VPN 連線如何啟用 Google Authenticator 二階段認證?

Zyxel小編 Corey · 二月 2022

在以前的韌體版本中，防火牆支援通過 SMS/Email 的 pin 碼作為雙重身份驗證方法。

但是 SMS 的二階段身份驗證並不相當安全，與 SMS 的方法相比，Google Authenticator 是最安全的接收驗證碼的二階段驗證方法。 Google Authenticator 每 30 秒提供一個新代碼，每個代碼將在 30 秒內過期，這使兩階段驗證的代碼更加安全。

此外，Google Authenticator 可免費下載、易於使用，並且可以在沒有網際網路的情況下正常運作。

以下為各位說明如何使用 Google Authenticator 設置二階段認證以進行 VPN 訪問。

請注意 : 在以下範例中，所有 IP 位址與網段都只是範例。若在您的環境測試，請更換實際環境的 IP 位址與網段。

使用 Google Authenticator 啟用二階段認證設定流程

1. 使用者帳號啟用 Google Authentication

2. 於防火牆設定 Google Authenticator

3. 啟用 VPN Google Authenticator 二階段認證功能

選擇 VPN 使用者並切換到雙重身分驗證頁面.

設定 > 物件 > 使用者/群組 > 使用者, 新增

勾選VPN接取時啟用雙重身分認證.

設定 Google Authenticator

1. 於手持裝置下載並安裝 Google Authenticator APP.

Apple Store

Google Play

2. 於 Google Authenticator 註冊 VPN 使用帳號 .開啟 Google Authenticator App 並掃描防火牆見面上的 QR Code .

3. 於步驟三輸入 Google Authenticator 顯示的認證碼並點選確認並完成 .

防火牆將跳出訊息通知認證結果 .

4. 二階段認證設定完成後，防火牆將於網頁介面自動產生備用認證碼。備用認證碼用於當使用者無法開啟APP，可用於認證登入。建議下載並儲放於安全的空間。

防火牆可設定認證碼有效時間以及登入服務類型

於VPN接取頁面啟用二階段認證。設定認證碼有效時間並選擇哪些使用者需要啟用二階段認證。

當認證碼有效時間過期，該組認證碼將無法再通過 VPN 存取認證。

認證碼有效時間預設值為3分鐘。認證頁面使用特殊的服務Port。

連上VPN後，使用者需要登入認證頁面輸入認證碼。

設定 > 物件 > 認證方式 > 雙重身分驗證 > VPN接取

注意 : 使用 SSLVPN 或 L2TP VPN 連接時，使用者需要自行輸入網址連接認證畫面。(例如:https://LAN1 IP:8008)

認證流程 :

1. 設定L2TP VPN，並且建立連線。

2. 於瀏覽器輸入網址 https://LAN1 IP:8008 (此範例為https://192.168.1.1:8008，IP 位址請依照實際環境設定)

3. 輸入 Google Authenticator 上面顯示的認證碼，並點選 "Authorize" 。若手持裝置不在手邊，也可以輸入備用認證碼進行驗證。

4. 可於防火牆日誌查詢 L2TP VPN 連線紀錄與使用者認證紀錄。

設定常見問題 :

1. 若 L2TP VPN 無法連線，建議先參考此篇L2TP VPN設定教學文件 : https://community.zyxel.com/tw/discussion/10747/l2tp-vpn設定。

2. 使用 SSLVPN 或 L2TP VPN 連接時，使用者需要自行輸入網址連接認證畫面。(例如:https://LAN1 IP:8008)

3. 若同時啟用 SMS, Email or Google Authenticator 二階段認證方式, 只要通過其中一種認證即可完成 VPN 連線。