如何透過NSG設定VPN 結合AD認證

zyxel_bo
zyxel_bo 文章數: 4  Zyxel Employee

如何透過NSG設定VPN 結合AD認證

情境 與 架構圖


Nebula Cloud(星雲)提供VPN解決方案,可透過L2TP over IPsec VPN / IPsec VPN 與AD進行身份認證。

此範例以L2TP over IPsec VPN來示範。

設定步驟:

使用Windows Server 2019 Data Center當作AD

1.前置準備

先安裝好AD Server,並提升為網域控制站。如安裝在虛擬機,確認虛擬網卡需橋接至實體網卡。

2.設定認證伺服器

設定路徑:安全閘道器 > 設定 > 防火牆設定 > 認證伺服器 > AD伺服器,輸入名稱、伺服器IP位址、AD網域、登入的管理員帳密。預設的服務埠為389,


3.新增L2TP over IPsec 用戶

設定路徑:安全閘道器 > 設定 > 遠端存取VPN > L2TP over IPSec VPN 伺服器


4.於智慧型手機設定L2TP VPN

設定路徑:設定 > 網路與WiFi > VPN,點選後按下新增VPN 設定檔

a.輸入L2TP VPN 的設定檔名稱

b.選擇L2TP/IPsec PSK

c.輸入NSG WAN介面的IP

d.輸入在NCC上所設定的密鑰(Pre-shared key)

e.輸入認證的帳號密碼(即AD上的使用者)

5.於Windows PC設定L2TP VPN

設定路徑:設定 > 網路和網際網路 > VPN > 新增VPN連線

a.VPN提供者,下拉選擇Windows(內建)

b.輸入連線名稱

c.輸入NSG對外的WAN IP

d.VPN類型,下拉選擇L2TP/IPsec with pre-shared key.

e.預先共用金鑰,輸入在NCC上所設定的密鑰

f.輸入VPN的帳號密碼(即AD上的使用者)

設定完後,可到控制台 > 網路和網際網路 > 乙太網路 > 變更介面卡選項

選擇剛才新增好的VPN網卡,按下右鍵選擇內容。

選擇安全性,確認類型為L2TIP/IPSec,並且勾選未加密的密碼(PAP)


測試驗證

智慧型手機 Android:

連線至VPN截圖


PC:Windows 10

到設定 > 網路和網際網路 > VPN,選擇剛才所建立VPN設定檔名稱,點選連線。


Note:

1.在VPN連線前,確認相關VPN的設定都正確。
2.如果Windows VPN 設定未勾選”未加密密碼(PAP)”,則VPN連線會失敗。