[KB3473] Hvordan konfigurerer jeg min Cisco® ASA IPSec-enhed til brug med ESET Secure Authentication?

Indledning

---

Denne artikel beskriver, hvordan man konfigurerer en Cisco® ASA IPSec-enhed til at godkende brugere mod en ESA-server. Før du fortsætter, skal du kontrollere, at du har installeret RADIUS Server-komponenten i ESET Secure Authentication og kan få adgang til RADIUS-tjenesten, der gør det muligt for eksterne systemer at godkende brugere.

Før din Cisco® ASA IPSec-enhed kan bruge ESA-serveren til at godkende brugere via RADIUS, skal den konfigureres som en RADIUS-klient på ESA-serveren. Dernæst skal din server, der kører ESA-RADIUS-tjenesten, konfigureres som en RADIUS-server på Cisco® ASA IPSec-enheden. Når disse konfigurationer er angivet, kan du begynde at logge ind på din Cisco® ASA IPSec-enhed ved hjælp af ESA OTP'er.

Trin I - Konfiguration af RADIUS-klient

---

For at Cisco® ASA IPSec-enheden kan kommunikere med din ESA-server, skal du konfigurere Cisco® ASA IPSec-enheden som en RADIUS-klient på din ESA-server:

1. Log ind på ESA Web Console.
2. Naviger til Components > RADIUS, og find værtsnavnet på den server, der kører ESA RADIUS-tjenesten.
3. Klik på værtsnavnet, og klik derefter på Create New Radius Client.
4. I afsnittet Grundlæggende indstillinger
   1. Giv RADIUS-klienten et mindeværdigt navn, så den er nem at finde.
   2. Konfigurer IP-adressen og den delte hemmelighed for klienten, så de svarer til konfigurationen af dit VPN-apparat. IP-adressen er den interne IP-adresse på dit apparat. Hvis dit apparat kommunikerer via IPv6, skal du bruge den IP-adresse sammen med det relaterede scope-ID (interface-ID).
   3. Den delte hemmelighed er den delte RADIUS-hemmelighed for den eksterne autentificering, som du vil konfigurere på dit apparat.
5. I sektionen Authentication skal du anvende de indstillinger, der er vist i Figur 1-1 nedenfor.

Figur 1-1

ESA er nu blevet konfigureret til at kommunikere med Cisco® ASA IPSec-enheden. Du skal nu konfigurere Cisco® ASA IPSec-enheden til at kommunikere med ESA-serveren .

Trin II - Konfigurer din Cisco® ASA-enhed

---

Følg nedenstående trin:

1. Log ind på din Adaptime Services Device Manager.
2. Naviger til Konfiguration → Remote Access VPN.
3. Klik på Network (client) Access, → IPSec(IKEv1) Connection Profiles.
4. Opret en ny forbindelsesprofil
   1. Naviger til fanen Basic i vinduet IPSec Remote Access Connection Profile.
   2. Under IKE Peer Authentication skal du indtaste den forhåndsdelte nøgle, der skal indtastes i hver slutbrugers VPN-klient. Det skal være en stærk adgangskode.
   3. klik på Administreri sektionen Godkendelse.
   4. klik på Add under AAA Service Groups.
   5. Indtast et navn til din nye gruppe (f.eks. ESA-RADIUS), sørg for, at protokollen er indstillet til RADIUS, og klik derefter på OK.
   6. Vælg din servergruppe, og klik på Add i panelet Servers in selected group.
   7. Indstil følgende parametre til de værdier, der er vist nedenfor (se Figur 2-1)
      1. Navn på grænseflade: Den ASA-grænseflade, som din ESA-RADIUS-server kan nås på
      2. Servernavn eller IP-adresse: Værtsnavnet/IP-adressen på din ESA-RADIUS-server
      3. Timeout: 30 sekunder
      4. Server-godkendelsesport: 1812
      5. Server AccountPort: N/A, da ESA ikke understøtter RADIUS accountint, men indstillet til 1813
      6. Forsøgsinterval: 10 sekunder
      7. Serverens hemmelige nøgle: Den delte hemmelighed fra din RADIUS-server (se Figur 1-1)
      8. Microsoft CHAPv2-kompatibel: Ikke valgt
   8. Klik på OK.
   9. Klik på OK.
   10. Klik på PPP i venstre panel, og sørg for, at kun PAP er valgt.
   11. Klik på Tildeling af klientadresser
       1. Vælg eller opret den DHCP-pool, du vil bruge.
       2. Klik på OK.
   12. Klik på sektionen Standardgruppepolitik
       1. Vælg den politik, du vil bruge.
       2. Kontrollér, at Enable IPSec Protocol og Enable L2TP IPSec Protocol er valgt.
   13. Klik på OK.

Figur 2-1

Trin III - Test forbindelsen

---

Sådan tester du den nyligt konfigurerede forbindelse:

1. Sørg for, at din VPN-klient er konfigureret korrekt
   1. Kontrollér, at alternativknappen Group Authentication er valgt på fanen Authentication i VPN-klientens forbindelsesegenskaber.
   2. Sørg for, at den forhåndsdelte nøgle, der blev brugt i trin 4-b, er indtastet i begge adgangskodefelter.
2. Opret forbindelse til din IPSec VPN ved hjælp af en konto med Mobile Application 2FA ved hjælp af ESA aktiveret. Når du bliver bedt om at indtaste en adgangskode, skal du tilføje den OTP, der er genereret af mobilapplikationen, til din AD-adgangskode. Hvis brugeren f.eks. har en AD-adgangskode på Esa123 og en OTP på 999111, skal du skrive Esa123999111.

---

Fejlfinding

Hvis du ikke kan godkende via ESA RADIUS-serveren, skal du sikre dig, at du har udført følgende trin:

1. Kør en røgprøve mod din RADIUS-server i henhold til dokumentet Verificering af ESA RADIUS-funktionalitet.
2. Hvis ingen fejl blev rettet, og du stadig ikke kan oprette forbindelse, skal du vende tilbage til en eksisterende login-konfiguration (som ikke bruger 2FA) og kontrollere, at du kan oprette forbindelse
3. Hvis du stadig kan oprette forbindelse med de gamle indstillinger, skal du gendanne de nye indstillinger og kontrollere, at der ikke er nogen firewall, der blokerer UDP 1812 mellem din VPN-enhed og din RADIUS-server
4. Hvis du stadig ikke kan oprette forbindelse, skal du kontakte ESET's tekniske support.