Dôležité upozornenie: |
Tento článok poskytuje podrobný prehľad o tom, ako nakonfigurovať server Active Directory (AD) prostredníctvom tunela L2TP VPN s použitím metódy overovania USG FLEX/ATP VPN. Okrem toho sa tu uvedené pokyny vzťahujú na konfigurácie IPsec IKEv2 a IKEv1 VPN.
Tunely VPN sú kritickou súčasťou pri vytváraní sietí, ktoré sú vo svojej podstate rozsiahle, ako sú globálne podnikové siete alebo hlavné lokality prepojené s dcérskymi lokalitami.
Základnou charakteristikou podnikových sietí je proces overovania používateľov na serveri, čím sa preukazuje dôveryhodnosť a získava sa prístup k interným zdrojom. Cieľom tohto učebného materiálu je poskytnúť vám potrebné nástroje na konfiguráciu overovania na overovacom serveri prostredníctvom tunela VPN.
Dva firewally sú prepojené prostredníctvom Site-to-Site VPN a na hlavnej lokalite A sa v rámci siete LAN nachádza server RADIUS. Na lokalite B môže byť niekoľko klientov, ktorí sa chcú overiť voči serveru RADIUS na lokalite A. Na lokalite B nájdeme buď miestnych klientov, ktorí potrebujú pripojenie k serveru RADIUS na lokalite A, alebo klientov L2TP VPN, ktorí vyžadujú overenie voči serveru RADIUS na lokalite A.
Tu musíme urobiť dôležitý rozdiel medzi klientom VPN a klientom LAN na lokalite B - zatiaľ čo je veľmi pravdepodobné, že klient z lokality B sa môže bez problémov overiť voči serveru RADIUS lokality A, klienti L2TP VPN to s najväčšou pravdepodobnosťou nebudú môcť urobiť. Prečo je to tak?
Siete VPN Site-to-Site sa nastavujú pomocou lokálnej politiky a vzdialenej politiky. Tieto politiky určujú, ktoré sieťové trasy sa vytvoria pri vytváraní tunela, čo znamená, ktoré siete môžu "navzájom komunikovať". V tomto prípade predpokladáme, že smerovanie medzi 192.168.10.0/24 a 192.168.20.0/24 je v poriadku. L2TP VPN, ktorá zo svojej podstaty musí byť inou podsieťou ako lokálne podsiete na lokalite B, nemá povolené komunikovať smerom k lokalite A, pretože nie je zahrnutá v rámci lokálnej alebo vzdialenej politiky.
To znamená, ak nepridáme ďalšie trasy politiky. Pomocou tohto druhu trás môžeme vynútiť akýkoľvek pokus o autentifikáciu prichádzajúci z L2TP VPN smerom k cieľu na lokalite A. Najprv musíme definovať, že autentifikácie na lokalite B sú smerované na RADIUS lokality A.
Konfigurácia servera AAA
Konfigurácia > Objekt > Server AAAa nastavte objekt overovania smerom k IP 192.168.10.100:
Otestujte overovanie AD
Konfigurácia -> Objekt -> Server AAAPred testovaním overenia konfigurácie nezabudnite uložiť konfiguráciu.
| Dobrý výsledok | Zlý výsledok |
Nakonfigurujte Auth. Method
Tento objekt AAA Server-Object je teraz potrebné skombinovať s metódou overovania, ktorá sa následne nastaví ako hlavné overovanie pre našu sieť VPN. Najprv prejdite do ponuky
Konfigurácia > Objekt > Auth. Method .a pridajte novovytvorený server AAA do predvoleného Auth. Method:
Pripojte bránu firewall k serveru AD
Potom sa USG musí pripojiť k doméne AD s názvom domény servera AD
Prejdite do časti Konfigurácia -> Systém -> Názov hostiteľa
Realm je názov domény servera ad a NetBIOS je názov domény.
Aby sme firewall nasmerovali na server AD, musíme vytvoriť záznam DNS, aby sme úspešne našli server AD prostredníctvom adresy IP servera AD:
Konfigurácia siete VPN
Prostredníctvom IKEv2
Konfigurácia -> VPN -> IPSec VPN -> Brána VPN - Pridať/upraviťKliknite na tlačidlo "Show Advanced Settings" (Zobraziť rozšírené nastavenia) a povoľte "Extended Authentication Protocol" (Rozšírený protokol overovania) a vyberte režim servera.
Potom vyberte metódu AAA (Auth. Method) a Allowed user
Cez L2TP
Potom vyberieme tento Auth. Method (Metóda), ktorá sa má používať prostredníctvom L2TP VPN cez
Konfigurácia > VPN > L2TP cez IPSec VPN(Všimnite si, prosím, že skupina adries IP nezodpovedá vyššie nakreslenej topológii, pretože ide len o príklad, ako nastaviť tunel L2TP)
Teraz, keď je L2TP VPN nastavená s overovaním, ktoré by malo smerovať do RADIUS na lokalite A, musíme vytvoriť trasy politiky:
Prvá trasa politiky bude posúvať všetko, čo prichádza z akéhokoľvek zdroja, ktorý chce smerovať k IP 192.168.10.100, do tunela na lokalitu A - teda aj pokus o overenie z našej L2TP VPN. Druhá trasa zásad bude posúvať všetko, čo je určené pre podsieť L2TP VPN, späť do L2TP VPN.
Na druhej lokalite to teraz musíme jednoducho doplniť prostredníctvom príslušného pravidla, ktoré bude posúvať čokoľvek z podsietí odlišných od lokálnej siete B (ako pokus našej podsiete L2TP VPN) späť do tunela smerom k lokalite B, čím sa spustí naša trasa politiky, ktorú sme nastavili na tejto lokalite.
Podľa tohto jednoduchého návodu by ste teraz mali byť schopní overovať svojich klientov smerom k RADIUS na inom vzdialenom mieste VPN.
Konfigurácia presmerovania DNS pre doménu AD (odporúčané)
Ak chcete zaistiť správne rozlíšenie názvu AD, nakonfigurujte okrem miestneho záznamu DNS aj presmerovanie DNS:
Prejdite do Konfigurácia → Systém → DNS → Domain Zone Forwarder, pridajte doménu AD (napr.
company.local) a nastavte server AD DNS ako forwarder.V časti VPN Connection → Client Settings (Pripojenie VPN → Nastavenia klienta) priraďte server AD DNS (alebo IP adresu LAN firewallu, ak je presmerovanie povolené) ako First DNS Server (Prvý server DNS).
(Voliteľné) Pridajte smerovanie podľa zásad, ak je potrebné vynútiť DNS dotazy cez VPN.
Overte pomocou: nslookup dc1.company.local.
Riešenie problémov a testovanie výsledku
Prejdite do
Monitor -> Stav siete -> Prihlásenie používateľovPrejdite na položku
Monitor -> Monitor VPN -> IPSecRiešenie problémov
Prejdite na webovú konzolu brány firewall alebo sa pripojte k bráne firewall cez SSH a spustite tento príkaz
debug domain-auth test profile-name [ad profile name] username [username] password [password]Nahraďte názov ad profile názvom Active Directory "AD Server Summary" a použite používateľské meno a heslo doménového overovania prostredníctvom MSCHAP.
Ďalšie články nájdete tu:
AD (active directory) overenie používateľa
Ako sa pripojiť k doméne Active Directory pomocou USG/ATP/VPN
Ako vykonať dvojfaktorovú autentifikáciu s používateľmi služby Active Directory
Príspevky
0 komentárovAk chcete napísať komentár, prihlásiť sa.