配置Client-Initiated场景下的L2TP VPN(LDAP服务器认证)

配置Client-Initiated场景下的L2TP VPN(LDAP服务器认证)

fw1_2022.09.23.22时07分42秒.txt

sw1_2022.09.23.22时08分18秒.txt

sw2_2022.09.23.22时08分07秒.txt

(1)拓扑图

图片.png

(2)基础配置

华为usg防火墙
华为usg防火墙:配置接口
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.12.3.3 255.255.0.0
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
 service-manage netconf permit
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.100.254 255.255.255.0
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit             
 service-manage netconf permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 192.168.200.254 255.255.255.0
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
 service-manage netconf permit
#

把接口加入trust区域:
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/2
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1

 配置默认路由:
ip route-static 10.1.1.0 255.255.255.0 192.168.200.1

配置策略允许所有:
security-policy
 default action permit
 
配置AAA:
 aaa
        manager-user admin
            password cipher 密码
            service-type web
            level 15

sw1:
interface GE1/0/0
 undo shutdown
#
interface GE1/0/1
 undo shutdown
 port default vlan 2

interface GE1/0/3
 undo shutdown
 port default vlan 2

#
interface Vlanif1
 ip address 10.1.1.1 255.255.255.0
#
interface Vlanif2
 ip address 192.168.200.1 255.255.255.0
#

sw2:
interface GE1/0/0
 undo shutdown
#
interface Vlanif1
 ip address 192.168.100.100 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.100.254

相关端口:
端口:1645、1812
说明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)远程认证拨号用户服务。
端口:1646、1813
说明:RADIUS accounting
端口:1701
说明:Layer Two Tunneling Protocol(L2TP)第2层隧道协议
(3.1)准备LDAP服务器

图片.png

认证信息:
BaseDN: dc=ldap,dc=zh-cjh,dc=com
Bind DN: uid=root,cn=users,dc=ldap,dc=zh-cjh,dc=com

(3.2)配置LDAP服务器对接参数

如果对LDAP服务器不熟悉,无法给出过滤字段等参数,可以通过LDAP Browser/Editor等软件连接到LDAP服务器上查看具体的属性。以LDAP Explorer为例,查看到的LDAP服务器属性以及服务器属性和LNS上参数对应关系如下:

LDAPBrowser_282.zip

图片.png

图片.png

配置LDAP服务器对接参数。
ldap-server template ldap_server
    ldap-server authentication 10.12.160.8 389
    ldap-server authentication manager uid=root,cn=users %^%#opG_PNNzI&*ndr((zYz><-A+>W3^@+ngpjB>zk`/%^%#
    undo ldap-server authentication base-dn dc=my-domain,dc=com
    ldap-server authentication base-dn dc=ldap,dc=zh-cjh,dc=com
    ldap-server server-type open-ldap
    ldap-server group-filter ou
    ldap-server user-filter cn
    ldap-server authentication-filter (objectclass=*)
    ldap-server time-stamp-filter createTimeStamp

图片.png

测试:

图片.png

<USG6000V2>test-aaa ab1 123456 ldap-template ldap_server
Info: Server detection succeeded.
<USG6000V2>

(4.1)配置采用LDAP服务器进行用户身份认证。
aaa
       authentication-scheme ldap
                authentication-mode ldap
(4.2)配置地址池
如果真实环境中地址池地址和总部网络地址配置在了同一网段,则必须在LNS连接总部网络的接口上开启ARP代理功能,保证LNS可以对总部网络服务器发出的ARP请求进行应答。
ip pool pool1
   section 1 172.16.10.100 172.16.10.199
(4.3)配置接入用户使用的业务方案。
 aaa
    service-scheme l2tp
        ip-pool pool1
(4.3)配置认证域,引用AD服务器模板及认证方案
aaa                  
    domain zh-cjh.com
    service-type l2tp
    authentication-scheme ldap
   ldap-server ldap_server 

图片.png

(5.1)华为防火墙:配置VT接口
interface Virtual-Template1
   ppp authentication-mode pap
   remote service-scheme l2tp
   ip address 172.16.10.1 255.255.255.0

firewall zone dmz
  add interface Virtual-Template1

(5.2)华为防火墙:配置L2TP Group。
LNS上配置的隧道验证密码必须与SecoClient上的配置保持一致。
l2tp enable
l2tp-group 1
     allow l2tp virtual-template 1 remote pc domain zh-cjh.com
     tunnel authentication
     tunnel password cipher www.zh-cjh.com
(6)测试拔号

图片.png

图片.png


如果用户的用户名不带域名,

图片.png

图片.png

说明:因为L2TP关联了认证域zh-cjh.com, 所以用户发送过来的用户名必须带有域名。

图片.png

如果不带域名的用户名也要识别到:

方法:

图片.png

图片.png

测试,按以上配置后,不管用户带不带域名,都可以成功到LDAP服务器进行认证,vpn登录成功。

图片.png

图片.png

图片.png


1、本站资源长期持续更新,可加入VIP会员、资源全免费。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 配置Client-Initiated场景下的L2TP VPN(LDAP服务器认证)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他
加载中~

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!