RIP Posted August 30, 2012 (edited) Добрый день, коллеги! Может кто настраивал подобную связку: стоит задача дать доступ сотрудникам через интернет по учётной записи, созданной в Activ Directory. Настройку VPN сервера произвожу на Juniper SRX240, как я понимаю дальше должна быть авторизация с RADIUS сервером (решили применять IAS), а он в свою очередь будет отправлять в AD. Насколько я понял для SRX необходимо приобретать лицензию по количеству удалённых пользователей и по умолчанию возможно не больше 2-х VPN соединений. Настройку SRX произвожу по инструкции: http://kb.juniper.net/library/CUSTOMERSERVICE/GLOBAL_JTAC/technotes/dynamic-vpn-appnote-v12.pdf Заранее благодарен любым советам! Edited August 30, 2012 by RIP Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
triam Posted August 30, 2012 Ну здорово было бы увидеть логи радиуса и как вы траблшутите на SRX'е. Покажите как у вас настроен RADIUS. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RIP Posted August 30, 2012 Если честно, то пока ещё толком никак! Поставили его на виндовс сервер 2003 - вот теперь думаю с какого конца к этой задаче лучше подойти! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
triam Posted August 30, 2012 Нужно смотреть логи радиуса на 2003, что и как. На SRX'е тоже нужно смотреть идёт ли обмен с RADIUS'ом. (Правда там не сильно удобно) set system general-authentification-service traceoptions .... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RIP Posted August 30, 2012 А вообщем как я понял схема вполне жизнеспособна? Хотелось бы услышать отзывы тех, кто применял подобное на практике. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RIP Posted August 31, 2012 Коллеги, не поможете советом - после конфигурирования SRX доступа по VPN, подключаюсь https://ip-adress/dynamic-vpn, вожу логин-пароль, скачиваю приложение и дальше вот эта утилита JNAM не хочет подключаться к SRX. Подскажите где может быть ошибка? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
agr Posted August 31, 2012 (edited) ошибка в выводе JNAM и логах SRX очевидно указана :) Edited August 31, 2012 by agr Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RIP Posted August 31, 2012 ошибка в выводе JNAM и логах SRX очевидно указана :) JNAM пишет - ошибка аутентификации, что странно - первоначально логин\пароль он принял. В SRX смотреть в show log authd? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
agr Posted September 1, 2012 включите traceoptions для security ipsec и можете указать любой файл для лога. И сначала настройте, чтобы работала аутентификация с локальным пользоваталем, а с радиусом уже потом будете заморачиваться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RIP Posted September 12, 2012 В конечном итоге всё получилось, осталось только хорошенько оттестировать. Ссылки на документацию следующие: 1. Настройка SRX: http://kb.juniper.net/library/CUSTOMERSERVICE/GLOBAL_JTAC/technotes/dynamic-vpn-appnote-v12.pdf 2. Настройка IAS для работы с Juniper: http://kb.juniper.net/InfoCenter/index?page=content&id=KB22482 3. Описание работы IAS от Microsoft: http://technet.microsoft.com/en-us/library/cc773343 4. Пользовался так же Wireshark для выявления проблем, поэтому: http://www.wireshark.org/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...