[KB3571] Jak skonfigurować klienta Netasq IPSec VPN do użytku z ESET Secure Authentication?

NOTATKA:

Ta strona została przetłumaczona przez komputer. Kliknij przycisk Angielski w sekcji Języki na tej stronie, aby wyświetlić oryginalny tekst. Jeśli coś jest niejasne, skontaktuj się z lokalnym działem pomocy technicznej.

Rozwiązanie

Wprowadzenie

W tym artykule opisano, jak skonfigurować Netasq IPSec VPN Client™ do uwierzytelniania użytkowników na serwerze ESA. Przed kontynuowaniem należy sprawdzić, czy zainstalowano komponent serwera RADIUS ESET Secure Authentication i można uzyskać dostęp do usługi RADIUS, która umożliwia zewnętrznym systemom uwierzytelnianie użytkowników.

Zanim Netasq IPSec VPN Client™ będzie mógł używać serwera ESA do uwierzytelniania użytkowników za pośrednictwem usługi RADIUS, musi zostać skonfigurowany jako klient RADIUS na serwerze ESA. Następnie serwer z uruchomioną usługą ESA RADIUS musi być skonfigurowany jako serwer RADIUS w Netasq IPSec VPN Client™. Po określeniu tych konfiguracji można rozpocząć logowanie do Netasq IPSec VPN™ przy użyciu OTP ESA.

UWAGA:

Ten przewodnik integracji wykorzystuje klienta, który nie weryfikuje nazwy użytkownika i hasła typu klienta dla tego konkretnego urządzenia VPN. Jeśli chcesz użyć innego typu klienta, zapoznaj się z generic description of Client types i sprawdź u dostawcy, czy urządzenie VPN je obsługuje.

Krok I - Konfiguracja klienta RADIUS


Protokół RADIUS wymaga, aby żądania dostępu do serwerów RADIUS zawierały adres IP klienta RADIUS (na przykład Netasq IPSec VPN Client™).

Aby umożliwić Netasq IPSec VPN Client™ komunikację z serwerem ESA, należy skonfigurować go jako klienta RADIUS na serwerze ESA RADIUS:

  1. Zaloguj się do ESA Web Console.
  2. Przejdź do Komponenty > RADIUS i znajdź nazwę hosta serwera z uruchomioną usługą ESA RADIUS.
  3. Kliknij nazwę hosta, a następnie kliknij przycisk Create New Radius Client.
  4. W sekcji Ustawienia podstawowe
    1. Nadaj klientowi RADIUS łatwą do zapamiętania nazwę.
    2. Skonfiguruj adres IP i wspólny klucz tajny dla klienta tak, aby odpowiadały konfiguracji urządzenia VPN. Adres IP to wewnętrzny adres IP urządzenia. Jeśli urządzenie komunikuje się za pośrednictwem protokołu IPv6, należy użyć tego adresu IP wraz z powiązanym identyfikatorem zakresu (identyfikatorem interfejsu).
    3. Współdzielony klucz tajny to współdzielony klucz tajny usługi RADIUS dla zewnętrznego uwierzytelniacza, który zostanie skonfigurowany na urządzeniu.
  5. W sekcji Uwierzytelnianie zastosuj ustawienia pokazane na rysunku 1-1 poniżej.

Konfiguracja klienta usługi RADIUS

  • Aby zapobiec zablokowaniu istniejących użytkowników AD nieobsługujących uwierzytelniania dwuskładnikowego w sieci VPN, zalecamy zezwolenie użytkownikom nieobsługującym uwierzytelniania dwuskładnikowego na fazę przejściową. Zaleca się również ograniczenie dostępu VPN do grupy zabezpieczeń w sekcji Użytkownicy.
  • Upewnij się, że pole wyboru obok aplikacji mobilnej jest zaznaczone.

Rysunek 1-1

ESA została teraz skonfigurowana do komunikacji z Netasq IPSec VPN Client™. Teraz należy skonfigurować Netasq IPSec VPN Client™ do komunikacji z serwerem ESA. Najpierw należy utworzyć nowy schemat uwierzytelniania, a następnie skonfigurować ustawienia serwera RADIUS.

  1. Otwórz Netasq Web GUI i przejdź do Użytkownicy→Portal autoryzacji → dostępne metody. Dodaj metodę Radius i ustaw adres serwera na adres IP serwera, na którym zainstalowana jest aplikacja ESET Secure Authentication.
  2. Przejdź do Użytkownicy Uprawnienia dostępu VPN → Domyślna metoda uwierzytelniania i wybierz opcję Radius. Parametr ten można ustawić dla poszczególnych użytkowników w sekcji UżytkownicyUprawnienia dostępu VPNReguły dla użytkowników.

Krok II - Konfiguracja tunelu VPN


Użyj hasła Active Directory i Token ID, bez spacji, aby wykonać następujące kroki:

Utwórz nowy urząd certyfikacji (CA)

  1. Przejdź do Obiekty Certyfikaty i kliknij Dodaj → Dodaj główny urząd certyfikacji.
  2. Postępuj zgodnie z instrukcjami kreatora, aby utworzyć urząd certyfikacji.
  3. Przejdź do Obiekty Certyfikaty → Dodaj →Dodaj certyfikat serwera i wybierz nowo utworzony urząd certyfikacji jako domyślny certyfikat serwera dla Netasq.
  4. Przejdź do VPN→IPSec VPN→Peers, wybierz Add→ New anonymous (mobile) peer.
  5. Wybierz Certyfikat Xauth (iPhone), a następnie wybierz nowy urząd certyfikacji.

Definiowanie ustawień tunelu

  1. Przejdź do VPN → IPSec VPN → Polityka szyfrowania → Tunele DodajNowa polityka
  2. Wybierz Mobile peer w polu Mobile peer used i wybierz obiekty, do których użytkownik ma dostęp w polu Local resources . Po zakończeniu kliknij Aktywuj.
  3. Przejdź do User → VPN → IPSec VPN → Peers i kliknij Add→ New anonymous (mobile) peer.
  4. Wybierz Certyfikat Xauth (iPhone), a następnie wybierz nowy urząd certyfikacji.
  5. Przejdź do VPN IPSec VPNPolityka szyfrowaniaDodaj → Nowa polityka.
  6. Wybierz Mobile peer w polu Mobile peer used i wybierz obiekty, do których użytkownik ma dostęp w polu Local resources . Po zakończeniu kliknij Aktywuj.
  7. Przejdź do VPN Uprawnienia dostępu VPNDostęp VPN i dodaj regułę, aby zezwolić na dostęp dla użytkownika.

Aktywacja powiadomień

  1. Przejdź do PowiadomieniaAlerty e-mail Konfiguracja.
  2. Wybierz opcję Włącz powiadomienia e-mail i wprowadź odpowiednie parametry dla aplikacji e-mail.
  3. Kliknij opcję Dodaj nową grupę odbiorców w obszarze Odbiorcy, a następnie dodaj użytkowników, którzy mają otrzymywać powiadomienia e-mail.

Rejestracja użytkowników

  1. Przejdź do Użytkownicy Uwierzytelnianie Captive Portal.
  2. Włącz Captive Portal i zaznacz pole wyboru obok interfejsów zewnętrznych.
  3. W sekcji Certificate options wprowadź klucz prywatny dla utworzonego wcześniej certyfikatu.
  4. W sekcji Interfejsy zewnętrzne wybierz opcję Zezwalaj na rejestrację w sieci Web dla użytkowników. Utwórz nowe certyfikaty dla użytkowników w sekcji Właściwości zaawansowane i określ grupę użytkowników, do której ma zostać przypisany certyfikat.

Przypisywanie certyfikatu

  1. Przejdź do Captive Portal (https://netasq_IP_address/auth).
  2. Zaloguj się na konto użytkownika, dla którego chcesz uzyskać certyfikat.
  3. Przejdź do sekcji Certyfikat i uzyskaj certyfikat dla swojego użytkownika.
  4. Przejdź do sekcji UżytkownicyRejestracja i zatwierdź wszelkie zaległe żądania.
  5. W Captive Portal przejdź do sekcji Certificate i kliknij Download Certificate.
  6. Po zakończeniu pobierania certyfikatu kliknij Eksportuj , aby zapisać go w pliku.

Krok III - Testowanie połączenia

Skonfiguruj klienta VPN zgodnie z poniższymi zrzutami ekranu, aby przetestować połączenie:


Rysunek 3-1

Rysunek 3-2

Rysunek 3-3

Rysunek 3-4

Rysunek 3-5

Rozwiązywanie problemów

Jeśli nie można uwierzytelnić się za pośrednictwem serwera ESA RADIUS, należy wykonać następujące czynności:

  1. Uruchom test dymu na serwerze RADIUS, zgodnie z dokumentem Weryfikacja funkcjonalności ESA RADIUS.
  2. Jeśli nie naprawiono żadnych błędów i nadal nie można się połączyć, należy powrócić do istniejącej konfiguracji logowania (która nie korzysta z 2FA) i sprawdzić, czy można się połączyć
  3. Jeśli nadal nie można nawiązać połączenia przy użyciu starych ustawień, przywróć nowe ustawienia i sprawdź, czy zapora sieciowa nie blokuje protokołu UDP 1812 między urządzeniem VPN a serwerem RADIUS
  4. Jeśli nadal nie możesz się połączyć, skontaktuj się z pomocą techniczną ESET.

Ostatnio zaktualizowany: 20 lut 2026

Dodatkowe materiały:

Dokumentacja

Forum ESET

Poradniki w formie filmów
ESET Status Portal ESET Technical Support

Obecny klient?