN, IP и туннеля, чтобы обеспечить надежный и защищенный удаленный доступ к вашей сети.

🔹 Примечание: на устройствах Zyxel H-Series под управлением uOS процесс авторизации 2FA выполняется после установления VPN-туннеля. Доступ к странице аутентификации осуществляется через VPN-туннель, а не напрямую с интерфейса WAN.

Google Authenticator считается одним из самых надежных методов двухфакторной аутентификации, поскольку он:

• генерирует уникальный код подтверждения каждые 30 секунд, сводя к минимуму риск повторного использования или компрометации;
• Работает без подключения к Интернету, обеспечивая доступ в автономных средах.
• Является бесплатным, легким и простым в развертывании на нескольких платформах.

Следуя этому руководству, администраторы узнают, как:

• Включать и настраивать двухфакторную аутентификацию на шлюзах Zyxel серии H.
• Связывать учетные записи пользователей VPN с Google Authenticator.
• Реализовывать безопасный вход для подключений Remote Access VPN (IKEv2) и SSL VPN.

Сочетание VPN-шифрования и 2FA на основе TOTP обеспечивает повышенный уровень безопасности, гарантируя, что только аутентифицированные пользователи могут устанавливать удаленные подключения к корпоративной сети.

Примечание: все сетевые IP-адреса и маски подсети используются в данной статье в качестве примеров. Замените их своими фактическими сетевыми IP-адресами и подсетью. 

• SecuExtender VPN Client: версия 7.7.50.008 или выше.
• Локальная учетная запись пользователя: в настоящее время 2FA поддерживается только для локальных пользователей.

Включение Google Authenticator для пользователя

1. Перейдите в раздел «Пользователи и аутентификация» > «Пользователи/группы».

2. Выберите нужную локальную учетную запись пользователя.

3. Включите двухфакторную аутентификацию (2FA) и выберите Google Authenticator.

Настройка Google Authenticator

1. Загрузите и установите Google Authenticator на свое мобильное устройство.

2. Откройте приложение Google Authenticator и отсканируйте QR-код, отображаемый в веб-интерфейсе.

1. Введите код подтверждения, сгенерированный приложением, в шаге 3 веб-интерфейса.

2. Нажмите «Проверить код» и «Готово».

Настройка срока действия и типов VPN-сервисов

1. Включите двухфакторную аутентификацию (2FA) для доступа к VPN.

2. Настройте время действия, которое определяет ограничение по времени для ввода кода 2FA (по умолчанию: 3 минуты).

3. Выберите типы VPN-сервисов, для которых требуется 2FA, например VPN удаленного доступа или SSL VPN.

4. После установления VPN-туннеля пользователи должны ввести код токена через веб-интерфейс, чтобы завершить аутентификацию.

VPN удаленного доступа (IKEv2)

1. Откройте туннель удаленного доступа VPN (IKEv2) с помощью клиента SecuExtender VPN.

2. При появлении запроса введите код подтверждения, сгенерированный Google Authenticator, или используйте резервный код.

3. Войдите в систему, используя свое имя пользователя, пароль и код токена, чтобы завершить аутентификацию.

SSL VPN

1. Откройте туннель SSL VPN с помощью клиента SecuExtender VPN.

2. При появлении запроса введите код подтверждения, сгенерированный Google Authenticator, или используйте резервный код.

3. Войдите в систему, используя свое имя пользователя, пароль и код токена, чтобы завершить аутентификацию.