在 Flex 500 使用 Windows AD 認證使用者 + 使用 Google Authenticator 做 SSl VPN 登入認證

Peter_EO
Peter_EO 文章數: 4
First Comment
防火牆系列

您好:

目前使用 Flex 500 (韌體版本:V5.37(ABUJ.1)),需求是要在 Flex 500 使用 Windows AD 認證使用者 + 使用 Google Authenticator 做 SSl VPN 登入認證,若不啟用 2FA 認證,可正常使用 SSLVPN 登入。

在啟用 2FA 後,AD 使用者會收到來自 Zyxel Flex 500 寄出的信件,但點選 "AUTHORIZE" 後卻無法出現要輸入認證數字的畫面,而導致在三分鐘後 SSLVPN 斷線。
是否 SSLVPN 使用 Windows AD 認證無法使用 2FA 認證呢 ?

2FA_AUTHORIZE_Mail.png
2FA_Error_Message.png
AD_User.png
SSLVPN_Login_Status.png
USG_SSLVPN_Log.png

All Replies

  • Zyxel_CSO
    Zyxel_CSO 文章數: 435  Zyxel Employee
    5 Answers First Comment Friend Collector Eighth Anniversary

    Hi @Peter_EO ,

    請問在Error_Message.png的圖片上.有顯示開Port 8008.這個是外部IP 還是內部IP呢??

    Zyxel Nebula Support

  • Peter_EO
    Peter_EO 文章數: 4
    First Comment

    您好:

    謝謝 !

    我改用內部 IP 後 AUTHORIZE 就可以了,但還是無法使用 Google Authentication 做 2FA/MFA 認證,有查看文件說明只有在 Local User 才支援 Google Authenticator,是否如此呢 ?!

  • Zyxel小編 Koda
    Zyxel小編 Koda 文章數: 142  Zyxel Employee
    5 Answers First Comment Friend Collector Second Anniversary

    @Peter_EO 您好,是的AD-USER 無法使用 Google Authentication 做 2FA/MFA 認證。

  • Peter_EO
    Peter_EO 文章數: 4
    First Comment

    您好:

    已經設定且測試正常了,但客戶有另一個需求,就是要使用 SSLVPN Full Tunnel,但這時候產生一個矛盾狀況:

    當使用者使用 Windows AD 帳號密碼通過認證也取得 SSLVPN 派發的 IP,Flex500 也發出 AUTHORIZE 信件給使用者,但這時因為是啟用 SSL Full Tunnel Mode,導致所有流量都指向 Flex 500 ,但此流量還沒有得到 授權,因此連帶的讓使用者無法連上 Internet 也無法連到單位的 Mail Server 收信,而導致 SSLVPN 無法連線。

    請問此問題該如何處理呢 ?

    USG_Fles550_SSLVPN_Full_Tunnel_Mode.png

  • zyxel_bo
    zyxel_bo 文章數: 134  Zyxel Employee
    25 Answers First Comment Friend Collector Third Anniversary

    Hi @Peter_EO ~

    https://community.zyxel.com/tw/discussion/comment/59473#Comment_59473

    如您所遇到的情況.因為SSLVPN 撥入後全部流量都是由Firewall轉發,但因為尚未二階段認證通過.

    所以導致Firewall 不會允許流量通過.

    建議透過第二裝置如手機等,接收Mail 來驗證使用~

  • JMTLUO
    JMTLUO 文章數: 2
    First Comment Friend Collector First Anniversary

    您好:

    考量到前端使用者的配備可能只有一部筆電的情形時,是否表示在使用 SSLVPN Full Tunnel Mode 時, 就無法搭配 2FA 方式做認證 ?!

  • zyxel_bo
    zyxel_bo 文章數: 134  Zyxel Employee
    25 Answers First Comment Friend Collector Third Anniversary

    Hi @JMTLUO 您好 ~

    https://community.zyxel.com/tw/discussion/comment/59493#Comment_59493

    目前來講提供的2FA 認證方式有SMS/Mail/Google Authenticator,所以如果單純是本機帳號+2FA的話
    可以透過PC 安裝Google Authenticator,第一階段認證成功後,在於瀏覽器手動輸入URL 來做2FA 的認證

  • JMTLUO
    JMTLUO 文章數: 2
    First Comment Friend Collector First Anniversary
    https://community.zyxel.com/tw/discussion/comment/59499#Comment_59499

    您好:

    在 Split-Tunnel Mode 下使用 Email 做 2FA 已確認可行且網路連線正常,如果客戶只有一部筆電上網,在啟用 SSLVPN Full tunnel Mode 後因為流量全部被導向到 Firewall ,導致筆電也無法上網收發來自 Flex500 寄出的 Authorize 信件,因此 2FA 認證無法完成,導致 SSLVPN 無法連線成功。

    我的問題是:在 SSLVPN 使用 Full Tunnel mode 並整合 Windows AD 認證,要如何完成 2FA 認證讓 SSLVPN 連線成功 ? 因為客戶要求 SSLVPN 連線後的流量進出代表的 IP 位址必須是 Firewall WAN 端 IP (類似目前網際網路上的 Surfshark VPN 之類的應用),但客戶只有一部筆電可用,沒有其他裝置可以連到外部網路收取 2FA 認證信件。

    此問題因為是客戶環境需求,無法使用其他第二台裝置收發信件。

  • zyxel_bo
    zyxel_bo 文章數: 134  Zyxel Employee
    25 Answers First Comment Friend Collector Third Anniversary

    Hi @JMTLUO 您好,

    目前SSLVPN With AD User 無法搭配2FA來使用喔~

    https://community.zyxel.com/tw/discussion/comment/59372#Comment_59372

分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)