[KB3571] Как настроить клиент Netasq IPSec VPN для работы с ESET Secure Authentication?

примечание:

Этот документ переведен для вашего удобства с помощью машинного перевода. Пожалуйста, будьте уверены, что мы приложили все усилия, чтобы обеспечить максимально точный перевод. Однако ни один автоматизированный перевод не призван заменить переводчика-человека. Официальным текстом является английская версия, которую можно найти, нажав на English справа от этого текста (или внизу, если вы читаете с мобильного). Если у вас возникли вопросы или замечания относительно точности переведенного текста, пожалуйста, обратитесь к официальной версии на английском языке или свяжитесь с местной службой поддержки. Спасибо за ваше терпение.

Решение

Введение

В этой статье описывается настройка Netasq IPSec VPN Client™ для аутентификации пользователей на сервере ESA. Прежде чем продолжить, убедитесь, что вы установили компонент RADIUS Server в ESET Secure Authentication и можете получить доступ к службе RADIUS, которая позволяет внешним системам аутентифицировать пользователей.

Прежде чем Netasq IPSec VPN Client™ сможет использовать ESA Server для аутентификации пользователей через RADIUS, он должен быть настроен как RADIUS-клиент на ESA Server. Затем ваш сервер, на котором запущена служба ESA RADIUS, должен быть настроен как RADIUS-сервер на Netasq IPSec VPN Client™. После выполнения этих настроек вы можете начать вход в Netasq IPSec VPN™ с помощью ОТР ESA.

ПРИМЕЧАНИЕ:

В данном руководстве по интеграции используется клиент без подтверждения имени пользователя и пароля типа клиента для данного VPN-устройства. Если вы хотите использовать другой тип клиента, обратитесь к общее описание типов клиентов и уточните у производителя, поддерживает ли его VPN-устройство.

Шаг I - Настройка клиента RADIUS


Протокол RADIUS требует, чтобы запросы доступа к серверам RADIUS включали IP-адрес клиента RADIUS (например, Netasq IPSec VPN Client™).

Чтобы позволить Netasq IPSec VPN Client™ взаимодействовать с вашим сервером ESA, вы должны настроить его как клиента RADIUS на сервере ESA RADIUS Server:

  1. Войдите в веб-консоль ESA.
  2. Перейдите в раздел Компоненты > RADIUS и найдите имя хоста сервера, на котором запущена служба ESA RADIUS.
  3. Щелкните имя хоста, а затем нажмите кнопку Создать новый клиент Radius.
  4. В разделе Основные параметры
    1. Дайте клиенту RADIUS запоминающееся имя для удобства использования.
    2. Настройте IP-адрес и общий секрет клиента так, чтобы они соответствовали конфигурации вашего VPN-устройства. IP-адрес - это внутренний IP-адрес вашего устройства. Если устройство работает по протоколу IPv6, используйте этот IP-адрес вместе с соответствующим идентификатором диапазона (идентификатором интерфейса).
    3. Общий секрет - это общий секрет RADIUS для внешнего аутентификатора, который вы настроите на своем устройстве.
  5. В разделе Аутентификация примените настройки, показанные на рисунке 1-1 ниже.

Настройка клиента RADIUS

  • Чтобы не допустить блокировки существующих пользователей AD, не имеющих доступа к VPN по протоколу 2FA, мы рекомендуем разрешить пользователям не использовать 2FA на этапе перехода. Также рекомендуется ограничить доступ к VPN группой безопасности в разделе Пользователи.
  • Убедитесь, что флажок рядом с Mobile Application установлен.

Рисунок 1-1

Теперь ESA настроена на взаимодействие с Netasq IPSec VPN Client™. Теперь необходимо настроить Netasq IPSec VPN Client™ на взаимодействие с сервером ESA. Сначала создайте новую схему аутентификации, а затем настройте параметры для вашего сервера RADIUS.

  1. Откройте графический интерфейс Netasq Web GUI и перейдите в раздел Пользователи →Портал авторизации → доступные методы. Добавьте метод Radius и установите в качестве адреса сервера IP-адрес сервера, на котором установлена ESET Secure Authentication.
  2. Перейдите в Пользователи Привилегии доступа к VPN → Метод аутентификации по умолчанию и выберите Radius. Этот параметр можно задать для отдельных пользователей в разделе ПользователиПривилегии доступа к VPNПравила для пользователей.

Шаг II - Настройка VPN-туннеля


Используйте пароль Active Directory и идентификатор токена без пробелов для выполнения следующих шагов:

Создайте новый центр сертификации (ЦС)

  1. Перейдите в раздел Объекты Сертификаты и нажмите Добавить → Добавить корневой ЦС.
  2. Следуйте инструкциям мастера для создания ЦС.
  3. Перейдите в менюОбъекты→ Сертификаты→ Добавить→Добавить сертификат сервера и выберите только что созданный ЦС в качестве сертификата сервера по умолчанию для Netasq.
  4. Перейдите в раздел VPN→IPSec VPN→Peers, выберите Add→ New anonymous (mobile) peer.
  5. Выберите Сертификат Xauth (iPhone), а затем выберите ваш новый ЦС.

Определение настроек туннеля

  1. Перейдите в раздел VPN → IPSec VPN → Политика шифрования → Туннели ДобавитьНовая политика
  2. Выберите Mobile peer в поле Mobile peer used и выберите объекты, к которым пользователь имеет доступ, в поле Local resources . По окончании нажмите Активировать.
  3. Перейдите в раздел Пользователь → VPN → IPSec VPN → Пиры и нажмите ДобавитьНовый анонимный (мобильный) пир.
  4. Выберите Сертификат Xauth (iPhone), а затем выберите новый ЦС.
  5. Перейдите в раздел VPN IPSec VPNПолитика шифрованияДобавить → Новая политика.
  6. Выберите Mobile peer в поле Mobile peer used и выберите объекты, к которым пользователь имеет доступ, в поле Local resources . По окончании нажмите Активировать.
  7. Перейдите в раздел VPN Привилегии доступа к VPNДоступ к VPN и добавьте правило, разрешающее доступ для пользователя.

Активация уведомлений

  1. Перейдите в раздел УведомленияОповещения по электронной почте Конфигурация.
  2. Выберите Включить уведомления по электронной почте и введите соответствующие параметры для вашего почтового приложения.
  3. Нажмите Добавить новую группу получателей в разделе Получатели, а затем добавьте пользователей, которые должны получать уведомления по электронной почте.

Регистрация пользователей

  1. Перейдите в раздел Пользователи Аутентификация Captive Portal.
  2. Включите портал Captive Portal и установите флажок рядом с внешними интерфейсами.
  3. В разделе Параметры сертификата введите закрытый ключ для сертификата, созданного ранее.
  4. В разделе Внешние интерфейсы выберите Разрешить веб-вход для пользователей. Создайте новые сертификаты для пользователей в разделе Дополнительные свойства и укажите группу пользователей, которой нужно назначить сертификат.

Назначение сертификата

  1. Перейдите к порталу Captive Portal (https://netasq_IP_address/auth).
  2. Войдите в учетную запись пользователя, для которого вы хотите получить сертификат.
  3. Перейдите в раздел Сертификат и получите сертификат для своего пользователя.
  4. Перейдите в раздел ПользователиЗачисление и одобрите все оставшиеся запросы.
  5. В Captive Portal перейдите в раздел Сертификат и нажмите Загрузить сертификат.
  6. После завершения загрузки сертификата нажмите Экспорт , чтобы сохранить его в файл.

Шаг III - Проверка соединения

Настройте ваш VPN-клиент в соответствии с приведенными ниже скриншотами, чтобы протестировать соединение:


Рисунок 3-1

Рисунок 3-2

Рисунок 3-3

Рисунок 3-4

Рисунок 3-5

Устранение неполадок

Если вам не удается пройти аутентификацию через сервер ESA RADIUS, убедитесь, что вы выполнили следующие действия:

  1. Проведите пробное тестирование сервера RADIUS в соответствии с документом Проверка работоспособности ESA RADIUS.
  2. Если неисправности не были устранены и вы по-прежнему не можете подключиться, вернитесь к существующей конфигурации входа (которая не использует 2FA) и убедитесь, что вы можете подключиться
  3. Если вы все еще не можете подключиться, используя старые настройки, восстановите новые настройки и убедитесь, что между вашим VPN-устройством и сервером RADIUS нет брандмауэра, блокирующего UDP 1812
  4. Если вы по-прежнему не можете подключиться, обратитесь в службу технической поддержки ESET.

Last Updated: 9 мар. 2026 г.

Дополнительные ресурсы

Документация

Форум пользователей

Видео
ESET Status Portal ESET Technical Support

Существующий клиент?