F5 vpn client что это

Руководство по настройке F5 BIG-IP SSL-VPN для Microsoft Entra единого входа

В этом руководстве описано, как интегрировать виртуальную частную сеть на основе F5 BIG-IP на уровне безопасных сокетов (SSL-VPN) с Microsoft Entra id для безопасного гибридного доступа (SHA).

Включение BIG-IP SSL-VPN для Microsoft Entra единого входа обеспечивает множество преимуществ, в том числе:

• Улучшено управление «Никому не доверяй» за счет Microsoft Entra предварительной проверки подлинности и условного доступа.
  • Что такое условный доступ?

  Дополнительные сведения о преимуществах см. в разделе

  • Интеграция F5 BIG-IP с идентификатором Microsoft Entra
  • Что такое единый вход в Microsoft Entra id?

  Классические VPN по-прежнему ориентированы на сеть, часто не предоставляя детального доступа к корпоративным приложениям. Мы рекомендуем использовать подход, ориентированный на идентификацию, чтобы достичь уровня «Никому не доверяй». Дополнительные сведения: Пять шагов по интеграции всех приложений с идентификатором Microsoft Entra.

  Описание сценария

  В этом сценарии экземпляр BIG-IP APM службы SSL-VPN настраивается как поставщик служб SAML (SP), а Microsoft Entra идентификатор является доверенным поставщиком удостоверений SAML. Единый вход из идентификатора Microsoft Entra предоставляется с помощью проверки подлинности на основе утверждений в BIG-IP APM, который обеспечивает простой vpn-доступ.

  

  Замените примеры строк или значений в этом руководстве теми, которые есть в вашей среде.

  Предварительные требования

  Опыт работы или знание по F5 BIG-IP не обязательны, однако вам потребуется:

  • Подписка Microsoft Entra
    • Если у вас ее нет, вы можете получить бесплатную учетную запись Azure или более поздней версии.
    • Или разверните виртуальный выпуск BIG-IP в Azure.
    • Или тестовый файл localhost клиента во время тестирования

    Чтобы улучшить работу с учебником, вы можете изучить стандартную в отрасли терминологию в Глоссарии F5 BIG-IP.

    Добавление F5 BIG-IP из коллекции Microsoft Entra

    Действия, описанные в этой статье, могут немного отличаться в зависимости от того, с чего начинается портал.

    Настройте доверие федерации SAML между BIG-IP, чтобы позволить Microsoft Entra BIG-IP передавать предварительную проверку подлинности и условный доступ к идентификатору Microsoft Entra, прежде чем предоставлять доступ к опубликованной службе VPN.

    1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
    2. Перейдите в раздел Приложения >удостоверений>Корпоративные приложения>Все приложения, а затем выберите Создать приложение.
    3. В коллекции найдите F5 и выберите F5 BIG-IP APM Azure AD интеграции.
    4. Введите имя приложения.
    5. Выберите Добавить , а затем Создать.
    6. Имя в виде значка отображается в Центре администрирования Microsoft Entra и на портале Office 365.

    Настройка единого входа в Microsoft Entra

    1. В свойствах приложения F5 перейдите к разделу Управление>единым входетом.
    2. На странице Выбрать метод единого входа выберите SAML.
    3. Выберите Нет, я буду сохранять позже.
    4. В меню Настройка единого входа с помощью SAML выберите значок пера для элемента Базовая конфигурация SAML.
    5. Замените URL-адрес идентификатора URL-адресом опубликованной службы BIG-IP. Например, https://ssl-vpn.contoso.com .
    6. Замените URL-адрес ответа и путь к конечной точке SAML. Например, https://ssl-vpn.contoso.com/saml/sp/profile/post/acs .

    В этой конфигурации приложение работает в режиме, инициируемом поставщиком удостоверений: Microsoft Entra id выдает утверждение SAML перед перенаправлением в службу SAML BIG-IP.

    1. Для приложений, которые не поддерживают режим, инициируемый поставщиком удостоверений, для службы SAML BIG-IP укажите URL-адрес входа, например https://ssl-vpn.contoso.com .
    2. В поле URL-адрес выхода введите конечную точку единого выхода (SLO) BIG-IP APM, предварительно задаваемую заголовком узла публикуемой службы. Например https://ssl-vpn.contoso.com/saml/sp/profile/redirect/slr .

    URL-адрес SLO гарантирует завершение сеанса пользователя по big-IP и идентификатору Microsoft Entra после выхода пользователя. Big-IP APM может завершить все сеансы при вызове URL-адреса приложения. Дополнительные сведения см. в статье F5 K12056: общие сведения о параметре «Включить URI выхода».

    

    По сравнению с TMOS версии 16 конечная точка единого выхода из системы SAML изменилась на /saml/sp/profile/redirect/slo.

    

    1. Нажмите кнопку Сохранить.
    2. Пропустите запрос теста единого входа.
    3. В разделе Свойства утверждений атрибутов & пользователя просмотрите подробные сведения.

    Вы можете добавить другие утверждения в опубликованную службу BIG-IP. Утверждения, определенные в дополнение к набору по умолчанию, выдаются, если они находятся в Microsoft Entra идентификаторе. Определите роли каталога или членство в группах для объекта пользователя в Microsoft Entra идентификаторе, прежде чем они могут быть выданы в качестве утверждения.

    

    Срок действия сертификатов подписи SAML, созданных Microsoft Entra ID, составляет три года.

    авторизация Microsoft Entra

    По умолчанию Microsoft Entra ID выдает маркеры пользователям с предоставленным доступом к службе.

    

    1. В представлении конфигурации приложения выберите Пользователи и группы.
    2. Выберите + Добавить пользователя.
    3. В меню Добавить назначение выберите Пользователи и группы.
    4. В диалоговом окне Пользователи и группы добавьте группы пользователей, авторизованные для доступа к VPN.
    5. Нажмите кнопку Назначить>.

    Вы можете настроить BIG-IP APM для публикации службы SSL-VPN. Настройте его с соответствующими свойствами, чтобы завершить доверие для предварительной проверки подлинности SAML.

    Конфигурация APM BIG-IP

    Федерация SAML

    Чтобы завершить федерацию службы VPN с идентификатором Microsoft Entra, создайте поставщик службы SAML BIG-IP и соответствующие объекты ПОСТАВЩИКА удостоверений SAML.

    1. Перейдите в раздел Доступ к>локальнымслужбам поставщика >услуг SAMLфедерации>.
    2. Нажмите кнопку создания.
    3. Введите имя и идентификатор сущности, определенные в Microsoft Entra ID.
    4. Введите полное доменное имя узла, чтобы подключиться к приложению.

    Если идентификатор сущности не соответствует имени узла опубликованного URL-адреса, настройте параметры имени поставщика услуг или выполните это действие, если он не в формате URL-адреса имени узла. Если идентификатор сущности имеет значение urn:ssl-vpn:contosoonline , укажите внешнюю схему и имя узла публикуемого приложения.

    1. Прокрутите вниз, чтобы выбрать новый объект SAML SP.
    2. Выберите Привязка или отмена привязки соединителей IDP.
    3. Выберите Создать новый соединитель поставщика удостоверений.
    4. В раскрывающемся меню выберите Из метаданных.
    5. Перейдите к скачанного XML-файлу метаданных федерации.
    6. Для объекта APM укажите имя поставщика удостоверений , представляющее внешнего поставщика удостоверений SAML.
    7. Чтобы выбрать новый соединитель Microsoft Entra внешнего поставщика удостоверений, выберите Добавить новую строку.
    8. Щелкните Обновить.
    9. Щелкните ОК.

    Конфигурация Webtop

    Включите SSL-VPN, который будет предлагаться пользователям через веб-портал BIG-IP.

    

    1. Выберите Access>Webtops Webtops>Списки веб-страниц.
    2. Нажмите кнопку создания.
    3. Введите имя портала.
    4. Присвойте типу Полный, например Contoso_webtop .
    5. Выполните остальные настройки.
    6. Щелкните Готово.

    Конфигурация VPN

    Элементы VPN управляют аспектами общей службы.

    

    1. Перейдите в раздел Access>Connectivity/VPN>Network Access (VPN)IPV4 Lease Pools (Пулы аренды IPV4).>
    2. Нажмите кнопку создания.
    3. Введите имя пула IP-адресов, выделенного для VPN-клиентов. Например, Contoso_vpn_pool.
    4. Присвойте типу диапазон IP-адресов.
    5. Введите начальный и конечный IP-адрес.
    6. Выберите Добавить.
    7. Щелкните Готово.

    Список сетевого доступа подготавливает службу с параметрами IP-адреса и DNS из пула VPN, разрешениями маршрутизации пользователей и может запускать приложения.

    1. Перейдите в раздел AccessConnectivity/VPN: Network Access (VPN)Network Access Lists (Access > Connectivity/VPN: Network Access Lists).>
    2. Нажмите кнопку создания.
    3. Укажите имя для списка доступа к VPN и подпись, например Contoso-VPN.
    4. Щелкните Готово.
    5. На верхней ленте выберите Параметры сети.
    6. Для поддерживаемой версии IP:IPV4.
    7. В поле Пул аренды IPV4 выберите созданный пул VPN, например Contoso_vpn_pool

    Используйте параметры клиента, чтобы применить ограничения для маршрутизации клиентского трафика в установленной VPN.

    

    1. Щелкните Готово.
    2. Перейдите на вкладку DNS/Узлы .
    3. Для основного сервера имен IPV4: IP-адрес DNS среды
    4. Для DNS-суффикс домена по умолчанию: суффикс домена для этого VPN-подключения. Например, contoso.com.

    Профиль подключения BIG-IP необходим для настройки параметров типа VPN-клиента, которые должна поддерживать служба VPN. Например, Windows, OSX и Android.

    

    1. Перейдите в раздел AccessConnectivity/VPNConnectivity Profiles (Доступ > кпрофилям подключения и VPN-подключений).> >
    2. Выберите Добавить.
    3. Введите имя профиля.
    4. Задайте для родительского профиля значение /Common/connectivity, например, Contoso_VPN_Profile.

    Дополнительные сведения о поддержке клиентов см. в статье F5 Access and BIG-IP Edge Client.

    Конфигурация профиля доступа

    Политика доступа позволяет службе выполнять проверку подлинности SAML.

    1. Перейдите в раздел Профили доступа>/Политики>Профили доступа (политики для сеанса).
    2. Нажмите кнопку создания.
    3. Введите имя профиля и для типа профиля.
    4. Выберите Все, например Contoso_network_access.
    5. Прокрутите страницу вниз и добавьте хотя бы один язык в список Принятые языки .
    6. Щелкните Готово.
    7. В новом профиле доступа в поле политика Per-Session выберите Изменить.
    8. Редактор визуальной политики откроется на новой вкладке.
    9. + Выберите знак.
    10. В меню выберите Проверка подлинности>SAML Auth.
    11. Выберите Добавить элемент.
    12. В конфигурации поставщика службы проверки подлинности SAML выберите созданный объект ПОСТАВЩИКА VPN SAML.
    13. Щелкните Сохранить.
    14. В разделе Успешная ветвь проверки подлинности SAML выберите + .
    15. На вкладке Назначение выберите Дополнительное назначение ресурсов.
    16. Выберите Добавить элемент.
    17. Во всплывающем окне выберите Создать запись.
    18. Выберите Добавить или удалить.
    19. В окне выберите Сетевой доступ.
    20. Выберите созданный профиль сетевого доступа.
    21. Перейдите на вкладку Webtop .
    22. Добавьте созданный объект Webtop.
    23. Щелкните Обновить.
    24. Нажмите кнопкуСохранить.
    25. Чтобы изменить ветвь Успешно, щелкните ссылку в верхнем поле Запретить .
    26. Появится метка Разрешить.
    27. Сохраните настройки.
    28. Выберите Применить политику доступа.
    29. Закройте вкладку редактора визуальных политик.

    Публикация службы VPN

    Для APM требуется интерфейсный виртуальный сервер для прослушивания клиентов, подключающихся к VPN.

    1. Выберите Локальный трафик>Виртуальные серверыСписок виртуальных> серверов.
    2. Нажмите кнопку создания.
    3. В поле Виртуальный VPN-сервер введите имя, например VPN_Listener.
    4. Выберите неиспользуемый IP-адрес назначения с маршрутизацией для получения трафика клиента.
    5. Задайте для параметра Service Port (Порт службы) значение 443 HTTPS.
    6. Для параметра Состояние убедитесь, что выбран параметр Включено .
    7. Задайте для параметра Профиль HTTPзначение http.
    8. Добавьте профиль SSL (клиент) для созданного общедоступного SSL-сертификата.
    9. Чтобы использовать созданные объекты VPN, в разделе Политика доступа задайте профиль доступа и профиль подключения.
    10. Щелкните Готово.

    Ваша служба SSL-VPN публикуется и доступна через SHA с ее URL-адресом или через порталы приложений Майкрософт.

    Дальнейшие действия

    

    1. Откройте браузер на удаленном клиенте Windows.
    2. Перейдите к URL-адресу службы VPN BIG-IP .
    3. Появятся веб-портал BIG-IP и средство запуска VPN.

    Выберите плитку VPN, чтобы установить клиент BIG-IP Edge и установить VPN-подключение, настроенное для SHA. Приложение F5 VPN отображается как целевой ресурс в Microsoft Entra условного доступа. См. статью Политики условного доступа, чтобы разрешить пользователям проверку подлинности без пароля Microsoft Entra идентификатора.

    Ресурсы

    • Отказ от паролей в пользу беспарольных средств проверки подлинности
    • Пять шагов для полной интеграции приложений с идентификатором Microsoft Entra
    • Инфраструктура «Никому не доверяй» корпорации Майкрософт для удаленной работы

    BIG-IP Edge Client

    BIG-IP Edge Client, developed by F5 Networks, Inc., is a software application that provides secure remote access to enterprise networks. It allows users to securely connect to their organization’s network from anywhere and on any device, without compromising on security.

    The application is compatible with Windows and Mac operating systems and can also be accessed through mobile devices such as iPhones and iPads. The user-friendly interface allows users to easily install and configure the software and choose their preferred connection options.

    BIG-IP Edge Client offers multiple security features such as SSL VPN, IPsec VPN, and SSH VPN, ensuring secure transmission of data. It also enables IT administrators to enforce enterprise-wide security policies, monitor and manage the network, and provide support to users.

    The client additionally provides functionality such as auto-reconnect, roaming detection, and session persistence, which ensures seamless connectivity during network interruptions.

    Whether working remotely or traveling, BIG-IP Edge Client offers a secure option for accessing an organization’s resources from anywhere in the world.

    Обзор

    BIG-IP Edge Client это программное обеспечение Shareware в категории (2), разработанная F5 Networks, Inc..

    Проверяли обновления 188 раз пользователями нашего клиентского приложения UpdateStar в прошлом месяце.

    Последняя версия BIG-IP Edge Client в настоящее время неизвестна. Первоначально он был добавлен в нашу базу данных на 21.07.2010.

    BIG-IP Edge Client работает на следующих операционных системах: Android/iOS/Windows/Mac.

    BIG-IP Edge Client не был оценен нашими пользователями еще.

    Написать обзор для BIG-IP Edge Client!

    F5 BIG-IP APM VPN 2FA

    В этом руководстве показано, как настроить двухфакторную аутентификацию (2FA/MFA) для F5 BIG-IP APM VPN с помощью решения многофакторной аутентификации Protectimus.

    Система двухфакторной аутентификации Protectimus интегрируется с F5 BIG-IP APM через протокол аутентификации RADIUS. Облачный сервис двухфакторной аутентификации или Локальная MFA платформа Protectimus выступает в качестве RADIUS-сервера, а F5 BIG-IP APM берет на себя роль RADIUS-клиента.

    Схема работы решения Protectimus для двухфакторной аутентификации в F5 BIG-IP APM VPN представлена ниже.

    

    1. Как работает двухфакторная аутентификация (2FA) для F5 BIG-IP APM VPN

    Решение двухфакторной аутентификации Protectimus позволяет добавить дополнительный уровень безопасности при входе в F5 BIG-IP APM.

    1. Первый фактор — это логин и пароль (то, что знает пользователь);
    2. Второй фактор — это одноразовый пароль, сгенерированный с помощью аппаратного OTP-токена или приложения на телефоне (с помощью того, что есть у пользователя).

    2. Как настроить двухфакторную аутентификацию (2FA) для F5 BIG-IP APM VPN

    1. Зарегистрируйтесь в Облачном сервисе двухфакторной аутентификации или установите Локальную платформу Protectimus и задайте базовые настройки.
    2. Установите и настройте компонент Protectimus RADIUS Server.
    3. Добавьте Protectimus в качестве RADIUS сервера для F5 BIG-IP APM.

    2.1. Зарегистрируйтесь и задайте базовые настройки

    1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus (если вы устанавливаете платформу Protectimus на Windows, поставьте галочку напротив пункта RProxy во время установки).
    2. Создайте ресурс.
    3. Добавьте пользователей.
    4. Добавьте токены или активируйте Портал самообслуживания пользователей.
    5. Назначите токены пользователям.
    6. Назначте токены с пользователями на ресурс.

    2.2. Установите и настройте Protectimus RADIUS Server

    Подробная инструкция по установке и настройке Protectimus RADIUS Server доступна здесь.

    2.3. Добавьте Protectimus в качестве RADIUS сервера для F5 BIG-IP APM

    

    1. Войдите в панель администратора F5 BIG-IP.
    2. Перейдите к Access —> Authentication —> RADIUS.
    1. Нажмите кнопку Create… чтобы добавить новый RADIUS-сервер.
    2. Затем заполните форму, ссылаясь на таблицу и изображение представленные ниже, и нажмите Finished, чтобы сохранить настройки.

    Name	Выберите любое имя для вашего RADIUS-сервера, например, Protectimus_RADIUS_Server или любое другое имя по вашему желанию.
    Mode	Выберите Authentication.
    Server Connection	Выберите Direct.
    Server Address	Введите IP-адрес сервера, на котором установлен компонент Protectimus RADIUS Server.
    Authentication Service Port	Укажите 1812 (или тот порт, который вы указали в файле Protectimus radius.yml при настройке Protectimus RADIUS Server).
    Secret	Укажите созданный вами секретный ключ в файле Protectimus radius.yml (свойство radius.secret).
    Confirm Secret	Подтвердите секретный ключ.
    Timeout	Установите значение 180 секунд.
    Retries	Установите значение 3.
    Character Set	Установите значение UTF-8.
    Service Type	Выберите Default.

    

    2.4. Редактируйте политики доступа F5 BIG-IP APM

    1. Перейдите к Access —> Profiles/Policies —> Access Profiles (Per-Session Policies).

    

    1. Нажмите Edit…, чтобы внести изменения в политики доступа F5 BIG-IP APM.

    

    1. Вы увидите редактор политик доступа. Нажмите на знак + (плюс) на стрелке справа от страницы входа.

    

    1. Откроется новое окно. Выберите вкладку Authentication. Затем выберите RADIUS Auth и нажмите на кнопкуAdd Item.

    

    1. В раскрывающемся списке AAA Server выберите Protectimus_RADIUS_Server — сервер, который вы создали ранее. Затем нажмите Save, чтобы сохранить изменения.

    

    ВНИМАНИЕ!
    Если вы уже использовуете какой-то метод аутентификации (например, Active Directory), вы можете удалить его или сохранить.
    Вы можете оставить прежний метод аутентификации и использовать Protectimus после или до этого метода аутентификации.
    Чтобы удалить прежний метод аутентификации, нажмите X, выберите Connect previous node to Successful branch и нажмите Delete.

    1. Нажмите Close, чтобы вернуться на страницу Access Profiles. Проверьте настройки своего профиля и нажмите Apply. Значок статуса рядом с вашим профилем должен стать зеленым./li>

    Last updated on 2023-01-20

    • 1. Как работает двухфакторная аутентификация (2FA) для F5 BIG-IP APM VPN
    • 2. Как настроить двухфакторную аутентификацию (2FA) для F5 BIG-IP APM VPN
    • 2.1. Зарегистрируйтесь и задайте базовые настройки
    • 2.2. Установите и настройте Protectimus RADIUS Server
    • 2.3. Добавьте Protectimus в качестве RADIUS сервера для F5 BIG-IP APM
    • 2.4. Редактируйте политики доступа F5 BIG-IP APM

    F5 Networks VPN Solutions

    F5 Networks VPN Solutions — комплексные решения от компании F5 Networks, представляющие автономные VPN-устройства. В эту группу входят устройства: F5 Access Policy Manager (APM), BIG-IP VPN, BIG-IP. Компания F5 Networks начиная с 2016 года сделала упор на производстве комплексных решений обеспечивающих информационную безопасность компаний. F5 Access Policy Manager (APM) представляет собой модульного программное обеспечение, обеспечивающее защиту передаваемых данных с помощью виртуальной частной сети (VPN), а также обладает функциональностью прокси-сервера. Может выполнять оптимизацию нагрузки и безопасность трафика. Протоколы безопасности TLS и DTLS используются в клиенте BIG-IP VPN, он доступен для мобильных платформ и настольных систем.

    

    Ключевые функции

    • Открытый API
    • Контроль за трафиком
    • Шаблоны iApps

    Категории системы защиты

    Похожие публикации:

    1. Как ввести список в питоне в одну строку
    2. Как установить windows 11 github
    3. Сколько палитр цветов можно использовать в coreldraw
    4. Сколько стоил айфон 8 в 2019 году