FG200B RADIUS认证VPN.docVIP

FG200B RADIUS认证VPN 本次实验环境为： 防火墙FG200B，当前系统版本为：v4.0,build0313,110301 (MR2 Patch 4) 活动目录成员服务器为Windows Server 2003 SP2 以下简称03 首先登录03打开控制面板→添加和删除程序→添加/删除Windows组件→双击网络服务→勾选Internet验证服务并下一步等系统安装完成。 安装成功之后我们在管理工具中打开Internet验证服务 新建RADIUS客户端： 名字随意，客户地址为防火墙的内网口地址并下一步 客户端-供应商选择 RADIUS Standard并输入共享的机密点击完成 之后回到Internet验证服务主界面右键远程访问策略点击新建远程访问策略 配置完远程访问策略双击刚配置的test策略看一下配置信息： 确认无误后确定退出 接下来来到防火墙： 依次展开防火墙→地址→地址并新建名为VPN user的地址范围 依次展开虚拟专网→SSL→设置并勾选启用SSL-VPN，IP池选择刚建立的地址填写DNS 再打开界面，选择setting勾选相应的协议： 在右侧点击增加部件并选择通道模式 设置通道模式 依次展开设置用户→远程→RADIUS并新建名为test的认证 主服务器名称/IP为先前配置RADIUS认证的03地址 主服务器密钥就是之前输入的共享的机密 点选用户默认验证方案 勾选包含进所有用户组 最后OK 之后依次展开设置用户→设置用户→设置用户并新建名为RADIUS USER的用户，点选RADIUS server并选择刚才建立的test，OK 依次展开设置用户→用户组→用户组并新建名为VPN的用户组 点选防火墙 勾选允许SSL-VPN接入并选择之前建立的名为VPN的“界面” 成员选择刚建好的RADIUS USER用户 下面添加名为test的RADIUS认证点选any OK 最后再建立一条地址段，此地址段为VPN客户端接入之后需要与之通讯的网段，我们内网为1.0网段，我们就建立一条1.0的网段： 建立SSL VPN策略： 从外部到内部，目的地址为刚才建立的内网1.0网段，动作为SSL-VPN，勾选用户认证，添加之前建立的VPN组并赋予any的可用服务 我们之前做了通道分割所以这里我们还要建立两条策略： 通道模式是通过虚拟接口“ssl.root”来与内网通讯的，所以要设置SSL.root与其他接口之间的策略，策略的动作是Accept即可。 我们还需要对路由进行调整，添加一条到ssl.root的静态路由： 在完成以上步骤后，用户就可以实现登录了，输入https://接口ip:10443 注意端口缺省为10443该端口可以在系统管理→管理员设置→设置中更改，输入一个有效的域用户名和密码即可登录： 在连接之前我们先来ping一台内网中的电脑 浏览器第一次登录时需要安装SSL-VPN客户端 连接成功之后再来看看ping的结果： 最后再来看看从FG上分配到的IP地址以及相关网络信息： 至此。RADIUS认证VPN配置完成。 谢谢大家~(