Туннель VPN является ключевым фактором при создании сетей, которые по своей природе являются экспансивными, например, глобальные корпоративные сети, основные сайты, связанные с дочерними компаниями и т. д.
Еще одним важным атрибутом корпоративных сетей является характер аутентификации себя на сервере, демонстрирующий вашу надежность и, следовательно, предоставление доступа к внутренним ресурсам.
После пандемии коронавируса, начавшейся в 2019 году, спрос на сети, сочетающие в себе оба этих атрибута, резко вырос, будь то за счет увеличения количества рабочих мест в домашнем офисе или за счет тесного соединения удаленных сайтов друг с другом для снижения личных затрат. контакт между людьми. В этом руководстве мы хотим предоставить вам подручные средства для настройки аутентификации на сервере аутентификации через VPN-туннель.
Топология может выглядеть примерно так:
Два межсетевых экрана подключены через Site-to-Site VPN, а на главном сайте A есть RADIUS-сервер в локальной сети. На сайте B может быть несколько клиентов, которые хотят пройти аутентификацию на сервере RADIUS на сайте A. На сайте B мы находим либо локальных клиентов, которым требуется подключение к серверу RADIUS на сайте A, либо клиентов L2TP VPN, которым требуется аутентификация на сайте. РАДИУС А.
Здесь мы должны провести важное различие между VPN-клиентом и клиентом локальной сети на сайте B — хотя вполне вероятно, что клиент с сайта B может пройти аутентификацию без каких-либо проблем по отношению к RADIUS сайта A, VPN-клиенты L2TP наиболее скорее всего не сможет этого сделать. Почему это?
Виртуальные частные сети Site-to-Site настраиваются с помощью локальной политики и удаленной политики. Эти политики определяют, какие сетевые маршруты создаются при создании туннеля, то есть каким сетям разрешено «разговаривать друг с другом». В этом случае мы предполагаем, что маршрутизация между 192.168.10.0/24 и 192.168.20.0/24 в порядке. L2TP VPN, которая по своей сути должна быть подсетью, отличной от локальных подсетей на сайте B, не может обмениваться данными с сайтом A, поскольку она не включена в локальную или удаленную политику.
То есть, если мы не добавим дополнительных политик-маршрутов . С помощью такого рода маршрутов мы можем заставить любую попытку аутентификации, идущую от L2TP VPN, направляться к месту назначения на сайте A. Для этого мы сначала должны определить, что аутентификация на сайте B направляется к RADIUS сайта A. Для этого переходим к
Configuration > Object > AAA Server
и настройте объект аутентификации на IP 192.168.10.100:
Этот сервер-объект AAA теперь должен быть объединен с методом аутентификации, который, в свою очередь, установлен в качестве основной аутентификации для нашей VPN. Сначала перейдите в меню
Configuration > Object > Auth. Method
и добавьте вновь созданный сервер AAA в Auth. Метод:
После этого выбираем этот Auth. Метод, который будет использоваться через L2TP VPN через
Configuration > VPN > L2TP over IPSec VPN
(Обратите внимание, что пул IP-адресов не соответствует нарисованной выше топологии, так как это всего лишь пример настройки L2TP-туннеля)
Теперь, когда L2TP VPN настроен с аутентификацией, которая должна перенаправляться к RADIUS на сайте A, мы должны создать маршруты политики:
Первый маршрут политики будет подталкивать все, что приходит из любого источника, который хочет перейти к IP-адресу 192.168.10.100, в туннель к сайту A, что также означает попытку аутентификации из нашей L2TP VPN. Второй маршрут политики отправляет все, что предназначено для подсети L2TP VPN, обратно в L2TP VPN.
На другом сайте нам теперь просто нужно дополнить это соответствующим правилом, которое будет толкать все из подсетей, отличных от локальной сети сайта B (например, попытку нашей подсети L2TP VPN), обратно в туннель к сайту B, запуская наш маршрут политики, который мы установили на этом сайте.
Следуя этому простому руководству, вы теперь сможете аутентифицировать своих клиентов по отношению к RADIUS в другом удаленном VPN-местоположении.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ:
Уважаемый клиент, имейте в виду, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия в точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь: Оригинальная версия
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.