Настройка двухфакторной аутентификации в VPN на основе межсетевого экрана UserGate

Общая информация

В статье описывается настройка межсетевого экрана UserGate для подключения к VPN c двухфакторной аутентификацией.

Применимо к версиям:

• UserGate 5
• UserGate 6

Возможные способы аутентификации:

• Мобильное приложение MultiFactor
• Telegram
• Звонок (нужно принять вызов и нажать #)

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

В рамках этой инструкции мы будем считать, что Radius Adapter запущен и ожидает запросов по адресу 192.168.1.240:1812.

Схема работы

1. Клиент VPN подключается к UserGate серверу, указывает логин и пароль;
2. Usergate сервер переадресовывает запрос компоненту MultiFactor Radius Adapter;
3. Компонент проверяет логин и пароль пользователя в домене ActiveDirectory и отправляет на устройство пользователя запрос подтверждения входа;
4. Пользователь подтверждает запрос в устройстве и подключается к VPN.

Настройка VPN для удаленного доступа клиентов (Remote access VPN)

1. Создайте сервер авторизации. В разделе Пользователи и устройства-->Сервер авторизации добавьте новый RADIUS сервер. Укажите название сервера, секрет из настроек Radius Adapter, его IP адрес и порт.

2. Для настройки VPN воспользуйтесь инструкцией на сайте поддержки UserGate.
3. На Шаге 5 при добавлении профиля авторизации в качестве метода аутентификации укажите ранее созданный сервер авторизации.

Настройка клиента

Откройте Параметры -> Сеть и интернет -> VPN.

Добавьте новое VPN подключение:

• Поставщик услуг: Windows (встроенные);
• Имя подключения: произвольное;
• Имя или адрес сервера: адрес вашего сервера;
• Тип VPN: L2TP/IPsec с общим ключом
• Общий ключ: скопируйте из настроек вашего UserGate VPN
• Тип данных для входа: Имя пользователя и пароль

Далее перейдите в настройки параметров адаптера, и откройте свойства подключения.

На вкладке Параметры нажмите "Параметры PPP..." и в открывшемся окошке уберите галочку напротив "Включить расширения LCP".

На вкладке Безопасность выберите "Разрешить следующие протоколы": Незашифрованный пароль (PAP).

Сохраните и закройте.

Запустите соединение, введите логин и пароль. От Мультифактора придет запрос на телефон с подтверждением

Смотрите также:

• Портал для самостоятельной регистрации 2fa;
• Настройка Radius Adapter для Linux;
• Настройка двухфакторной аутентификации на сервере CentOS.