VPN Host-LAN z uwierzytelnianiem dwuskładnikowym (2FA email)
Wsparcie 2FA (Two-Factor Authentication) dla użytkowników zdalnych VPN w routerach:
– Vigor 2962/3910 od wersji firmware 4.3.2
– Vigor 2865/2927 od wersji firmware 4.4.2
– Vigor 2915 od wersji firmware 4.4.2
Routery Vigor obsługują 2FA dla PPTP, SSL, IKEv2 EAP, IPsec XAuth, L2TP, OpenVPN, WireGuard
Wsparcie 2FA w Smart VPN Client (wersja): Windows (5.6.0), MacOS (1.5.0), iOS (1.8.0)
Spis treści:
Serwer VPN – router Vigor
Klient VPN – Smart VPN Client
Klient VPN – wbudowany, inny
IKEv2 EAP wymaga użycia certyfikatu.
L2TP/IPsec z kluczem wymaga zdefiniowania klucza wspólnego.
Jeśli serwer VPN posiada zmienny publiczny IP to skorzystaj z dynamicznego DNS, aby komunikować się z routerem poprzez adres domenowy.
Zapoznaj się z przykładem Dynamiczny DNS (DrayDDNS).
Serwer VPN – router Vigor
Przejdź do zakładki Objects Setting >> SMS/Mail Service Object.
Przejdź do Mail Server.
Kliknij dowolny indeks np. 1, aby stworzyć profil serwera poczty.
Wypełnij dane serwera poczty oraz uwierzytelniania.
Korzystanie z poczty Google/Gmail wymaga wygenerowania hasła do aplikacji.
Zapoznaj się z przykładem Powiadomienia / alerty email przez Gmail
Przejdź do zakładki VPN and Remote Access >> Remote Dial-in User.
Kliknij dowolny indeks np. 1, aby stworzyć lokalne konto użytkownika VPN.
Wybierz/wypełnij następujące pola:
– Zaznacz Enable.
– Zaznacz protokół VPN, który będzie wykorzystywany przez klienta.
– Wpisz nazwę użytkownika w polu Username (w omawianym przykładzie użytkownik ‚test’).
– Wpisz hasło użytkownika w polu Password (w omawianym przykładzie hasło ‚test’).
– W ustawieniach Two-Factor Authentication zaznacz Send Authentication Code via Email, aby włączyć uwierzytelnianie dwuskładnikowe 2FA email.
– Jako Email Object wskaż utworzony profil serwera poczty.
– W polu Mail to wpisz adres na który Vigor wyśle kod.
Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN and Remote Access >> Connection Management.
Zwróć uwagę na kolor tunelu.
Status w kolorze niebieskim jest po wstępnym zestawieniu tunelu – router oczekuje na kod 2FA.
Ruch przez tunel zablokowany zatem nie masz dostępu do sieci zdalnej.
Jeśli ustawienia klienta VPN kierują cały ruch przez tunel VPN (domyślna brama w sieci zdalnej) to nie uzyskasz również dostępu do Internetu.
Status w kolorze zielonym(ruch szyfrowany) / czarnym (ruch nieszyfrowany) jest po pełnym zestawieniu tunelu (prawidłowy kod 2FA, ruch przez tunel przepuszczany).
Klient VPN – Smart VPN Client
DrayTek Smart VPN Client możesz pobrać m.in. ze strony www.draytek.pl (Wsparcie>>Narzędzia).
Zainstaluj a następnie uruchom oprogramowanie.
Przejdź do zakładki Profile.
Kliknij przycisk Wstaw, aby dodać nowy profil.
Wypełnij informacje dotyczące serwera oraz logowania:
– W polu Nazwa profilu wpisz dowolną nazwę połączenia.
– W polu Typ wybierz protokół VPN, który będzie wykorzystywany przez klienta.
– W polu IP lub nazwa hosta wpisz adres IP routera (w przykładzie 1.1.1.1) do którego zestawiasz tunel VPN albo jego adres domenowy (w przykładzie vigor.drayddns.com).
– W polu typ uwierzytelniania wybierz Użytkownik i hasło.
– W polu Użytkownik wpisz odpowiednią nazwę zgodną ze stworzonym profilem. W omawianym przykładzie użytkownik ‘test’.
– W polu Hasło wpisz odpowiednią nazwę zgodną ze stworzonym profilem. W omawianym przykładzie użytkownik ‘test’.
Wybierz utworzony profil i kliknij Połącz.
Na tym etapie ruch przez tunel jest zablokowany zatem nie masz dostępu do sieci zdalnej.
Jeśli ustawienia klienta VPN kierują cały ruch przez tunel VPN (domyślna brama w sieci zdalnej) to nie uzyskasz również dostępu do Internetu.
Sprawdź skrzynkę odbiorczą email na urządzeniu przeznaczonym do otrzymywania jednorazowych kodów.
Jeśli skrzynka odbiorcza email znajduje się na tym samym urządzeniu co klient VPN, a ustawienia klienta VPN kierują cały ruch przez tunel VPN (domyślna brama w sieci zdalnej) to nie uzyskasz dostępu do Internetu/email, gdyż podczas oczekiwania na kod router blokuje ruch przez tunel – w takim przypadku użyj osobnego urządzenia do otrzymywania kodów lub użyj innej metody 2FA.
Wprowadź 6 cyfrowy kod, który otrzymałeś w wiadomości email.
Klient VPN – wbudowany, inny
Utwórz profil VPN.
Połącz.
Na tym etapie ruch przez tunel jest zablokowany zatem nie masz dostępu do sieci zdalnej.
Jeśli ustawienia klienta VPN kierują cały ruch przez tunel VPN (domyślna brama w sieci zdalnej) to nie uzyskasz również dostępu do Internetu.
Sprawdź skrzynkę odbiorczą email na urządzeniu przeznaczonym do otrzymywania jednorazowych kodów.
Jeśli skrzynka odbiorcza email znajduje się na tym samym urządzeniu co klient VPN, a ustawienia klienta VPN kierują cały ruch przez tunel VPN (domyślna brama w sieci zdalnej) to nie uzyskasz dostępu do Internetu/email, gdyż podczas oczekiwania na kod router blokuje ruch przez tunel – w takim przypadku użyj osobnego urządzenia do otrzymywania kodów lub użyj innej metody 2FA.
Na urządzeniu z klientem VPN otwórz przeglądarkę.
Wpisz lokalny adres IP routera zdalnego np. 192.168.1.1.
Wprowadź 6 cyfrowy kod, który otrzymałeś w wiadomości email.
Jeśli skrzynka odbiorcza email znajduje się na tym samym urządzeniu co klient VPN to możesz po prostu kliknąć link znajdujący się w wiadomości email.