Задача:
Используются два USG и между ними настроен VPN туннель. Необходимо, чтобы клиенты на стороне A (USG60) проходили аутентификацию на удаленной стороне B (USG40).
Настройка на стороне USG A:
Шаг 1:
Настройте веб-портал, чтобы клиенты из подсети LAN2 проходили аутентификацию.
Шаг 2:
Поскольку клиентские (локальные) запросы доступа на веб-портал используют порт "RADIUS" 1812, поменяйте метод аутентификации в Configuration>Object>Auth. Method на "group RADIUS".
Шаг 3:
Перейдите в Configuration>Object>AAA Server>RADIUS и поменяйте адрес Radius-сервера на локальный адрес шлюза удаленного USG и установите секретный ключ.
Шаг 4:
В разделе Configuration > Network > Routing > Static Route, создайте статический маршрут, который будет направлять трафик на IP-адрес RADIUS-сервера (IP-адрес удаленного шлюза USG) через интерфейс локального шлюза.
Настройка на стороне USG B:
Шаг 5:
Перейдите в Configuration > System > Auth. Server и добавьте клиента (во вкладке Trusted Client). При создании клиента, в поле IP address, укажите локальный IP адрес шлюза удалённой стороны (USG60). IP-адрес сервера теперь является IP-адресом удаленного шлюза, в данном случае - 192.168.11.1. Укажите секретный ключ, который был ранее установлен в настройках AAA-сервера в шаге 3.
Шаг 6:
Добавьте статический маршрут в Configuration > Network > Routing > Static Route, который будет направлять трафик на удаленный шлюз USG60 (192.168.11.1) через локальный шлюз USG40 (192.168.1.1). Благодаря этой настройки, предложение аутентификации попадёт назад на USG60. USG60 будет удерживать клиента и разрешит ему выход в интернет, только тогда, когда USG40 примет запрос аутентификации.
Проверка настройки!