Подключение агентов аутентификации для Windows из разных подсетей

ID статьи: 774
Последнее обновление: 13 сен, 2023
KnowledgeBase:
Product: UserGate NGFW
Version: 6.1.9

Задача

Организовать соединение между агентами аутентификации, установленными в разных сегментах сети, и сервером UserGate в кластере отказоустойчивости Актив-Пассив, используя один адрес назначения.

Решение

Для указания адреса интерфейса UserGate, на который приходят запросы агента аутентификации для Windows, используется параметр "ServerIP". NGFW принимает пакет только в том случае, если указанный в настройках агента адрес назначения ("ServerIP") совпадает с адресом интерфейса, куда пакет пришел; если IP-адрес принадлежит другому интерфейсу NGFW, то пакет будет отброшен.

Для отправки пакетов со всех интерфейсов в один адрес назначения, принадлежащий одному интерфейсу NGFW, необходимо настроить правила DNAT.

Адрес назначения меняется правилом DNAT по адресу источника (для каждой локальной подсети в адрес своего интерфейса). "ServerIP" должен быть виртуальный, поэтому интерфейсы узлов должны быть в разных зонах (узлы разные, на одном сегменте сети одна зона). Необходимо настроить по 2 правила DNAT для каждой сети, соответственно во всех других правилах нужно будет указать по две зоны.

Для того чтобы  использовать один адрес назначения для разных подсетей, необходимо произвести следующие настройки:

  1. Перейдите в раздел Сеть ➜  Зоны и создайте разные зоны для подсетей с пользователями. 

  1. Перейдите в раздел Сеть ➜ Интерфейсы, установите корректные IP-адреса, соответствующие вашим сетям, и назначьте зоны интерфейсам.

  1. Перейдите в раздел Политики сети ➜ NAT и маршрутизация. Поменяйте адрес назначения правилом DNAT по адресу источника (для каждой локальной подсети в адрес своего интерфейса). Адрес должен быть не виртуальным, поэтому интерфейсы узлов должны быть в разных зонах.

Создайте правило DNAT согласно инструкции, подробнее в разделе Политики сети

  1. Перейдите в раздел Политики сети ➜ Межсетевой экран,  в случае если пользователям локальных подсетей требуется в выход в интернет, создайте правило межсетевого экрана указав зоны, присвоенные подсетям.

  1. Установите агент аутентификации согласно инструкции  Агент аутентификации для Windows

  1. Перейдите в раздел Журналы и отчеты ➜ Журнал трафика. В окне журнала будут отражены активные соединения между ПК и NGFW и записи об аутентификации пользователей.

В случае использования кластера отказоустойчивости Актив-Актив: адрес назначения меняется правилом DNAT по адресу источника (для каждой локальной подсети в адрес своего интерфейса), но адрес должен быть не виртуальный, а физический, поэтому интерфейсы узлов должны быть в разных зонах (у каждого интерфейса своя зона). Должно быть создано по два правила DNAT для каждой сети, соответственно во всех других правилах нужно будет указать по две зоны.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 774
Последнее обновление: 13 сен, 2023
Ревизия: 57
Просмотры: 1913
Комментарии: 0
Также опубликовано в