Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Authentifizierung durch externe Benutzer mit RADIUS

ZUSAMMENFASSUNG Diese Konfiguration ist sicherer, da Sie denselben Benutzernamen und dasselbe Passwort wie bei Ihrer Domain-Anmeldung verwenden und Ihre Anmeldeinformationen ändern oder wiederherstellen können, ohne mit dem Firewall-Administrator zu interagieren. Es bedeutet auch eine geringere Arbeitsbelastung für den Administrator, da das Kennwort häufig geändert werden muss. Es wird empfohlen, diese Konfiguration für die Authentifizierung des Benutzers zu verwenden.

Wir gehen davon aus, dass Sie die grundlegende Einrichtung Ihrer Firewalls der SRX-Serie, einschließlich Schnittstellen, Zonen und Sicherheitsrichtlinien, abgeschlossen haben, wie im Bereitstellungsszenario für Juniper Secure Connect dargestellt.

Informationen zu den Voraussetzungen finden Sie unter Systemanforderungen.

Anmerkung:

Sie müssen sicherstellen, dass die Firewall der SRX-Serie entweder ein signiertes Zertifikat oder ein selbstsigniertes Zertifikat anstelle des standardmäßigen vom System generierten Zertifikats verwendet. Bevor Sie mit der Konfiguration von Juniper Secure Connect beginnen, sollten Sie unbedingt die Anweisungen unter Voraussetzungen für die Bereitstellung von Juniper Secure Connect lesen.

Konfigurieren der Juniper Secure Connect VPN-Einstellungen

So konfigurieren Sie VPN-Einstellungen über die J-Web-Schnittstelle:

  1. Melden Sie sich über die J-Web-Schnittstelle bei Ihrer Firewall der SRX-Serie an. Abbildung 1 zeigt die J-Web-Anmeldeseite.
    Abbildung 1: J-Web-Zugriff und Anmeldung J-Web Access and Login

    Nachdem Sie sich erfolgreich angemeldet haben, landen Sie auf der Seite Grundeinstellungen. Abbildung 2 zeigt ein Beispiel für die Landingpage.

    Abbildung 2: J-Web-Landingpage J-Web Landing Page
  2. Navigieren Sie im J-Web-Seitenbereich zu Network > VPN > IPsec VPN.

    1. Nachdem Sie auf IPsec-VPN geklickt haben, wird die Seite IPsec-VPN angezeigt. Abbildung 3 zeigt ein Beispiel für die IPsec-VPN-Seite .

      Abbildung 3: IPsec-VPN-Seite IPsec VPN Page

    2. Wählen Sie in der rechten Ecke der Seite VPN > Remotezugriff erstellen > Juniper Secure Connect aus, um die IPsec-VPN-Einstellung für Juniper Secure Connect zu erstellen.

      Die folgende Warnmeldung wird angezeigt:

      Abbildung 4: Warnmeldung zum Generieren und Binden eines selbstsignierten Zertifikats Warning Message To Generate And Bind Self-signed Certificate

      Erstellen Sie, wie in der Warnmeldung erwähnt, ein selbstsigniertes Zertifikat, und binden Sie das Zertifikat an die Firewall der SRX-Serie. Weitere Informationen finden Sie unter Vorbereiten der Bereitstellung von Juniper Secure Connect.

      Ausführliche Informationen zum Erstellen eines RAS-VPN finden Sie unter Erstellen eines RAS-VPN – Juniper Secure Connect.

    3. Navigieren Sie erneut zu Netzwerk > VPN > IPsec-VPN und wählen Sie in der rechten Ecke der Seite VPN erstellen > Remotezugriff > Juniper Secure Connect aus, um die IPsec-VPN-Einstellung für Juniper Secure Connect zu erstellen. Die Seite "Remotezugriff erstellen (Juniper Secure Connect)" wird angezeigt. Abbildung 5 zeigt ein Beispiel zum Erstellen eines RAS-VPNs.

      Abbildung 5: Erstellen eines VPN – Remotezugriff Create VPN - Remote Access

      Abbildung 6 zeigt ein Beispiel für die Seite zum Erstellen von RAS mit Authentifizierungsmethode mit vorinstalliertem Schlüssel.

      Abbildung 6: Remotezugriffsseite für Authentifizierungsmethode Create Remote Access Page For Pre-shared Key Authentication Method mit vorinstalliertem Schlüssel erstellen
  3. Gehen Sie auf der Seite "Remotezugriff erstellen (Juniper Secure Connect)" (siehe Abbildung 7) wie folgt vor:

    1. Geben Sie den Namen für die RAS-Verbindung (d. h. den Namen, der in der Juniper Secure Connect-Anwendung im Namen des Endbenutzerbereichs angezeigt wird) und eine Beschreibung ein.

    2. Der Routing-Modus ist standardmäßig auf Datenverkehrsauswahl (Automatisches Einfügen von Routen) eingestellt.

    3. Wählen Sie die Authentifizierungsmethode aus. In diesem Beispiel wählen wir Vorinstallierter Schlüssel aus dem Dropdown-Menü aus.

    4. Wählen Sie Ja aus, um die Firewall-Richtlinie automatisch mit der Option Firewall-Richtlinie automatisch erstellen zu erstellen.

    Abbildung 7: Seite "Remotezugriff erstellen" Create Remote Access Page
  4. Klicken Sie auf das Symbol Remotebenutzer , um die Einstellungen der Juniper Secure Connect-Anwendung zu konfigurieren.
    Abbildung 8: Remote-Benutzerseite Remote User Page

    Abbildung 8 zeigt ein Beispiel für die Seite "Remotebenutzer".

    Konfigurieren Sie den Remotebenutzerclient, indem Sie die Optionen auf der Seite Remotebenutzer auswählen und dann auf OK klicken:

    Tabelle 1 fasst die Optionen für Remotebenutzereinstellungen zusammen.

    Tabelle 1: Optionen für Remote-Benutzer-Client-Einstellungen

    Client-Einstellungen für Remotebenutzer

    Beschreibung

    Standardprofil

    Das Standardprofil ist standardmäßig aktiviert. Wenn Sie nicht möchten, dass dieses Profil das Standardprofil ist, klicken Sie auf die Umschaltfläche.

    Wenn Sie Standardprofil für das VPN-Verbindungsprofil aktivieren, wählt Juniper Secure Connect automatisch das Standardprofil als Bereichsnamen aus (in diesem Beispiel: https://12.12.12.12/). In diesem Fall ist die Eingabe des Bereichsnamens in Juniper Secure Connect optional.

    Wenn Sie das Standardprofil für das VPN-Verbindungsprofil deaktivieren, müssen Sie den Bereichsnamen zusammen mit der Gateway-Adresse (in diesem Beispiel: https://12.12.12.12/JUNIPER_SECURE_CONNECT) in Juniper Secure Connect eingeben.

    Anmerkung:

    Ab Junos OS 23.1R1 ist das Standardprofil in J-Web veraltet. In der CLI bieten wir jedoch Abwärtskompatibilität und die Möglichkeit, Ihre vorhandene Konfiguration an die geänderte Konfiguration anzupassen, anstatt sie sofort zu entfernen. Sie erhalten eine Warnmeldung, wenn Sie weiterhin die Option default-profile in Ihrer Konfiguration verwenden. Vorhandene Bereitstellungen sind jedoch nicht betroffen, wenn Sie die aktuelle Konfiguration mithilfe der CLI ändern. Siehe default-profile (Juniper Secure

    Verbindungsmodus

    Um die Client-Verbindung manuell oder automatisch herzustellen, wählen Sie die entsprechende Option aus.

    • Wenn Sie "Manuell" und dann in der Anwendung "Juniper Secure Connect" auswählen, müssen Sie zum Herstellen einer Verbindung entweder auf die Umschaltfläche klicken oder im Menü "Verbindung > Verbinden " auswählen.

    • Wenn Sie Immer auswählen, stellt Juniper Secure Connect die Verbindung automatisch her.

    Bekannte Einschränkung:

    Android-Gerät: Wenn Sie Always verwenden oder auswählen, wird die Konfiguration vom ersten verwendeten SRX-Gerät heruntergeladen. Wenn sich die erste Firewall-Konfiguration der SRX-Serie ändert oder Sie eine Verbindung zu einem neuen SRX-Gerät herstellen, wird die Konfiguration nicht in die Juniper Secure Connect-Anwendung heruntergeladen.

    Das bedeutet, dass nach dem Herstellen einer Verbindung im Always-Modus mit dem Android-Gerät alle Konfigurationsänderungen an der Firewall der SRX-Serie nicht mehr auf Juniper Secure Connect wirksam werden.

    SSL-VPN

    Klicken Sie auf die Umschaltfläche, um die Unterstützung für SSL-VPN-Verbindungen von der Juniper Secure Connect-Anwendung zu den Firewalls der SRX-Serie zu aktivieren. Verwenden Sie diese Option, wenn IPsec-Ports nicht zulässig sind. Durch die Aktivierung von SSL VPN hat der Client die Flexibilität, die Firewalls der SRX-Serie zu verbinden. Standardmäßig ist SSL VPN aktiviert.

    Biometrische Authentifizierung

    Diese Option ist standardmäßig deaktiviert. Wenn Sie diese Option aktivieren und in Juniper Secure Connect auf "Verbinden" klicken, zeigt Juniper Secure Connect eine Authentifizierungsaufforderung an.

    Diese Option ermöglicht es dem Benutzer, seine Anmeldeinformationen mithilfe der integrierten biometrischen Authentifizierungsunterstützung des Betriebssystems zu schützen.

    Erkennung toter Peers

    Dead Peer Detection (DPD) ist standardmäßig aktiviert, damit der Client erkennen kann, wenn die Firewall der SRX-Serie nicht erreichbar ist, und die Verbindung deaktivieren kann, bis die Erreichbarkeit wiederhergestellt ist.

    Windows-Anmeldung

    Diese Option ermöglicht es Benutzern, sich über einen bereits eingerichteten VPN-Tunnel (unter Verwendung von Windows Pre-Logon) am lokalen Windows-System anzumelden, sodass es bei der zentralen Windows-Domäne oder Active Directory authentifiziert wird.
  5. Klicken Sie auf Lokales Gateway , um die Einstellungen für das lokale Gateway zu konfigurieren.

    Abbildung 9 zeigt ein Beispiel für die Konfigurationseinstellungen des lokalen Gateways.

    Abbildung 9: Konfiguration Local Gateway Configuration des lokalen Gateways

    1. Wenn Sie die Option Gateway ist hinter NAT, wird ein Textfeld angezeigt. Geben Sie in das Textfeld die NAT-IP-Adresse ein. Wir unterstützen nur IPv4-Adressen. Die NAT-Adresse ist die externe Adresse.

    2. Geben Sie eine IKE-ID im user@hostname.com Format ein. Beispiel: abc@xyz.com.

    3. Wählen Sie im Feld Externe Schnittstelle die IP-Adresse aus, mit der die Clients eine Verbindung herstellen sollen. Sie müssen dieselbe IP-Adresse (in diesem Beispiel: https://12.12.12.12/) für das Feld Gateway-Adresse in der Juniper Secure Connect-Anwendung eingeben.

      Wenn Sie Gateway ist hinter NAT, wird die NAT-IP-Adresse zur Gateway-Adresse.

    4. Wählen Sie in der Dropdown-Liste Tunnelschnittstelle eine Schnittstelle aus, um sie an das routenbasierte VPN zu binden. Klicken Sie alternativ auf Hinzufügen. Wenn Sie auf Hinzufügen klicken, wird die Seite Tunnelschnittstelle erstellen angezeigt.

      Abbildung 10 zeigt ein Beispiel für die Seite Tunnelschnittstelle erstellen.

      Abbildung 10: Seite "Tunnelschnittstelle erstellen" Create Tunnel Interface Page

      Die nächste verfügbare logische ST0-Schnittstellennummer wird im Feld Schnittstelleneinheit angezeigt, und Sie können eine Beschreibung für diese Schnittstelle eingeben. Wählen Sie die Zone aus, zu der diese Tunnelschnittstelle hinzugefügt werden soll. Wenn Firewallrichtlinie automatisch erstellen (auf der Seite "Remotezugriff erstellen") auf Ja festgelegt ist, verwendet die Firewallrichtlinie diese Zone. Klicken Sie auf OK.

    5. Geben Sie den vorinstallierten Schlüssel im ASCII-Format ein. Wir unterstützen kein Hexadezimalformat für Remote-Access-VPN.

    6. Wählen Sie in der Dropdown-Liste Benutzerauthentifizierung ein vorhandenes Zugriffsprofil aus, oder klicken Sie auf Hinzufügen , um ein neues Zugriffsprofil zu erstellen. Wenn Sie auf "Hinzufügen" klicken, wird die Seite "Zugriffsprofil erstellen " angezeigt.

      Abbildung 11 zeigt ein Beispiel für die Seite "Zugriffsprofil erstellen".

      Abbildung 11: Seite "Zugriffsprofil erstellen" Create Access Profile Page

      Geben Sie den Namen des Zugriffsprofils ein. Wählen Sie in der Dropdown-Liste Adresszuweisung einen Adresspool aus, oder klicken Sie auf Adresspool erstellen. Wenn Sie auf "Adresspool erstellen" klicken, wird die Seite "Adresspool erstellen" angezeigt.

      Das Fenster "Adresspool erstellen " wird angezeigt.

      Abbildung 12 zeigt ein Beispiel für die Seite "Adresspool erstellen".

      Abbildung 12: Seite "Adresspool erstellen" Create Address Pool Page

      • Geben Sie die Details für den lokalen IP-Pool ein, der sich in der VPN-Richtlinie für die Clients befindet. Geben Sie einen Namen für den IP-Adresspool ein.

      • Geben Sie die Netzwerkadresse ein, die Sie für die Adressvergabe verwenden.

      • Geben Sie Ihre DNS-Serveradresse ein. Geben Sie bei Bedarf die Details des WINS-Servers ein. Klicken Sie nun auf das Hinzufügen-Symbol (+), um den Adressbereich für die Zuweisung von IP-Adressen an die Clients zu erstellen.

      • Geben Sie den Namen sowie die unteren und oberen Grenzwerte ein. Nachdem Sie die Details eingegeben haben, klicken Sie auf OK.

      Aktivieren Sie das Kontrollkästchen RADIUS , in dem alle Authentifizierungsdetails auf einem externen RADIUS-Server gespeichert werden.

      • Klicken Sie auf das Symbol "Hinzufügen" (+), um die Details des RADIUS-Servers zu konfigurieren. Siehe Abbildung 13.

        Abbildung 13: Seite "RADIUS-Server erstellen" Create RADIUS Server Page

      • Geben Sie die IP-Adresse des RADIUS-Servers, den geheimen RADIUS-Schlüssel und die Quelladresse für die RADIUS-Kommunikation ein, von der die Verbindung abgerufen werden soll. Klicken Sie auf OK.

        Wählen Sie in der Authentifizierungsreihenfolge in der Dropdown-Liste Reihenfolge 1 die Option RADIUS aus. Klicken Sie auf OK , um die Konfiguration des Zugriffsprofils abzuschließen.

        Abbildung 14 zeigt ein Beispiel für die Seite "Zugriffsprofil erstellen".

        Abbildung 14: Seite "Zugriffsprofil erstellen" Create Access Profile Page

    7. Wählen Sie in der Dropdown-Liste SSL-VPN-Profil ein vorhandenes Profil aus oder klicken Sie auf Hinzufügen , um ein neues SSL-VPN-Profil zu erstellen. Wenn Sie auf Hinzufügen klicken, wird die Seite SSL-VPN-Profil hinzufügen angezeigt.

      Abbildung 15 zeigt ein Beispiel für die Seite "SSL-VPN-Profil hinzufügen".

      Abbildung 15: Seite "SSL-VPN-Profil hinzufügen" Add SSL VPN Profile Page

      Auf der Seite SSL-VPN-Profil hinzufügen können Sie das SSL-VPN-Profil konfigurieren. Geben Sie den Namen des SSL-VPN-Profils in das Feld Name ein und aktivieren Sie die Protokollierung bei Bedarf über den Schalter. Wählen Sie im Feld SSL-Terminierungsprofil das SSL-Terminierungsprofil aus der Dropdown-Liste aus. SSL-Terminierung ist ein Prozess, bei dem die Firewalls der SRX-Serie als SSL-Proxyserver fungieren und die SSL-Sitzung vom Client beenden. Wenn Sie ein neues SSL-Terminierungsprofil erstellen möchten, klicken Sie auf Hinzufügen. Die Seite SSL-Terminierungsprofil erstellen wird angezeigt.

      Abbildung 16 zeigt ein Beispiel für die Seite SSL-Terminierungsprofil erstellen.

      Abbildung 16: Seite "SSL-Terminierungsprofil erstellen" Create SSL Termination Profile Page

      • Geben Sie den Namen für das SSL-Terminierungsprofil ein, und wählen Sie das Serverzertifikat aus, das Sie für die SSL-Terminierung auf den Firewalls der SRX-Serie verwenden. Klicken Sie auf Hinzufügen , um ein neues Serverzertifikat hinzuzufügen, oder klicken Sie auf Importieren , um das Serverzertifikat zu importieren. Das Serverzertifikat ist eine lokale Zertifikatskennung. Serverzertifikate werden verwendet, um die Identität eines Servers zu authentifizieren.

      • Klicken Sie auf OK.

    8. Die Option Quell-NAT-Datenverkehr ist standardmäßig aktiviert. Wenn Quell-NAT-Datenverkehr aktiviert ist, wird der gesamte Datenverkehr von der Juniper Secure Connect-Anwendung standardmäßig per NAT an die ausgewählte Schnittstelle gesendet. Klicken Sie auf die Umschaltfläche, um die Option Quell-NAT-Datenverkehr zu deaktivieren. Wenn die Option deaktiviert ist, müssen Sie sicherstellen, dass Sie eine Route von Ihrem Netzwerk haben, die auf die Firewalls der SRX-Serie verweist, um den Rückverkehr korrekt zu verarbeiten.

    9. Klicken Sie unter "Geschützte Netzwerke" auf das Symbol "Hinzufügen" (+), um die Netzwerke auszuwählen, mit denen die Juniper Secure Connect-Anwendung eine Verbindung herstellen kann.

      Abbildung 17 zeigt ein Beispiel für die Seite "Geschützte Netzwerke erstellen ".

      Abbildung 17: Seite "Geschützte Netzwerke erstellen" Create Protected Networks Page

      Standardmäßig ist jedes Netzwerk 0.0.0.0/0 zulässig. Wenn Sie ein bestimmtes Netzwerk konfigurieren, wird Split-Tunneling für die Juniper Secure Connect-Anwendung aktiviert. Wenn Sie den Standardwert beibehalten, können Sie den Zugriff auf Ihre definierten Netzwerke einschränken, indem Sie die Firewall-Richtlinie vom Client-Netzwerk aus anpassen. Klicken Sie auf OK, und die ausgewählten Netzwerke befinden sich nun in der Liste der geschützten Netzwerke. Klicken Sie auf OK , um die Konfiguration des lokalen Gateways abzuschließen.

      Abbildung 18 zeigt ein Beispiel für den erfolgreichen Abschluss der RAS-Konfiguration mit Remote-Benutzer und lokalem Gateway.

      Abbildung 18: Vollständige Konfiguration Complete Remote Access Configuration des Remotezugriffs

      IKE-Einstellungen und IPsec-Einstellungen sind erweiterte Optionen. J-Web ist bereits mit Standardwerten für die Parameter IKE und IPsec konfiguriert. Es ist nicht zwingend erforderlich, diese Einstellungen zu konfigurieren.

  6. Sie können jetzt die URL finden, mit der die Remotebenutzer eine Verbindung herstellen können. Kopieren und speichern Sie diese URL, um sie für Ihre Remotebenutzer freizugeben. Sie benötigen nur die /xxxx-Informationen, wenn diese Konfiguration nicht Ihr Standardprofil ist.

    Abbildung 19 zeigt die URL, die der Remote-Benutzer in das Feld Gateway-Adresse in der Juniper Secure Connect-Anwendung eingeben muss, um eine Remote-Zugriffsverbindung herzustellen.

    Abbildung 19: Konfiguration Commit Remote Access Configuration des Remotezugriffs festschreiben

    1. Klicken Sie auf Speichern , um die Juniper Secure Connect VPN-Konfiguration und die zugehörige Richtlinie abzuschließen, wenn Sie die Option zur automatischen Richtlinienerstellung ausgewählt haben.

    2. Klicken Sie auf die hervorgehobene Schaltfläche Commit (oben rechts auf der Seite neben der Feedback-Schaltfläche), um die Konfiguration zu bestätigen.

Laden Sie die Anwendung Juniper Secure Connect herunter und installieren Sie sie auf dem Client-Computer. Starten Sie Juniper Secure Connect und stellen Sie eine Verbindung zur Gateway-Adresse der Firewall der SRX-Serie her. Weitere Informationen finden Sie im Juniper Secure Connect-Benutzerhandbuch .

Zugehörige Dokumentation