[KB3571] Como configuro meu cliente VPN Netasq IPSec para uso com o ESET Secure Authentication?

NOTA:

Esta página foi traduzida por um computador. Clique em inglês em Idiomas nesta página para exibir o texto original. Se você encontrar algo que não esteja claro, por favor entre em contato com o suporte local.

Solução

Introdução

Este artigo descreve como configurar o Netasq IPSec VPN Client™ para autenticar usuários em um servidor ESA. Antes de continuar, verifique se você instalou o componente Servidor RADIUS do ESET Secure Authentication e se pode acessar o serviço RADIUS que permite que sistemas externos autentiquem usuários.

Antes que o Netasq IPSec VPN Client™ possa utilizar o Servidor ESA para autenticar usuários via RADIUS, ele deve ser configurado como um cliente RADIUS no Servidor ESA. Em seguida, seu servidor que executa o serviço ESA RADIUS deve ser configurado como um servidor RADIUS no Netasq IPSec VPN Client™. Depois que essas configurações tiverem sido especificadas, você poderá começar a fazer login no Netasq IPSec VPN™ usando OTPs da ESA.

OBSERVAÇÃO:

Este guia de integração utiliza o Cliente não valida o nome de usuário e a senha do tipo Cliente para esse dispositivo VPN específico. Se você desejar utilizar outro tipo de cliente, consulte descrição genérica dos tipos de cliente e verifique com o fornecedor se o dispositivo VPN é compatível com ele.

Etapa I - Configuração do cliente RADIUS


O protocolo RADIUS exige que as solicitações de acesso aos servidores RADIUS incluam o endereço IP do cliente RADIUS (por exemplo, o Netasq IPSec VPN Client™).

Para permitir que o Netasq IPSec VPN Client™ se comunique com o servidor ESA, você deve configurá-lo como um cliente RADIUS no servidor ESA RADIUS:

  1. Faça login no Console da Web do ESA.
  2. Navegue até Components > RADIUS e localize o nome do host do servidor que está executando o serviço ESA RADIUS.
  3. Clique no nome do host e, em seguida, clique em Create New Radius Client (Criar novo cliente Radius).
  4. Na seção Basic Settings (Configurações básicas)
    1. Dê ao cliente RADIUS um nome memorável para facilitar a referência.
    2. Configure o endereço IP e o segredo compartilhado para o cliente de modo que correspondam à configuração do seu dispositivo VPN. O endereço IP é o endereço IP interno de seu dispositivo. Se o seu dispositivo se comunicar via IPv6, use esse endereço IP junto com o ID de escopo relacionado (ID de interface).
    3. O segredo compartilhado é o segredo compartilhado RADIUS para o autenticador externo que você configurará no seu dispositivo.
  5. Na seção Authentication (Autenticação ), aplique as configurações mostradas na Figura 1-1 abaixo.

Configuração do cliente RADIUS

  • Para evitar o bloqueio de usuários do AD existentes que não estejam habilitados para a autenticação 2FA na sua VPN, recomendamos que você permita usuários não habilitados para a autenticação 2FA durante a fase de transição. Também é recomendável limitar o acesso à VPN a um grupo de segurança na seção Usuários.
  • Certifique-se de que a caixa de seleção ao lado de Aplicativo móvel esteja selecionada.

Figura 1-1

O ESA foi configurado para se comunicar com o Netasq IPSec VPN Client™. Agora você deve configurar o Netasq IPSec VPN Client™ para se comunicar com o servidor ESA. Primeiro, crie um novo esquema de autenticação e, em seguida, defina as configurações do seu servidor RADIUS.

  1. Abra a GUI da Web do Netasq e navegue até Usuários →Portal de autorização → métodos disponíveis. Adicione o método Radius e defina o endereço do servidor como o endereço IP do servidor onde o ESET Secure Authentication está instalado.
  2. Navegue até Usuários Privilégios de acesso à VPN → Método de autenticação padrão e selecione Radius. Você pode definir esse parâmetro para usuários individuais em UsuáriosPrivilégios de acesso à VPNRegras para usuários.

Etapa II - Configuração do túnel VPN


Use sua senha do Active Directory e o ID do token, sem espaços, para concluir as etapas a seguir:

Criar uma nova autoridade de certificação (CA)

  1. Navegue até Objetos Certificados e clique em Adicionar → Adicionar CA raiz.
  2. Siga as instruções do assistente para criar uma CA.
  3. Navegue até Objetos Certificados → Adicionar → Adicionarum certificado de servidor e selecione a CA recém-criada como o certificado de servidor padrão para o Netasq.
  4. Navegue até VPN→IPSec VPN→Pares, selecione Adicionar→ Novo par anônimo (móvel).
  5. Selecione Certificado Xauth (iPhone) e, em seguida, selecione sua nova CA.

Definir as configurações do túnel

  1. Navegue até VPN → IPSec VPN → Política de criptografia → Túneis AdicionarNova política
  2. Selecione Par móvel no campo Par móvel usado e selecione os objetos aos quais o usuário tem acesso no campo Recursos locais . Quando terminar, clique em Activate (Ativar).
  3. Navegue até User → VPN → IPSec VPN → Peers e clique em Add→ New anonymous (mobile) peer.
  4. Selecione Certificado Xauth (iPhone) e, em seguida, selecione sua nova CA.
  5. Navegue até VPN IPSec VPNPolítica de criptografiaAdicionar → Nova política.
  6. Selecione Par móvel no campo Par móvel usado e selecione os objetos aos quais o usuário tem acesso no campo Recursos locais . Quando terminar, clique em Activate (Ativar).
  7. Navegue até VPN Privilégios de acesso à VPNAcesso à VPN e adicione uma regra para permitir o acesso do usuário.

Ativar notificações

  1. Navegue até NotificationsEmail alerts Configuration.
  2. Selecione Ativar notificação por e-mail e insira os parâmetros apropriados para seu aplicativo de e-mail.
  3. Clique em Add new recipient group (Adicionar novo grupo de destinatários ) em Recipients (Destinatários ) e, em seguida, adicione os usuários que você deseja que recebam notificações por e-mail.

Registro de usuários

  1. Navegue até Usuários Autenticação Captive Portal.
  2. Ative o Captive Portal e marque a caixa de seleção ao lado de interfaces externas.
  3. Em Opções de certificado, insira a chave privada do certificado que você criou anteriormente.
  4. Em External Interfaces, selecione Allow Web enrollment for users. Crie novos certificados para usuários em Propriedades avançadas e especifique o grupo de usuários ao qual atribuir o certificado.

Atribuição de certificados

  1. Navegue até o Captive Portal (https://netasq_IP_address/auth).
  2. Faça login na conta de usuário para a qual deseja obter um certificado.
  3. Navegue até a seção Certificate (Certificado) e obtenha o certificado para o seu usuário.
  4. Navegue até UsuáriosInscrição e aprove as solicitações pendentes.
  5. No Captive Portal, navegue até a seção Certificate (Certificado) e clique em Download Certificate (Baixar certificado).
  6. Quando o download do certificado estiver concluído, clique em Exportar para salvá-lo em um arquivo.

Etapa III - Testando a conexão

Configure seu cliente VPN de acordo com as capturas de tela abaixo para testar sua conexão:


Figura 3-1

Figura 3-2

Figura 3-3

Figura 3-4

Figura 3-5

Solução de problemas

Se você não conseguir se autenticar por meio do servidor ESA RADIUS, verifique se executou as etapas a seguir:

  1. Execute um teste de fumaça em seu servidor RADIUS, conforme o documento Verificação da funcionalidade do ESA RADIUS.
  2. Se nenhuma falha tiver sido corrigida e você ainda não conseguir se conectar, reverta para uma configuração de login existente (que não use 2FA) e verifique se você consegue se conectar
  3. Se você ainda conseguir se conectar usando as configurações antigas, restaure as novas configurações e verifique se não há nenhum firewall bloqueando o UDP 1812 entre o dispositivo VPN e o servidor RADIUS
  4. Se ainda não conseguir se conectar, entre em contato com o suporte técnico da ESET.

Última atualizaçăo: 6 de mar. de 2026

Mais Artigos:

Ajuda on-line

ESET Security Forum

Vídeos da Base de Conhecimento
ESET Status Portal ESET Technical Support

Cliente atual?