[KB3473] Как настроить устройство Cisco® ASA IPSec для использования с ESET Secure Authentication?

примечание:

Этот документ переведен для вашего удобства с помощью машинного перевода. Пожалуйста, будьте уверены, что мы приложили все усилия, чтобы обеспечить максимально точный перевод. Однако ни один автоматизированный перевод не призван заменить переводчика-человека. Официальным текстом является английская версия, которую можно найти, нажав на English справа от этого текста (или внизу, если вы читаете с мобильного). Если у вас возникли вопросы или замечания относительно точности переведенного текста, пожалуйста, обратитесь к официальной версии на английском языке или свяжитесь с местной службой поддержки. Спасибо за ваше терпение.

Решение

Введение

В этой статье описывается настройка устройства Cisco® ASA IPSec для аутентификации пользователей на сервере ESA. Прежде чем продолжить, убедитесь, что вы установили компонент RADIUS Server в ESET Secure Authentication и можете получить доступ к службе RADIUS, которая позволяет внешним системам аутентифицировать пользователей.

Прежде чем устройство Cisco® ASA IPSec сможет использовать ESA Server для аутентификации пользователей через RADIUS, оно должно быть настроено как клиент RADIUS на ESA Server. Затем ваш сервер, на котором запущена служба ESA RADIUS, должен быть настроен как сервер RADIUS на устройстве Cisco® ASA IPSec. После выполнения этих настроек можно приступать к входу в устройство Cisco® ASA IPSec с помощью ПЦП ESA.

ПРИМЕЧАНИЕ:

В данном руководстве по интеграции используется клиент без подтверждения имени пользователя и пароля типа Client для данного конкретного VPN-устройства. Если вы хотите использовать другой тип клиента, обратитесь к общее описание типов клиентов и уточните у производителя, поддерживает ли его VPN-устройство.

Шаг I - Настройка клиента RADIUS

Чтобы позволить устройству Cisco® ASA IPSec взаимодействовать с вашим ESA Server, необходимо настроить устройство Cisco® ASA IPSec в качестве клиента RADIUS на вашем ESA Server:

  1. Войдите в веб-консоль ESA.
  2. Перейдите в раздел Компоненты > RADIUS и найдите имя хоста сервера, на котором запущена служба ESA RADIUS.
  3. Щелкните имя хоста, а затем нажмите кнопку Создать новый клиент Radius.
  4. В разделе Основные параметры
    1. Дайте клиенту RADIUS запоминающееся имя для удобства использования.
    2. Настройте IP-адрес и общий секрет клиента так, чтобы они соответствовали конфигурации вашего VPN-устройства. IP-адрес - это внутренний IP-адрес вашего устройства. Если устройство работает по протоколу IPv6, используйте этот IP-адрес вместе с соответствующим идентификатором диапазона (идентификатором интерфейса).
    3. Общий секрет - это общий секрет RADIUS для внешнего аутентификатора, который вы настроите на своем устройстве.
  5. В разделе Аутентификация примените настройки, показанные на рисунке 1-1 ниже.

Настройка клиента RADIUS

  • Чтобы не допустить блокировки существующих пользователей AD, не имеющих доступа к VPN по протоколу 2FA, мы рекомендуем разрешить пользователям не использовать 2FA на этапе перехода. Также рекомендуется ограничить доступ к VPN группой безопасности в разделе Пользователи.
  • Убедитесь, что флажок рядом с Мобильное приложение установлен.

Рисунок 1-1

Теперь ESA настроен на взаимодействие с устройством Cisco® ASA IPSec. Теперь необходимо настроить устройство Cisco® ASA IPSec для связи с сервером ESA .

Шаг II - Настройка устройства Cisco® ASA

Выполните следующие действия:

  1. Войдите в диспетчер устройств Adaptime Services.
  2. Перейдите в раздел Конфигурация Удаленный доступ VPN.
  3. Нажмите Сеть (клиент) Доступ, → Профили подключения IPSec(IKEv1).
  4. Создайте новый профиль подключения
    1. Перейдите на вкладку Основные в окне Профиль подключения IPSec Remote Access.
    2. В разделе Аутентификация IKE Peer Authentication введите предварительный ключ, который будет введен в VPN-клиент каждого конечного пользователя. Это должен быть надежный пароль.
    3. нажмите Управление вразделе Аутентификация.
    4. нажмите Добавить в разделе Группы служб AAA.
    5. Введите имя новой группы (например, ESA-RADIUS), убедитесь, что протокол установлен на RADIUS, а затем нажмите OK.
    6. Выберите группу серверов и нажмите Добавить на панели Серверы в выбранной группе.
    7. Установите следующие параметры в значения, указанные ниже (см. Рисунок 2-1)
      1. Имя интерфейса: Интерфейс ASA, через который можно связаться с сервером ESA RADIUS
      2. Имя сервера или IP-адрес: Имя хоста/IP-адрес вашего сервера ESA RADIUS
      3. Таймаут: 30 секунд
      4. Порт аутентификации сервера: 1812
      5. Порт учетной записи сервера: N/A, так как ESA не поддерживает RADIUS accountint, но установлен на 1813
      6. Интервал повторных попыток: 10 секунд
      7. Секретный ключ сервера: Общий секрет сервера RADIUS (см. Рисунок 1-1)
      8. Microsoft CHAPv2 Capable: Не выбрано
    8. Нажмите OK.
    9. Нажмите OK.
    10. Нажмите PPP на левой панели и убедитесь, что выбран только PAP.
    11. Нажмите Назначение клиентских адресов
      1. Выберите или создайте пул DHCP, который вы хотите использовать.
      2. Нажмите OK.
    12. Щелкните раздел Групповая политика по умолчанию
      1. Выберите политику, которую вы хотите использовать.
      2. Убедитесь, что выбраны опции Включить протокол IPSec и Включить протокол L2TP IPSec.
    13. Нажмите OK.

Рисунок 2-1

Шаг III - Проверка соединения

Чтобы протестировать только что настроенное соединение:

  1. Убедитесь, что ваш VPN-клиент настроен правильно
    1. Убедитесь, что радиокнопка Групповая аутентификация выбрана на вкладке Аутентификация в свойствах соединения VPN-клиента.
    2. Убедитесь, что предварительный ключ, использованный в шаге 4-b, введен в оба поля пароля.
  2. Подключитесь к IPSec VPN, используя учетную запись с включенной функцией Mobile Application 2FA using ESA. Когда появится запрос на ввод пароля, добавьте OTP, сгенерированный мобильным приложением, к паролю AD. Например, если у пользователя пароль AD - Esa123, а OTP - 999111, введите Esa123999111.

Устранение неполадок

Если вам не удается пройти аутентификацию через сервер ESA RADIUS, убедитесь, что вы выполнили следующие действия:

  1. Проведите дымовой тест вашего сервера RADIUS в соответствии с документом Проверка работоспособности ESA RADIUS.
  2. Если неисправности не были устранены и вы по-прежнему не можете подключиться, вернитесь к существующей конфигурации входа (которая не использует 2FA) и убедитесь, что вы можете подключиться
  3. Если вы все еще не можете подключиться, используя старые настройки, восстановите новые настройки и убедитесь, что между вашим VPN-устройством и сервером RADIUS нет брандмауэра, блокирующего UDP 1812
  4. Если вы по-прежнему не можете подключиться, обратитесь в службу технической поддержки ESET.
Last Updated: 9 мар. 2026 г.

Дополнительные ресурсы

Документация

Форум пользователей

Видео
ESET Status Portal ESET Technical Support

Существующий клиент?