Thanh Phương
Intern
Mô hình mạng
1. Cấu hình AD với FW
Đầu tiên bạn phải cấu hình kết nối giữa AD và tường lửa trước, xem cách cấu hình tại đây
2.Cấu hình OTP
3. Chỉ định AD làm Server xác thực cho VPN
Sau khi nhấn Apply xong ở tab trên, bạn vẫn ở menu Authentication, hãy chuyển sang tab Services.
4. Hoàn thành các cấu hình VPN cốt lõi
Sau khi đã bật MFA thành công cho nhóm AD, bạn tiếp tục thực hiện 2 bước cấu hình mạng để VPN có thể chạy:
5. Tạo Firewall Rule:
Vào Rules and policies > Firewall rules > Add.
Tạo Rule cho phép từ Source Zone: VPN -> Destination Zone: LAN (Action: Accept).
6. Tiến hành VPN
6.1. Đầu tiên hãy đăng nhập như bình thường
6.2. Đăng nhập xong sẽ chuyển hướng bạn đến đây, hãy dùng app Google Authenticator để quét mã xác thực và lấy 6 số passcode (không xóa vì những lần đăng nhập hoặc connect kế tiếp đều sẽ cần đến)
-- (Lưu ý mã sẽ cập nhật mỗi 30s) --
6.3. Sau khi có mã nhấn Proceed to login
6.4. Tiến hành đăng nhập lại theo cú pháp Mật khẩu + Mã passcode (viết liền nhau); Ví dụ mật khẩu gốc là Admin@2667 và passcode là 333666 thì mật khẩu đăng nhập là Admin@2667333666
6.5. Sau khi vào thì ta sẽ tải tổng cộng 2 file ở client và VPN config ( tải dựa vào hệ điều hành máy của bạn)
6.6. Cài đặt file .msi vừa tải về thì bạn sẽ được 1 app tên là sophos connect, mở nó lên và nhấn import connection
6.7. Tiếp đến duyệt tới file .ovpn còn lại, nếu hiện như hình dưới thì đã nhận diện thành công, tiếp tục nhấn Connect
6.8. Ở đậy bạn nhập lại tk mk theo cú pháp như 6.4 (nhớ lưu ý mã passcode thay đổi)
6.9. Nếu hiện connected như này là đã thành công
1. Cấu hình AD với FW
Đầu tiên bạn phải cấu hình kết nối giữa AD và tường lửa trước, xem cách cấu hình tại đây
2.Cấu hình OTP
- Tại mục One-time password (OTP): Đổi tích chọn từ No OTP sang Specific users and groups.
- Lý do: Việc chọn Specific sẽ giúp bạn chỉ định chính xác nhóm người dùng từ Active Directory (AD) mà bạn muốn áp dụng MFA, thay vì áp dụng cho toàn bộ user trên hệ thống. Khi tích vào đây, hệ thống sẽ hiển thị một khung để bạn Add nhóm AD vào.
- Tại mục Generate OTP token with next sign-in: Giữ nguyên trạng thái Bật (nút gạt đang màu xanh). Điều này cho phép user tự động sinh mã QR code trong lần đăng nhập đầu tiên.
- Tại mục Require MFA for(Bắt buộc MFA cho các dịch vụ):
- Giữ nguyên tích ở User portal (Bắt buộc để user login vào web lấy mã QR code lần đầu và tải file cấu hình VPN).
- Bắt buộc tích thêm: SSL VPN remote access (Để hệ thống yêu cầu mã OTP khi người dùng bấm Connect trên phần mềm VPN Client).
- Tùy chọn: Tích thêm VPN portal nếu hệ thống của bạn yêu cầu user vào cổng này tải client.
- Nhấn nút Apply màu xanh ở góc dưới cùng bên trái để lưu lại.
3. Chỉ định AD làm Server xác thực cho VPN
Sau khi nhấn Apply xong ở tab trên, bạn vẫn ở menu Authentication, hãy chuyển sang tab Services.
- Cuộn xuống phần SSL VPN authentication methods.
- Đảm bảo rằng Server Active Directory của bạn đang được chọn (đứng đầu danh sách). Nếu đang là Local thì hãy đổi sang Server AD.
- Nhấn Apply.
4. Hoàn thành các cấu hình VPN cốt lõi
Sau khi đã bật MFA thành công cho nhóm AD, bạn tiếp tục thực hiện 2 bước cấu hình mạng để VPN có thể chạy:
- Tạo SSL VPN Profile:
- Vào Remote access VPN > SSL VPN > Add.
- Chọn Policy members là nhóm user AD.
- Cấp dải IP cho Client và chọn các mạng nội bộ (LAN) ở phần Permitted network resources mà bạn muốn user truy cập tới.
5. Tạo Firewall Rule:
Vào Rules and policies > Firewall rules > Add.
Tạo Rule cho phép từ Source Zone: VPN -> Destination Zone: LAN (Action: Accept).
6. Tiến hành VPN
6.1. Đầu tiên hãy đăng nhập như bình thường
6.2. Đăng nhập xong sẽ chuyển hướng bạn đến đây, hãy dùng app Google Authenticator để quét mã xác thực và lấy 6 số passcode (không xóa vì những lần đăng nhập hoặc connect kế tiếp đều sẽ cần đến)
-- (Lưu ý mã sẽ cập nhật mỗi 30s) --
6.3. Sau khi có mã nhấn Proceed to login
6.4. Tiến hành đăng nhập lại theo cú pháp Mật khẩu + Mã passcode (viết liền nhau); Ví dụ mật khẩu gốc là Admin@2667 và passcode là 333666 thì mật khẩu đăng nhập là Admin@2667333666
6.5. Sau khi vào thì ta sẽ tải tổng cộng 2 file ở client và VPN config ( tải dựa vào hệ điều hành máy của bạn)
6.6. Cài đặt file .msi vừa tải về thì bạn sẽ được 1 app tên là sophos connect, mở nó lên và nhấn import connection
6.7. Tiếp đến duyệt tới file .ovpn còn lại, nếu hiện như hình dưới thì đã nhận diện thành công, tiếp tục nhấn Connect
6.8. Ở đậy bạn nhập lại tk mk theo cú pháp như 6.4 (nhớ lưu ý mã passcode thay đổi)
6.9. Nếu hiện connected như này là đã thành công
Bài viết liên quan
Được quan tâm
Bài viết mới