USG/ATP/VPN - VPN 2FA med SMS (eCall)

Skapat - Uppdaterad
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Viktigt meddelande:
Kära kund, vi ber dig vara medveten om att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. Det är inte säkert att all text översätts korrekt. Om det finns frågor eller avvikelser om informationens riktighet i den översatta versionen, vänligen granska den ursprungliga artikeln här:Originalversion

Zyxels brandväggsserie erbjuder möjligheten till 2FA-autentisering via SMS för VPN och admin-åtkomst. Lokala brandväggsanvändare kan användas, liksom AD- eller Radius-användare.

1. PORTAL eCall

2. Server för meddelanden

3. Tvåfaktorsautentisering

4. Säkerhetspolicy

5. HTTPS-inställningar

6. VPN-gateway

1. ECALL-PORTAL

Ett eCall-konto kan öppnas på https://portal.ecall-messaging.com/ecall/. Öppnandet av kontot sker på kort tid.

När kontot har öppnats kan brandväggens avsändaradress anges under Gränssnitt > E-postgränssnitt via knappen "Lägg till adress". Dessutom måste alternativet "Jag tillåter att meddelanden skickas via e-post via mitt eCall-konto." aktiveras.

Bara så att du vet, inga ytterligare inställningar krävs.
mceclip0.png

Server för meddelanden

Konfiguration > System > Meddelande

  • E-postserver

mceclip1.png

Konfigurera först en e-postserver för att skicka e-post. Vanligtvis används port 587 för att skicka samt TLS-säkerhet och STARTLS om det behövs. Om e-postservern är korrekt konfigurerad kan till exempel kontrolleras genom att skicka en daglig rapport.

  • SMS

Följande inställningar kan användas för eCall:

Aktivera SMS
Aktivera
Standard landskod för telefonnummer: 41 för Schweiz
Leverantörens domän: sms.ecall.ch
Automatiskt tillägg till "e-post till" aktivera
Ämne för mail: +$mobil_nummer$
Mail från: E-postadressen registreras i eCall-portalen. Den ska helst vara identisk med e-postadressen i inställningarna för e-postservern.
E-post till: +$mobil_nummer$

Standard landskod för telefonnummer" kan också vara "0". Användarens telefonnummer måste då definieras med prefixet "+xx", t.ex. +41761234567.

  • Inställningar för användare

Konfiguration > Objekt > Användare/Grupp > Användare

Ett mobilnummer i formatet 0761234567 läggs till för användaren.

mceclip0.png

Dessutom är 2FA aktiverat.

mceclip1.png

Tvåfaktorsautentisering

Konfiguration > Objekt > Auth. Metod > Tvåfaktorsautentisering > VPN Access

mceclip2.png

Funktionen måste vara påslagen som ett grundläggande krav. Därefter bestäms för vem och vilken anslutning 2FA ska vara aktiv. "Authorized Link URL" är den adress som definieras i SMS meddelandet. Åtkomst från utsidan måste vara möjlig via den angivna porten från utsidan. För eCall måste alternativet "Använd flerspråkig fil" användas.

Mallfilen kan hämtas och anpassas via nedladdningslänken.
Filen kan sedan laddas tillbaka till brandväggen.

Filen måste innehålla platshållaren .

Följande platshållare kan användas:

Auktoriseringslänk URL-adress

Användare som har registrerat sig för 2FA

Brandväggens namn (Konfiguration > System > Värdnamn)

Giltig tid > Tid inom vilken klienten kan autentisera sig.

Säkerhetspolicy

Konfiguration > Säkerhetspolicy > Policykontroll

En säkerhetspolicy måste skapas för autentisering med 2FA

mceclip3.png

Från: wan

Till: ZyWALL

Källa: kan begränsas vid behov, t.ex. till Schweiz

Tjänst: Wiz_2FA (porten justeras dynamiskt när den ändras i 2FA-menyn))

Åtgärd: tillåt

HTTPS inställningar

Konfiguration > System > WWW > HTTPS > Kontroll av användartjänst

För "User Service Control" måste åtkomst från zonen "WAN" eller "ALL" tillåtas.

mceclip4.png

VPN-gateway

Konfiguration > VPN > IPSec VPN > VPN-gateway

För IPSec VPN (L2TP/IKEv1/IKEv2) måste 2FA vara aktiverat i VPN-gatewayen.
mceclip5.png

Artiklar i detta avsnitt

Se fler
Var denna artikel till hjälp?
0 av 0 tyckte detta var till hjälp
Dela

Kommentarer

0 kommentarer

logga in för att lämna en kommentar.