Viktigt meddelande: |
Den här artikeln visar hur du konfigurerar användarverifiering via IPSec site-to-site VPN med RADIUS (eller Active Directory [AD]). Detta får klienterna på plats A att autentisera sig för nätverksåtkomst med hjälp av webbplats B:s autentiseringsserver.
Innehållsförteckning
1) Konfigurera webbplats A - USG Firewall
1.1 Konfigurera webben Portal
1.2 Konfigurera RADIUS-gruppen
1.3 Ställ in RADIUS-servern
1.4 Konfigurera en statisk rutt för klienterna att nå RADIUS-servern
2) Konfigurera webbplats B - USG Firewall
2.1 Konfigurera betrodda klienter på fjärrundernät
2.2 Konfigurera en statisk rutt för klienterna att nå RADIUS-servern
3) Testa resultatet
Scenario:
Vi har två USG:er anslutna via VPN-tunneln - vi vet att klienter på plats A (USG60) ska autentisera på fjärrplatsen B (USG40).
1) Konfigurera webbplats A - USG Firewall
1.1 Konfigurera webben Portal
Ställ in Web Portal som LAN2-klienter måste autentisera via Web Portal
1.2 Konfigurera RADIUS-gruppen
Ställ in Konfiguration > Objekt > Auth. Metod för att "gruppera RADIUS", eftersom klientens webbportalåtkomstbegäran hänvisar internt till RADIUS-port 1812
1.3 Ställ in RADIUS-servern
Ställ in under Konfiguration > Objekt > AAA-server > RADIUS Radius-servern till den externa USG:s lokala gateway och ställ in en hemlighet (viktigt för nästa steg på USG40).
1.4 Konfigurera en statisk rutt för klienterna att nå RADIUS-servern
Under Konfiguration > Nätverk > Routing > Statisk rutt ställer du in en statisk rutt som driver trafik som går till RADIUS Server IP (den lokala USG-gateway-IP) via ditt lokala gateway-gränssnitt. Detta kommer att säkerställa att begäran från din klient, som av det tidigare inställda AAA Server-objektet nu når ut till 192.168.1.1 kommer att vidarebefordras korrekt.
2) Konfigurera webbplats B - USG Firewall
2.1 Konfigurera betrodda klienter på fjärrundernät
Ställ in under Konfiguration > System > Auth. Servera en betrodd klient genom att använda det nu fjärranslutna (USG60 !) lokala gateway-gränssnittet. Server-IP är den nu fjärranslutna gateway-IP, i det här fallet 192.168.11.1, använd hemligheten som du tidigare ställde in i AAA-serverinställningarna under steg 3.
2.2 Konfigurera en statisk rutt för klienterna att nå RADIUS-servern
Lägg till under Konfiguration > Nätverk > Routing > Statisk rutt en statisk rutt från USG40 som skickar trafik till USG60 extern lokal gateway (192.168.11.1) genom USG40 lokal gateway 192.168.1.1. På så sätt ser du till att RADIUS Authentication Accept Message kommer tillbaka till USG60, där USG60 hindrar klienten från att komma åt internet tills USG40 accepterar begäran.
3) Testa resultatet
KB-00192

Kommentarer
0 kommentarerlogga in för att lämna en kommentar.