Fortinet Fortigate 60c mit lokale Benutz Win Server 2008R2 verbinden
Hallo Zusammen,
wir haben bei uns in der Feuerwehr eine Fortigate 60c stehen sowie einen Win Server 2008 R2 hierrüber läuft über Terminalserver unser Feuerwehrverwaltungsprogramm. Nun möchte ich gerne per VPN von extern eine Verbindung aufbauen um sich dann auf den Terminal einzuwählen. Am liebsten wäre es mir wenn wir die lokalen Benutzer wo auf dem Server angelegt sind verbinden könnten mit der Fortigate um sich eine Passworteingabe zu sparen bzw. keine Doppelde Benutzerführung.
Hat hier jemand einen Vorschlag für mich wie ich dies am einfachsten realsieren könnte? Active Directory ist nicht vorhanden. Mit einem Radiusserver vielleicht? Hat hier jemand vielleicht ne kurze Anleitung dafür
Danke schon mal im Vorraus.
wir haben bei uns in der Feuerwehr eine Fortigate 60c stehen sowie einen Win Server 2008 R2 hierrüber läuft über Terminalserver unser Feuerwehrverwaltungsprogramm. Nun möchte ich gerne per VPN von extern eine Verbindung aufbauen um sich dann auf den Terminal einzuwählen. Am liebsten wäre es mir wenn wir die lokalen Benutzer wo auf dem Server angelegt sind verbinden könnten mit der Fortigate um sich eine Passworteingabe zu sparen bzw. keine Doppelde Benutzerführung.
Hat hier jemand einen Vorschlag für mich wie ich dies am einfachsten realsieren könnte? Active Directory ist nicht vorhanden. Mit einem Radiusserver vielleicht? Hat hier jemand vielleicht ne kurze Anleitung dafür
Danke schon mal im Vorraus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 206795
Url: https://administrator.de/forum/fortinet-fortigate-60c-mit-lokale-benutz-win-server-2008r2-verbinden-206795.html
Ausgedruckt am: 23.12.2024 um 06:12 Uhr
7 Kommentare
Neuester Kommentar
Zitat von @sonderbarer:
Hallo Zusammen,
Am liebsten wäre es mir wenn wir die lokalen Benutzer wo auf dem Server angelegt sind
verbinden könnten mit der Fortigate um sich eine Passworteingabe zu sparen bzw. keine Doppelde Benutzerführung.
Hat hier jemand einen Vorschlag für mich wie ich dies am einfachsten realsieren könnte? Active Directory ist nicht
vorhanden. Mit einem Radiusserver vielleicht?
Hallo Zusammen,
Am liebsten wäre es mir wenn wir die lokalen Benutzer wo auf dem Server angelegt sind
verbinden könnten mit der Fortigate um sich eine Passworteingabe zu sparen bzw. keine Doppelde Benutzerführung.
Hat hier jemand einen Vorschlag für mich wie ich dies am einfachsten realsieren könnte? Active Directory ist nicht
vorhanden. Mit einem Radiusserver vielleicht?
Ja der NPS von w2k8 sollte auch gegen die lokale Userdatenbank authentifizieren können (konnte der Vorgänger IAS unter w2k3 jedenfalls problemlos). Und die Forti sollte wiederum per Radius gegen NPS authentifizieren können.
Gruß
sk
Zitat von @sonderbarer:
Ich installiere eigentlich nur auf dem w2k8 den radiusserver konfiguriere diesen und trage
die daten in der fortigate ein?
Ich installiere eigentlich nur auf dem w2k8 den radiusserver konfiguriere diesen und trage
die daten in der fortigate ein?
Ja.
Zitat von @sonderbarer:
Gibts dazu ne gute Anleitung? Ich habe schon mein Glück probiert und dies irgend wie nicht ganz hinbekommen leider.
Gibts dazu ne gute Anleitung? Ich habe schon mein Glück probiert und dies irgend wie nicht ganz hinbekommen leider.
Habs bisher nur mit den Firewalls anderer Hersteller in Verbindung mit IAS/w2k3 gemacht. Google und die Knowledgebase/Doku von Fortinet sollten aber ergiebig sein...
Was sagen das Ereignisprotokoll des Windows-Servers sowie das Log der Fortigate zu diesem Zeitpunkt?
Hi!
bei w2k8 musst du das im Network Policy Server einrichten
neuen Standard RADIUS-Client
Policies > Network Policies - hier eine neue Grant-Policy anlegen
bei Conditions gibst du dann zB eine Gruppe an in die du alle User schiebst, die zugreifen dürfen.
Constraints: nur MS-CHAP-v2
Policies > Connection Request Policies
hier musst du eine Policy für 00:00-24:00 anlegen, dass der Server die Anfragen annimmt
auf der fortigate musst du den RADIUS Server eintragen und eine Firewall Regel einrichten, am besten nach Anleitung:
http://docs.fortinet.com/fgt.html - 4.0 oder 5.0 - User Authentication
sg Dirm
bei w2k8 musst du das im Network Policy Server einrichten
neuen Standard RADIUS-Client
Policies > Network Policies - hier eine neue Grant-Policy anlegen
bei Conditions gibst du dann zB eine Gruppe an in die du alle User schiebst, die zugreifen dürfen.
Constraints: nur MS-CHAP-v2
Policies > Connection Request Policies
hier musst du eine Policy für 00:00-24:00 anlegen, dass der Server die Anfragen annimmt
auf der fortigate musst du den RADIUS Server eintragen und eine Firewall Regel einrichten, am besten nach Anleitung:
http://docs.fortinet.com/fgt.html - 4.0 oder 5.0 - User Authentication
sg Dirm
Client: ja Standard. pw und IP eintragen.
du musst eine Richtlinie erstellen die von 00:00 bis 24:00 anfragen von deiner fortigate an den Server zulässt. also immer...
und eine welche User zugreifen dürfen.
in der FGT trägst du den Radius ein und fügst ihn in eine Gruppe und hängst dies in die ssl vpn policy (btw empfehle dir ssl vpn für simplen Zugriff)
das ist aber sehr gut in der Dokumentation beschrieben.
aktuellen ssl Client bekommst du vom fortinet ftp Server.
genauer kann ich es die erst nächste Woche schreiben. weiß das nicht auswendig.
sg Dirm
du musst eine Richtlinie erstellen die von 00:00 bis 24:00 anfragen von deiner fortigate an den Server zulässt. also immer...
und eine welche User zugreifen dürfen.
in der FGT trägst du den Radius ein und fügst ihn in eine Gruppe und hängst dies in die ssl vpn policy (btw empfehle dir ssl vpn für simplen Zugriff)
das ist aber sehr gut in der Dokumentation beschrieben.
aktuellen ssl Client bekommst du vom fortinet ftp Server.
genauer kann ich es die erst nächste Woche schreiben. weiß das nicht auswendig.
sg Dirm