如何透過NSG設定VPN 結合AD認證

zyxel_bo · 一月 2023

情境與架構圖

Nebula Cloud(星雲)提供VPN解決方案，可透過L2TP over IPsec VPN / IPsec VPN 與AD進行身份認證。

此範例以L2TP over IPsec VPN來示範。

設定步驟：

使用Windows Server 2019 Data Center當作AD

1.前置準備

先安裝好AD Server，並提升為網域控制站。如安裝在虛擬機，確認虛擬網卡需橋接至實體網卡。

2.設定認證伺服器

設定路徑:安全閘道器 > 設定 > 防火牆設定 > 認證伺服器 > AD伺服器，輸入名稱、伺服器IP位址、AD網域、登入的管理員帳密。預設的服務埠為389，

3.新增L2TP over IPsec 用戶

設定路徑:安全閘道器 > 設定 > 遠端存取VPN > L2TP over IPSec VPN 伺服器

4.於智慧型手機設定L2TP VPN

設定路徑:設定 > 網路與WiFi > VPN，點選後按下新增VPN 設定檔

a.輸入L2TP VPN 的設定檔名稱

b.選擇L2TP/IPsec PSK

c.輸入NSG WAN介面的IP

d.輸入在NCC上所設定的密鑰(Pre-shared key)

e.輸入認證的帳號密碼(即AD上的使用者)

5.於Windows PC設定L2TP VPN

設定路徑:設定 > 網路和網際網路 > VPN > 新增VPN連線

a.VPN提供者，下拉選擇Windows(內建)

b.輸入連線名稱

c.輸入NSG對外的WAN IP

d.VPN類型，下拉選擇L2TP/IPsec with pre-shared key.

e.預先共用金鑰，輸入在NCC上所設定的密鑰

f.輸入VPN的帳號密碼(即AD上的使用者)

設定完後，可到控制台 > 網路和網際網路 > 乙太網路 > 變更介面卡選項

選擇剛才新增好的VPN網卡，按下右鍵選擇內容。

選擇安全性，確認類型為L2TIP/IPSec，並且勾選未加密的密碼(PAP)

測試驗證

智慧型手機 Android:

連線至VPN截圖

PC:Windows 10

到設定 > 網路和網際網路 > VPN，選擇剛才所建立VPN設定檔名稱，點選連線。

Note:

1.在VPN連線前，確認相關VPN的設定都正確。
2.如果Windows VPN 設定未勾選”未加密密碼(PAP)”，則VPN連線會失敗。