Autenticação externa do usuário usando RADIUS

Figura 1: Acesso e login J-Web

Depois de fazer login com sucesso, você aterrissa na página Configurações Básicas. A Figura 2 mostra um exemplo da página inicial.

Figura 2: Página inicial da J-Web

1. Depois de clicar em VPN IPsec, a página de VPN IPsec aparece. A Figura 3 mostra um exemplo da página vpn IPsec .

   Figura 3: Página VPN IPsec

2. No canto direito da página, selecione Criar VPN > acesso remoto > Juniper Secure Connect para criar a configuração de VPN IPsec para o Juniper Secure Connect.

   A mensagem de aviso a seguir aparece:

   Figura 4: Mensagem de aviso para gerar e vincular certificado autoassinado

   Como mencionado na mensagem de aviso, crie um certificado auto-assinado e vincule o certificado ao firewall da Série SRX. Para obter mais informações, veja como preparar a configuração do Juniper Secure Connect.

   Para obter informações detalhadas sobre a criação de uma VPN de acesso remoto, consulte Criar uma VPN de acesso remoto — Juniper Secure Connect.

3. Navegue novamente até a VPN > rede > VPN IPsec e, no canto direito da página, selecione Criar VPN > acesso remoto > Juniper Secure Connect para criar a configuração de VPN IPsec para o Juniper Secure Connect. A página Criar acesso remoto (Juniper Secure Connect) aparece. A Figura 5 mostra um exemplo para criar VPN de acesso remoto.

   Figura 5: Crie VPN - Acesso remoto

   A Figura 6 mostra um exemplo da criação de uma página de acesso remoto com método de autenticação de chave pré-compartilhado.

   Figura 6: Crie uma página de acesso remoto para um método de autenticação de chave pré-compartilhado

1. Insira o nome da conexão de acesso remoto (ou seja, o nome que será exibido no nome do reino dos usuários finais no aplicativo Juniper Secure Connect) e uma descrição.

2. O modo de roteamento é definido como seletor de tráfego (inserção de rota automática) por padrão .

3. Selecione o método de autenticação. Por exemplo, selecione a chave pré-compartilhada no menu suspenso.

4. Selecione Sim para criar a política de firewall automaticamente usando a opção De política de firewall de criação automática.

Figura 7: crie uma página de acesso remoto

Figura 8: Página do usuário remoto

A Figura 8 mostra um exemplo da página do Usuário Remoto.

Configure o cliente de usuário remoto selecionando as opções na página do Usuário Remoto e clicando em OK :

A Tabela 1 resume as opções de configurações remotas do usuário.

A Figura 9 mostra um exemplo das configurações de configuração do gateway local.

Figura 9: Configuração do gateway local

1. Se você habilitar o Gateway está por trás do NAT, uma caixa de texto aparece. Na caixa de texto, digite o endereço IP NAT. Oferecemos suporte apenas a endereços IPv4. O endereço NAT é o endereço externo.

2. Insira um ID IKE em formato user@hostname.com . Por exemplo, abc@xyz.com.

3. No campo interface externa , selecione o endereço IP para os clientes se conectarem. Você deve inserir este mesmo endereço IP (neste exemplo: https://12.12.12.12/) para o campo gateway Address no aplicativo Juniper Secure Connect.

   Se você habilitar o Gateway por trás do NAT, o endereço IP NAT se tornará o endereço de gateway.

4. Na lista drop-down da Interface do Túnel , selecione uma interface para vinculá-la à VPN baseada em rotas. Alternativamente, clique em Adicionar. Se você clicar em Adicionar, a página Criar interface de túnel aparece.

   A Figura 10 mostra um exemplo da página Criar interface de túnel.

   Figura 10: crie uma página de interface de túnel

   O próximo número de interface lógica ST0 disponível é exibido no campo da Unidade de Interface e você pode inserir uma descrição para esta interface. Selecione a zona para adicionar essa interface de túnel. Se a política de firewall criada automaticamente (na página Criar acesso remoto) for definida como Sim, a política de firewall usa essa zona. Clique em OK.

5. Insira a chave pré-compartilhada no formato ASCII. Não oferecemos suporte a formato hexadecimal para VPN de acesso remoto.

6. Na lista drop-down da Autenticação do Usuário , selecione um perfil de acesso existente ou clique em Adicionar para criar um novo perfil de acesso. Se você clicar em Adicionar, a página criar o perfil de acesso aparece.

   A Figura 11 mostra um exemplo da página Criar perfil de acesso.

   Figura 11: crie uma página de perfil de acesso

   Digite o nome do perfil de acesso. Na lista drop-down da Atribuição de Endereços , selecione um pool de endereços ou clique em Criar pool de endereços. Se você clicar em Criar pool de endereços, a página criar pool de endereços aparece.

   A janela criar pool de endereços aparece.

   A Figura 12 mostra um exemplo da página Criar pool de endereços.

   Figura 12: crie a página do pool de endereços

   • Digite os detalhes do pool ip local que está na política de VPN para os clientes. Digite um nome para o pool de endereços IP.

   • Digite o endereço de rede que você usa para a atribuição de endereços.

   • Insira seu endereço de servidor DNS. Insira os detalhes do servidor WINS, se necessário. Agora clique no ícone adicionar (+) para criar a faixa de endereços para atribuir endereços IP aos clientes.

   • Insira o nome e os limites inferiores e superiores. Depois de entrar nos detalhes, clique em OK.

   Selecione a caixa de verificação RADIUS , onde todos os detalhes de autenticação são armazenados em um servidor de raio externo.

   • Clique no ícone adicionar (+) para configurar os detalhes do servidor de raio. Veja a Figura 13.

     Figura 13: Crie a página do RADIUS Server

   • Digite o endereço IP do Radius Server, o radius secret e o endereço de origem para que as comunicações de raio sejam originadas. Clique em OK.

     Na Ordem de Autenticação, da lista drop-down da Ordem 1 selecione RADIUS. Clique em OK para completar a configuração do perfil de acesso.

     A Figura 14 mostra um exemplo da página Criar perfil de acesso.

     Figura 14: crie uma página de perfil de acesso

7. Na lista drop-down do perfil SSL VPN , selecione um perfil existente ou clique em Adicionar para criar um novo perfil de VPN SSL. Se você clicar em Adicionar, a página de perfil de VPN Add SSL aparece.

   A Figura 15 mostra um exemplo da página de perfil de VPN Add SSL.

   Figura 15: Adicione a página de perfil da SSL VPN

   Na página de perfil de VPN Add SSL , você pode configurar o perfil de VPN SSL. Digite o nome do perfil SSL VPN no campo Name e habilite o registro usando o alternador, se necessário. No campo de perfil de encerramento de SSL , selecione o perfil de encerramento de SSL da lista de desistências. O encerramento de SSL é um processo em que os firewalls da Série SRX atuam como um servidor proxy SSL e encerra a sessão SSL do cliente. Se você quiser criar um novo perfil de encerramento de SSL, clique em Adicionar. A página de perfil de encerramento do Create SSL aparece.

   A Figura 16 mostra um exemplo da página de perfil de encerramento do Create SSL.

   Figura 16: Crie a página de perfil de encerramento da SSL

   • Digite o nome do perfil de encerramento de SSL e selecione o certificado de servidor que você usa para o encerramento de SSL nos firewalls da Série SRX. Clique em Adicionar para adicionar um novo certificado de servidor ou clique em Importar para importar o certificado do servidor. O certificado do servidor é um identificador de certificado local. Os certificados de servidor são usados para autenticar a identidade de um servidor.

   • Clique em OK.

8. A opção de tráfego NAT de origem é habilitada por padrão. Quando o tráfego NAT de origem é ativado, todo o tráfego do aplicativo Juniper Secure Connect é NATed para a interface selecionada por padrão. Clique no botão de alternar para desativar a opção de tráfego NAT de origem. Se a opção for desabilitada, você deve garantir que você tenha uma rota da sua rede apontando para os firewalls da Série SRX para lidar com o tráfego de retorno corretamente.

9. Em Redes Protegidas, clique no ícone adicionar (+) para selecionar as redes a que o aplicativo Juniper Secure Connect pode se conectar.

   A Figura 17 mostra um exemplo da página Criar redes protegidas .

   Figura 17: Crie uma página de redes protegidas

   Por padrão, qualquer rede 0.0.0.0/0 é permitida. Se você configurar uma rede específica, o tunelamento dividido para o aplicativo Juniper Secure Connect será ativado. Se você reter o valor padrão, você pode restringir o acesso às suas redes definidas ajustando a política de firewall da rede do cliente. Clique em OK e as redes selecionadas estão agora na lista de redes protegidas. Clique em OK para completar a configuração local do gateway.

   A Figura 18 mostra um exemplo de conclusão bem-sucedida da configuração de acesso remoto com usuário remoto e gateway local.

   Figura 18: Configuração completa de acesso remoto

   As configurações do IKE e as configurações IPsec são opções avançadas. A J-Web já está configurada com valores padrão para os parâmetros IKE e IPsec. Não é obrigatório configurar essas configurações.

A Figura 19 destaca a URL que o usuário remoto deve entrar no campo de endereços Gateway no aplicativo Juniper Secure Connect para estabelecer uma conexão de acesso remoto.

Figura 19: Confirmar configuração de acesso remoto

1. Clique em Salvar para concluir a configuração de VPN do Juniper Secure Connect e a política associada se você tiver selecionado a opção de criação de políticas automáticas.

2. Clique no botão Commit destacado (na parte superior direita da página ao lado do Botão de Feedback) para confirmar a configuração.