[KB3571] Hvordan konfigurerer jeg min Netasq IPSec VPN-klient til brug med ESET Secure Authentication?

BEMÆRK:

Denne side er blevet oversat af en computer. Klik på engelsk under Sprog på denne side for at få vist den originale tekst. Hvis du finder noget uklart, bedes du kontakte din lokale support.

Løsning

Indledning

Denne artikel beskriver, hvordan man konfigurerer Netasq IPSec VPN Client™ til at godkende brugere mod en ESA-server. Før du fortsætter, skal du kontrollere, at du har installeret RADIUS Server-komponenten i ESET Secure Authentication og har adgang til RADIUS-tjenesten, der gør det muligt for eksterne systemer at godkende brugere.

Før Netasq IPSec VPN Client™ kan bruge ESA-serveren til at godkende brugere via RADIUS, skal den konfigureres som en RADIUS-klient på ESA-serveren. Dernæst skal din server, der kører ESA-RADIUS-tjenesten, konfigureres som en RADIUS-server på Netasq IPSec VPN Client™. Når disse konfigurationer er angivet, kan du begynde at logge ind på din Netasq IPSec VPN™ ved hjælp af ESA OTP'er.

BEMÆRK:

Denne integrationsvejledning bruger Klient validerer ikke brugernavn og adgangskode Klienttype for dette særlige VPN-apparat. Hvis du ønsker at bruge en anden klienttype, skal du se generic description of Client types og tjekke med leverandøren, om VPN-apparatet understøtter den.

Trin I - Konfiguration af RADIUS-klient


RADIUS-protokollen kræver, at adgangsanmodninger til RADIUS-servere inkluderer IP-adressen for RADIUS-klienten (f.eks. Netasq IPSec VPN Client™).

For at Netasq IPSec VPN Client™ kan kommunikere med din ESA-server, skal du konfigurere den som en RADIUS-klient på din ESA-RADIUS-server:

  1. Log ind på ESA Web Console.
  2. Naviger til Components > RADIUS, og find værtsnavnet på den server, der kører ESA RADIUS-tjenesten.
  3. Klik på værtsnavnet, og klik derefter på Create New Radius Client.
  4. I afsnittet Grundlæggende indstillinger
    1. Giv RADIUS-klienten et mindeværdigt navn, så den er nem at finde.
    2. Konfigurer IP-adressen og den delte hemmelighed for klienten, så de svarer til konfigurationen af dit VPN-apparat. IP-adressen er den interne IP-adresse på dit apparat. Hvis dit apparat kommunikerer via IPv6, skal du bruge den IP-adresse sammen med det relaterede scope-ID (interface-ID).
    3. Den delte hemmelighed er den delte RADIUS-hemmelighed for den eksterne autentificering, som du vil konfigurere på dit apparat.
  5. I sektionen Authentication skal du anvende de indstillinger, der er vist i Figur 1-1 nedenfor.

Konfiguration af din RADIUS-klient

  • For at undgå at låse eksisterende, ikke-2FA-aktiverede AD-brugere ude af din VPN anbefaler vi, at du tillader ikke-2FA-brugere i overgangsfasen. Det anbefales også, at du begrænser VPN-adgangen til en sikkerhedsgruppe i afsnittet Brugere.
  • Sørg for, at afkrydsningsfeltet ved siden af Mobile Application er valgt.

Figur 1-1

ESA er nu konfigureret til at kommunikere med Netasq IPSec VPN Client™. Du skal nu konfigurere Netasq IPSec VPN Client™ til at kommunikere med ESA-serveren. Opret først et nyt godkendelsesskema, og konfigurer derefter indstillingerne for din RADIUS-server.

  1. Åbn Netasq Web GUI, og naviger til Users→Authorization Portal → available methods. Tilføj Radius-metoden, og indstil serveradressen til IP-adressen på den server, hvor ESET Secure Authentication er installeret.
  2. Naviger til Brugere VPN-adgangsrettigheder → Standardgodkendelsesmetode, og vælg Radius. Du kan indstille denne parameter for individuelle brugere under BrugereVPN-adgangsrettighederRegler for brugere.

Trin II - Konfiguration af VPN-tunnel


Brug din Active Directory-adgangskode og dit Token-id uden mellemrum til at gennemføre følgende trin:

Opret en ny certifikatmyndighed (CA)

  1. Naviger til Objekter Certifikater, og klik på Tilføj → Tilføj rod-CA.
  2. Følg instruktionerne fra guiden for at oprette en CA.
  3. Naviger til Objekter→ Certifikater Tilføj→Tilføj et servercertifikat, og vælg dit nyoprettede CA som standardservercertifikat for Netasq.
  4. Naviger til VPN→IPSec VPN→Peers, vælg Tilføj→ Ny anonym (mobil) peer.
  5. Vælg Certifikat Xauth (iPhone), og vælg derefter din nye CA.

Definer tunnelindstillinger

  1. Naviger tilVPN → IPSec VPN → Krypteringspolitik → Tunneler → TilføjNy politik
  2. Vælg Mobile peer i feltet Mobile peer used, og vælg de objekter, som brugeren har adgang til, i feltet Local resources . Når du er færdig, skal du klikke på Aktivér.
  3. Naviger til Bruger → VPN → IPSec VPN → Peers, og klik på Tilføj→ Ny anonym (mobil) peer.
  4. Vælg Certifikat Xauth (iPhone), og vælg derefter din nye CA.
  5. Naviger til VPN IPSec VPNKrypteringspolitikTilføj Ny politik.
  6. Vælg Mobile peer i feltet Mobile peer used, og vælg de objekter, som brugeren har adgang til, i feltet Local resources . Når du er færdig, skal du klikke på Aktivér.
  7. Naviger til VPN VPN-adgangsprivilegierVPN-adgang, og tilføj en regel for at tillade adgang for brugeren.

Aktivér notifikationer

  1. Naviger til NotifikationerE-mail-advarsler Konfiguration.
  2. Vælg Aktiver e-mailnotifikationer, og indtast de relevante parametre for dit e-mailprogram.
  3. Klik på Tilføj ny modtagergruppe under Modtagere, og tilføj derefter de brugere, du vil have til at modtage e-mailnotifikationer.

Tilmelding af brugere

  1. Naviger til Users Authentication Captive Portal.
  2. Aktivér Captive Portal, og marker afkrydsningsfeltet ud for eksterne grænseflader.
  3. Under Certifikatindstillinger skal du indtaste den private nøgle til det certifikat, du oprettede tidligere.
  4. Under Eksterne grænseflader skal du vælge Tillad webtilmelding for brugere. Opret nye certifikater til brugere under Avancerede egenskaber, og angiv den brugergruppe, som certifikatet skal tildeles til.

Tildeling af certifikater

  1. Naviger til Captive Portal (https://netasq_IP_address/auth).
  2. Log ind på den brugerkonto, som du vil have et certifikat til.
  3. Naviger til afsnittet Certificate, og hent certifikatet til din bruger.
  4. Naviger til UsersEnrolment, og godkend eventuelle udestående anmodninger.
  5. I Captive Portal skal du navigere til afsnittet Certificate og klikke på Download Certificate.
  6. Når certifikatet er downloadet, skal du klikke på Eksporter for at gemme det i en fil.

Trin III - Test af forbindelsen

Konfigurer din VPN-klient i henhold til skærmbillederne nedenfor for at teste din forbindelse:


Figur 3-1

Figur 3-2

Figur 3-3

Figur 3-4

Figur 3-5

Fejlfinding

Hvis du ikke kan godkende via ESA RADIUS-serveren, skal du sikre dig, at du har udført følgende trin:

  1. Kør en røgprøve mod din RADIUS-server i henhold til dokumentet Verificering af ESA RADIUS-funktionalitet.
  2. Hvis ingen fejl blev rettet, og du stadig ikke kan oprette forbindelse, skal du vende tilbage til en eksisterende login-konfiguration (som ikke bruger 2FA) og kontrollere, at du kan oprette forbindelse
  3. Hvis du stadig kan oprette forbindelse med de gamle indstillinger, skal du gendanne de nye indstillinger og kontrollere, at der ikke er nogen firewall, der blokerer UDP 1812 mellem din VPN-enhed og din RADIUS-server
  4. Hvis du stadig ikke kan oprette forbindelse, skal du kontakte ESET's tekniske support.

Senest opdateret: Apr 8, 2025

Yderligere ressourcer

Brugervejledninger

ESET-forum

YouTube-videoer

ESET Status Portal Kontakt ESETs tekniske support

Eksisterende kunde?