VPN - настройка сервера Active Directory [AD] через VPN-туннель

Создан 14/03/2022 23:07 - Обновлено 11/09/2025 14:24

Serhii Boiarynov

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия в отношении точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

В этой статье представлен подробный обзор того, как настроить сервер Active Directory (AD) через туннель L2TP VPN с использованием метода аутентификации USG FLEX/ATP VPN. Кроме того, представленные здесь рекомендации применимы к VPN-конфигурациям IPsec IKEv2 и IKEv1.

VPN-туннели являются критически важным компонентом при создании сетей, которые по своей природе являются обширными, например глобальных корпоративных сетей или основных сайтов, связанных с филиалами.

Фундаментальной характеристикой корпоративных сетей является процесс аутентификации пользователей на сервере, что позволяет продемонстрировать надежность и получить доступ к внутренним ресурсам. Цель этого руководства - предоставить вам необходимые инструменты для настройки аутентификации на сервере аутентификации через VPN-туннель.

Два брандмауэра соединены через Site-to-Site VPN, и на главном сайте A есть RADIUS-сервер в локальной сети. На сайте B может быть несколько клиентов, которые хотят аутентифицироваться на сервере RADIUS на сайте A. На сайте B мы находим либо локальных клиентов, которым нужно подключение к серверу RADIUS на сайте A, либо клиентов L2TP VPN, которым требуется аутентификация на RADIUS сайта A.

Здесь мы должны сделать важное различие между VPN-клиентом и LAN-клиентом на сайте B - в то время как клиент с сайта B, скорее всего, сможет без проблем аутентифицироваться в RADIUS сайта A, L2TP VPN-клиенты, скорее всего, не смогут этого сделать. Почему так?

VPN от сайта к сайту настраиваются с помощью локальной политики и удаленной политики. Эти политики определяют, какие сетевые маршруты создаются при создании туннеля, то есть каким сетям разрешено "разговаривать друг с другом". В данном случае мы предполагаем, что маршрутизация между 192.168.10.0/24 и 192.168.20.0/24 будет нормальной. L2TP VPN, которая по своей сути должна быть другой подсетью, чем локальные подсети на сайте B, не может взаимодействовать с сайтом A, поскольку он не включен в политику Local или Remote.

То есть, если мы не добавим дополнительные маршруты политики. С помощью таких маршрутов мы можем заставить любую попытку аутентификации, исходящую из L2TP VPN, направить в пункт назначения на сайте A. Сначала нам нужно определить, что аутентификация на сайте B будет направлена в RADIUS сайта A.

Настройте сервер AAA

Конфигурация > Объект > Сервер AAA

и настройте объект аутентификации на IP 192.168.10.100:

Проверка аутентификации AD

Конфигурация -> Объект -> Сервер AAA

Обязательно сохраните конфигурацию перед проверкой.

Настройте аутентификацию. Method

Этот объект AAA Server-Object теперь должен быть объединен с методом аутентификации, который, в свою очередь, будет установлен в качестве основной аутентификации для нашей VPN. Сначала перейдите в меню

Конфигурация > Объект > Auth. Method

и добавьте только что созданный AAA-сервер в стандартный Auth. Method:

Заставьте брандмауэр присоединиться к серверу AD

Затем USG необходимо присоединиться к домену AD с доменным именем сервера AD

Перейдите в Конфигурация -> Система -> Имя хоста

Realm - это доменное имя сервера объявлений, а NetBIOS имя - это домен.

Чтобы направить брандмауэр на сервер AD, нам нужно создать DNS-запись для успешного поиска сервера AD по IP-адресу сервера AD:

Настройка VPN

Через IKEv2

Конфигурация -> VPN -> IPSec VPN -> VPN Gateway - Добавить/редактировать

Нажмите "Показать дополнительные параметры", включите "Расширенный протокол аутентификации" и выберите режим сервера.

Затем выберите метод AAA (Auth. Method) и разрешенного пользователя.

Через L2TP

После этого мы выбираем этот Auth. Method для использования через L2TP VPN через

Конфигурация > VPN > L2TP через IPSec VPN

(Обратите внимание, что пул IP-адресов не соответствует топологии, нарисованной выше, так как это просто пример настройки L2TP-туннеля)

Теперь, когда L2TP VPN настроен с аутентификацией, которая должна направляться к RADIUS на сайте A, нам нужно создать маршруты политики:

Первый маршрут политики будет направлять все, что приходит из любого источника, который хочет двигаться к IP-адресу 192.168.10.100, в туннель к сайту A - это означает также попытку аутентификации от нашей L2TP VPN. Второй маршрут политики будет направлять все, что предназначено для подсети L2TP VPN, обратно в L2TP VPN.

На другом сайте нам теперь нужно просто дополнить это соответствующим правилом, которое будет выталкивать все из подсетей, отличающихся от LAN сайта B (например, попытки нашей подсети L2TP VPN), обратно в туннель к сайту B, запуская наш маршрут политики, который мы установили на этом сайте.

Следуя этому простому руководству, вы теперь сможете аутентифицировать своих клиентов в RADIUS на другом удаленном VPN-месте.

Настройка переадресации DNS для домена AD (рекомендуется)

Чтобы обеспечить правильное разрешение имен AD, настройте переадресацию DNS в дополнение к локальной записи DNS:

Перейдите в раздел Configuration → System → DNS → Domain Zone Forwarder, добавьте свой домен AD (например, company.local) и установите DNS-сервер AD в качестве переадресатора.
В разделе VPN Connection → Client Settings назначьте DNS-сервер AD (или IP-адрес локальной сети брандмауэра, если переадресация включена) в качестве первого DNS-сервера.
(Необязательно) Добавьте маршрут политики, если DNS-запросы должны принудительно проходить через VPN.

Проверьте с помощью команды: nslookup dc1.company.local.

Устранение неполадок и проверка результатов

Перейдите в

Монитор -> Состояние сети -> Вход пользователей

Перейдите в

Монитор -> Монитор VPN -> IPSec

Устранение неполадок

Перейдите в веб-консоль брандмауэра или подключитесь к нему по SSH и выполните следующую команду

debug domain-auth test profile-name [имя рекламного профиля] имя пользователя [имя пользователя] пароль [пароль]

Замените ad profile name на Active Directory "AD Server Summary" Name и используйте имя пользователя и пароль для аутентификации домена через MSCHAP.

Другие статьи можно найти здесь:

Проверка подлинности пользователя AD (active directory)

Как подключиться к домену Active Directory с помощью USG/ATP/VPN

Как выполнить двухфакторную аутентификацию пользователей Active Directory

Статьи в этом разделе

Больше