Настройка CheckPoint VPN

Чтобы настроить взаимодействие между серверами RADIUS Proxy и CheckPoint VPN, выполните шаги по инструкции (актуально для версии 81.20 и ниже). Настройка проводится через CheckPoint SmartConsole.

Создание хоста RADIUS Proxy

  1. Справа в разделе «Objects» выберите пункт «New» → «Host».
  2. Укажите настройки:
    • Название хоста.
    • Адрес хоста.
  3. Нажмите «ОК».

Создание сервера RADIUS Proxy

  1. Справа в разделе «Objects» выберите пункт «New» → «More» → «Server» → «RADIUS».
  2. Укажите настройки:
    • Название сервера.
    • Host: из шага «Создание хоста RADIUS Proxy».
    • Service: NEW-RADIUS (при использовании порта 1812).
    • Shared secret: из панели управления Kontur.ID.
    • Version: RADIUS Ver. 2.0.
    • Protocol: PAP.
    • Priority: 1.
  3. Нажмите «ОК».

Настройка конфигурации аутентификации

  1. Слева в разделе «Gateways & Servers» нажмите 2 раза по шлюзу безопасности CheckPoint.
  2. В зависимости от установленных блейдов, выполните следующие настройки в разделах «VPN Clients» и/или «Mobile Access» → «Authentication».
  3. Нажмите «Settings».
  4. Укажите настройки:
    1. Authentication method: RADIUS.
    2. Server: Сервер, созданный для RADIUS Proxy.
    3. Ask user for password: опционально. При подключении пользователя CheckPoint VPN запросит ввод логина, пароля сразу или двумя отдельными шагами.
    4. Нажмите «ОК».
  5. Нажмите «ОК».

Изменение времени ожидания аутентификации

Укажите время ожидания для пользовательской аутентификации, чтобы пользователь мог подтвердить push-уведомление.

  1. Слева в разделе «Manage & Settings» выберите пункт «Blades» → «General» → «Global Properties».
  2. Перейдите в раздел «Advanced» → «Configure».
  3. Перейдите в раздел «FireWall-1» → «Authentication» → «RADIUS».
  4. Укажите время ожидания пользовательской аутентификации: radius_retrant_timeout. Рекомендуемое время — 60 (секунд).

Создание Access Role

В политике безопасности для правил VPN в качестве Source должна быть указана Access Role, а не Legacy User Access (группа пользователей).

  1. Справа в разделе «Objects» выберите пункт «New» → «More» → «User/Identity» → «Access Role».
  2. Укажите настройки:
    • Название Access Role.
    • Источник данных об учётных записях.

Установка политики на шлюз безопасности

Слева сверху выберите «Install Policy» → «Publish & Install» → «Install».

Устранение неполадок

Неверный пароль при вводе пароля при однофакторной аутентификации

Установите RADIUS версии 2.0, если пароль введен верно. Старая версия протокола RADIUS некорректно считывает пароли с длиной более 16 символов.