VPNクライアント

一部の VPN クライアントは、RADIUS を使用してユーザーを認証できます。下記から VPN を選択して、Foxpass と統合するように VPN を構成する方法の説明を読みます。

Meraki VPNの設定

Meraki Wireless システムとは異なり、Meraki VPN は高度に安全なバージョンの RADIUS をサポートしません。それは PAP を使用します。PAP についてはここで詳しく説明されています。:RADIUS は安全ですか?

PAP はアカウントでデフォルトで無効になっていますが、[RADIUS クライアント] ページで有効にすることができます。

高度なセキュリティを確保したい場合は、インフラストラクチャ内で実行することにより、Foxpass RADIUS プロキシを介して RADIUS パケットをトンネリングできます。

Vyatta/VyOS/Ubiquiti VPNクライアント

まず、RADIUS プロキシをダウンロードして実行します。

更新: 次の CLI コマンドを使用します (このページから)。

Text

set vpn l2tp remote-access authentication require pap

 

古い情報: Vyatta 由来の L2TP/ipsec VPN サーバーは、MS-CHAP パスワード認証を要求するようにハードコーディングされています。残念ながら、クラウドでホストされている RADIUS もRADIUS プロキシもこれをサポートできません。

Vyatta は最終的に単なる Linux ボックスであるため、これは非常に簡単な修正です。

まず、RADIUS プロキシをダウンロードして実行します。

Shell

# sudo vi /opt/vyatta/share/perl5/Vyatta/L2TPConfig.pm

 

「refuse pap = yes」という行を見つけて、「require pap = yes」に変更します。ここで、ローカル・マシン (127.0.0.1) を RADIUS ホストとして使用するように Vyatta VPN 構成を変更します。構成が保存されると、基礎となる構成ファイルが再生成され、PAP が有効になります。

📘 セキュリティ通知

PAP (パスワード認証プロトコル) は安全でないプロトコルです。ただし、これらの VPN は ipsec に加えて L2TP を使用するため、送信は暗号化されます。

Ubiquiti Unifi / EdgeMax VPNクライアント

少なくともバージョン 4.4.36.5146617 の Unifi Security Gateway では、デフォルトで PAP が有効になっていません。これにより、Foxpass で RADIUS 認証が失敗します。有効にすることはできますが、手順は Unifi Security Gateway がスタンドアロン デバイスであるか、Unifi コントローラによって管理されているかによって異なります。

 
 
1. PAP RADIUS エンドポイントを設定する
RADIUSプロキシをダウンロードして実行するか、Foxpassに依頼し、お客様のアカウントのクラウドRADIUSサーバでPAPを有効にします。(「RADIUS は安全ですか?」をお読みください)。

 
2. Unifi コントローラーを使用するインストール

🚧 このセクションは、Unifi コントローラーを使用する場所のみを対象としています

コントローラーを使用しない場合は、手順 3 に進みます。

少なくともバージョン 5.9.29-11384-1 の Unifi コントローラーでは、GUI 内で PAP を有効にすることはできません。Ubiquiti サポート記事UniFi-USG Advanced Configurationで説明されているように、JSON ファイルを作成して Controller にアップロードする必要があります。

  1. 任意のエディターでプレーン テキスト ファイルを作成し、以下のテキストを貼り付けて、「config.gateway.json」として保存します。または、このセクションを既存のファイルに組み込みます。プロビジョニング ループを回避するために、JSON 構文が正しいことを検証します。
JSON

{
    "vpn": {
        "l2tp": {
            "remote-access": {
                "authentication": {
                    "require": "pap"
                }
            }
        }
    }
}

 

  1. Security Gateway ではなく、Unifi コントローラに SSH で接続し、コントローラ管理者の資格情報でログインします。

  2. ディレクトリを <unifi_base>/data/sites/<site_ID> に変更します。<unifi_base> と <site_ID> の値の決定については、上記のリンク先のサポート記事を参照してください。たとえば、「cd /srv/unifi/data/sites/default」

Shell

root@UniFi-CloudKey:~# cd /srv/unifi/data/sites/default
root@UniFi-CloudKey:/srv/unifi/data/sites/default#

  1. 選択したファイル転送プロトコル (SCP など) を使用して、ファイルをコントローラーにコピーします。
Shell

root@UniFi-CloudKey:/srv/unifi/data/sites/default# scp username@10.10.30.1:/Users/username/Downloads/config.gateway.json ./
The authenticity of host '10.10.30.1 (10.10.30.1)' can't be established.
ECDSA key fingerprint is <redacted>.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.10.30.1' (ECDSA) to the list of known hosts.
Password:
config.gateway.json                                                                                                                                                      100%  186     0.2KB/s   00:00   
root@UniFi-CloudKey:/srv/unifi/data/sites/default#

 

  1. ファイルの所有権と権限を調整します。たとえば、「chown unifi:unifi config.gateway.json」および「chmod または config.gateway.json」
Shell

# Before
root@UniFi-CloudKey:/srv/unifi/data/sites/default# ls -al
total 16
drwxr-x--- 3 unifi unifi 4096 Dec 31 17:59 .
drwxr-x--- 3 unifi unifi 4096 Dec 30 05:11 ..
-rw-r--r-- 1 root  root   186 Dec 31 17:59 config.gateway.json
drwxr-x--- 2 unifi unifi 4096 Dec 30 05:11 map
root@UniFi-CloudKey:/srv/unifi/data/sites/default# chown unifi:unifi config.gateway.json
root@UniFi-CloudKey:/srv/unifi/data/sites/default# chmod o-r config.gateway.json

# After
root@UniFi-CloudKey:/srv/unifi/data/sites/default# ls -al     
total 16
drwxr-x--- 3 unifi unifi 4096 Dec 31 17:59 .
drwxr-x--- 3 unifi unifi 4096 Dec 30 05:11 ..
-rw-r----- 1 unifi unifi  186 Dec 31 17:59 config.gateway.json
drwxr-x--- 2 unifi unifi 4096 Dec 30 05:11 map

  1. ログアウト
Shell

root@UniFi-CloudKey:/srv/unifi/data/sites/default# logout

 

  1. GUI 内からゲートウェイのプロビジョニングを強制します ([UniFi コントローラー デバイス] > [USG] > [構成] > [デバイスの管理] > [プロビジョニングの強制])。
 
 
3. スタンドアロンの Unifi セキュリティ ゲートウェイまたは EdgeMax ルーター

これらの手順の一部は、Ubiquiti サポート記事EdgeRouter - L2TP IPsec VPN Serverに基づいています。

  1. ゲートウェイに SSH で接続し、デバイス管理者の資格情報でログインします。

  2. 「configure」と入力して設定モードに入ります。

Shell

admin@ubnt:~$ configure
[edit]
admin@ubnt#

 

  1. 「set vpn l2tp remote-access authentication require pap」と入力して、PAP の使用を有効にします。
Shell

admin@ubnt# set vpn l2tp remote-access authentication require pap
[edit]
admin@ubnt#

  1. (オプション) 「show vpn」と入力して、変更した候補構成を表示します (先頭のプラス文字で示される行)。
Shell

admin@ubnt# show vpn
 ipsec {
     ipsec-interfaces {
         interface eth2
     }
     nat-networks {
         allowed-network 0.0.0.0/0 {
         }
     }
     nat-traversal enable
 }
 l2tp {
     remote-access {
         authentication {
             mode radius
             radius-server 10.10.10.10 {
                 key "<redacted>"
                 port 1812
             }
+            require pap
         }
         client-ip-pool {
             start 10.10.20.1
             stop 10.10.20.254
         }
         dns-servers {
             server-1 10.10.10.1
         }
         ipsec-settings {
             authentication {
                 mode pre-shared-secret
                 pre-shared-secret "<redacted>"
             }
             ike-lifetime 3600
         }
         outside-address 192.0.2.100
     }
 }
[edit]
admin@ubnt#

 

  1. 「commit ; save」と入力して、構成の変更をコミットして保存します。
Shell

admin@ubnt# commit ; save
Saving configuration to '/config/config.boot'...
Done
[edit]
admin@ubnt#

 

  1. それぞれ、終了およびログアウトします。
Shell

admin@ubnt# exit
exit
admin@ubnt:~$ logout

 

📘 セキュリティ通知

PAP (パスワード認証プロトコル) は安全でないプロトコルです。ただし、これらの VPN は ipsec に加えて L2TP を使用するため、送信は暗号化されます。

 
  
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています