Настройка FortiGate VM для двухфакторной аутентификации через Indeed NPS Radius Extension
Автор Oleg Akifyev, Last modified by Oleg Akifyev на 13 марта 2020 10:27 AM

Рассмотрим пример настройки двухфакторной аутентификации средствами модуля Indeed NPS RADIUS Extension при доступе к сети предприятия по VPN с использованием межсетевого экрана FortiGate VM.

Для корректной работы нам понадобится:

1. Настройка внутреннего сетевого интерфейса FortiGate VM

Выполняем вход в консоль FortiGate VM под пользователем Admin, по-умолчанию пароль для Admin отсутствует. При необходимости задаем новый пароль:


Рисунок 1. Вход в консоль FortiGate VM

Далее нам необходимо настроить внутренний сетевой интерфейс. Для этого мы будем использовать ip адрес 192.168.20.253, находящийся в нашей локальной сети.

Задаем статический ip адрес и маску подсети для port1:

config system interface
edit port1
set mode static
set ip 192.168.20.253 255.255.255.0
end


Рисунок 2. Конфигурация port1

2. Настройка FortiGate VM через веб-интерфейс

Подключаемся, к настроенному на первом шаге инструкции, веб-интерфейсу по адресу http://192.168.20.253

2.1 Добавление сетевого интерфейса внешней сети

Переходим на вкладку Network - Interfaces и открываем на редактирование интерфейс port2:


Рисунок 3. Окно редактирования сетевых интерфейсов

Указываем ip адрес и маску подсети внешнего интерфейса. В данной инструкции в качестве адреса внешней сети будет использоваться ip 213.148.81.253:


Рисунок 4. Настройка внешнего интерфейса

2.2 Добавление Радиус-сервера

Для добавления Радиус-сервера на вкладке User & Device - Radius Servers и нажимаем кнопку Create  New:


Рисунок 5. Окно Радиус серверов

В окне создания нового Радиус-сервера указываем имя сервера (Name), выбираем метод аутентификации (Specify) или оставляем стандартный (Default). Далее прописываем IP адрес и общий секрет Радиус-сервера (данный общий секрет также необходимо задать на стороне Радиус-сервера), и завершаем настройку:


Рисунок 6. Добавление нового Радиус-сервера

2.3 Создание группы пользователей

На вкладке User & Device - User Groups создаем новую группу для пользователей, использующих Радиус аутентификацию. В качестве удаленного сервера выбираем Радиус-сервер, созданный на шаге 2.2 инструкции:


Рисунок 7. Создание группы пользователей

2.4 Создание сетевой политики SSL VPN

Переходим на вкладку Policy & Objects - IPv4 Policy и, нажав на кнопку Create New, создаем новую политику:


Рисунок 8. Окно сетевых политик

Для настройки политики SSL VPN необходимо выставить следующие настройки:

Incoming interface - указываем SSL-VPN tunnel interface (ssl.root);
Outgoing interface - интерфейс внутренней сети (в нашем случае port1);
Source - для Address в данной инструкции будем использовать All, для User указываем созданную на шаге 2.3 группу Радиус-пользователей;
Destination - All;
Service - All:


Рисунок 9. Создание новой SSL VPN политики

2.5 Настройка SSL VPN соединения

Приступим к конфигурации SSL VPN.

Сперва нам необходимо настроить SSL VPN туннель. Для этого на вкладке VPN - SSL-VPN Portals редактируем tunnel-access:


Рисунок 10. Окно SSL-VPN Portals

Включаем режим Tunnel Mode и в Source IP Pool создаем пул неиспользуемых в локальной сети ip адресов, которые будут доступны для VPN клиентов:


Рисунок 11. Редактирование tunnel-access

Также на вкладке VPN - SSL-VPN Portals кнопкой Create New создаем правило deny-access, которое будет запрещать доступ к VPN туннелю:


Рисунок 12. Создание deny-access

Переходим к настройкам SSL VPN соединения: на вкладке VPN - SSL-VPN Settings  указываем прослушивать порт 10443 внешнего интерфейса (port2):


Рисунок 13. Окно SSL-VPN Settings

В этом же окне в Authentication/Portal Mapping выбираем, созданную в п 2.3 группу пользователей Radius_users и предоставляем им доступ через tunnel-access. Для All Other Users/Groups запрещаем доступ через deny-access:


Рисунок 14. Разграничение доступа для групп пользователей

3. Настройка FortiClient VPN

С официального сайта FortiClient (https://www.forticlient.com/downloads) скачиваем и устанавливаем на клиентский ПК FortiClient VPN:


Рисунок 15. Страница загрузки FortiClient VPN

Запускаем установленный FortiClient VPN и приступаем к настройке подключения:


Рисунок 16. Стартовое окно FortiClient VPN

В качестве используемого типа VPN выбираем SSL-VPN, указываем произвольное имя для Connection Name, в Remote Gateway прописываем адрес внешнего интерфейса FortiGate, указанный в п. 2.1 инструкции (213.148.81.253), и устанавливаем порт 10443 из п. 2.5 инструкции:


Рисунок 17. Создание нового VPN подключения

Завершив установку FortiClient VPN, мы можем подключиться к VPN. Запускаем FortiClient VPN и, используя доменные учетные данные, выполняем двухфакторную аутентификацию через Radius сервер (при условии наличия необходимых настроек - инструкция):


Рисунок 18. Аутентификация через Indeed NPS RADIUS Extension


Рисунок 19. Соединение установлено

(0 голос(а))
Эта статья полезна
Эта статья бесполезна

Комментарии (0)
Добавить новый комментарий
 
 
Полное имя:
Email:
Комментарии: