在 Flex 500 使用 Windows AD 認證使用者 + 使用 Google Authenticator 做 SSl VPN 登入認證

您好:

目前使用 Flex 500 (韌體版本:V5.37(ABUJ.1)),需求是要在 Flex 500 使用 Windows AD 認證使用者 + 使用 Google Authenticator 做 SSl VPN 登入認證,若不啟用 2FA 認證,可正常使用 SSLVPN 登入。

在啟用 2FA 後,AD 使用者會收到來自 Zyxel Flex 500 寄出的信件,但點選 "AUTHORIZE" 後卻無法出現要輸入認證數字的畫面,而導致在三分鐘後 SSLVPN 斷線。
是否 SSLVPN 使用 Windows AD 認證無法使用 2FA 認證呢 ?

歡迎!

It looks like you're new here. If you want to get involved, click on this button!

All Replies

  • 文章數: 447  Zyxel Employee
    5 Answers First Comment Friend Collector Eighth Anniversary

    Hi @Peter_EO ,

    請問在Error_Message.png的圖片上.有顯示開Port 8008.這個是外部IP 還是內部IP呢??

    Zyxel Nebula Support

  • 文章數: 4
    First Comment

    您好:

    謝謝 !

    我改用內部 IP 後 AUTHORIZE 就可以了,但還是無法使用 Google Authentication 做 2FA/MFA 認證,有查看文件說明只有在 Local User 才支援 Google Authenticator,是否如此呢 ?!

  • 文章數: 153  Zyxel Employee
    5 Answers First Comment Friend Collector Third Anniversary

    @Peter_EO 您好,是的AD-USER 無法使用 Google Authentication 做 2FA/MFA 認證。

  • 文章數: 4
    First Comment

    您好:

    已經設定且測試正常了,但客戶有另一個需求,就是要使用 SSLVPN Full Tunnel,但這時候產生一個矛盾狀況:

    當使用者使用 Windows AD 帳號密碼通過認證也取得 SSLVPN 派發的 IP,Flex500 也發出 AUTHORIZE 信件給使用者,但這時因為是啟用 SSL Full Tunnel Mode,導致所有流量都指向 Flex 500 ,但此流量還沒有得到 授權,因此連帶的讓使用者無法連上 Internet 也無法連到單位的 Mail Server 收信,而導致 SSLVPN 無法連線。

    請問此問題該如何處理呢 ?

  • 文章數: 134  Zyxel Employee
    25 Answers First Comment Friend Collector Third Anniversary

    Hi @Peter_EO ~

    如您所遇到的情況.因為SSLVPN 撥入後全部流量都是由Firewall轉發,但因為尚未二階段認證通過.

    所以導致Firewall 不會允許流量通過.

    建議透過第二裝置如手機等,接收Mail 來驗證使用~

  • 文章數: 2
    First Comment Friend Collector First Anniversary

    您好:

    考量到前端使用者的配備可能只有一部筆電的情形時,是否表示在使用 SSLVPN Full Tunnel Mode 時, 就無法搭配 2FA 方式做認證 ?!

  • 文章數: 134  Zyxel Employee
    25 Answers First Comment Friend Collector Third Anniversary

    Hi @JMTLUO 您好 ~

    目前來講提供的2FA 認證方式有SMS/Mail/Google Authenticator,所以如果單純是本機帳號+2FA的話
    可以透過PC 安裝Google Authenticator,第一階段認證成功後,在於瀏覽器手動輸入URL 來做2FA 的認證

  • 文章數: 2
    First Comment Friend Collector First Anniversary

    您好:

    在 Split-Tunnel Mode 下使用 Email 做 2FA 已確認可行且網路連線正常,如果客戶只有一部筆電上網,在啟用 SSLVPN Full tunnel Mode 後因為流量全部被導向到 Firewall ,導致筆電也無法上網收發來自 Flex500 寄出的 Authorize 信件,因此 2FA 認證無法完成,導致 SSLVPN 無法連線成功。

    我的問題是:在 SSLVPN 使用 Full Tunnel mode 並整合 Windows AD 認證,要如何完成 2FA 認證讓 SSLVPN 連線成功 ? 因為客戶要求 SSLVPN 連線後的流量進出代表的 IP 位址必須是 Firewall WAN 端 IP (類似目前網際網路上的 Surfshark VPN 之類的應用),但客戶只有一部筆電可用,沒有其他裝置可以連到外部網路收取 2FA 認證信件。

    此問題因為是客戶環境需求,無法使用其他第二台裝置收發信件。

  • 文章數: 134  Zyxel Employee
    25 Answers First Comment Friend Collector Third Anniversary

    Hi @JMTLUO 您好,

    目前SSLVPN With AD User 無法搭配2FA來使用喔~

歡迎!

It looks like you're new here. If you want to get involved, click on this button!

歡迎!

It looks like you're new here. If you want to get involved, click on this button!