我正在 pfSense 2.3-RELEASE 框中部署针对 RADIUS 服务的 IKEv2 VPN 身份验证。但我担心当 RADIUS 服务器关闭时这种方法会很复杂。
由于 RADIUS 位于 pfSense 盒后面,如果发生故障,我将无法连接到 IKEv2 VPN,并且无法选择进入 LAN。
我可以使用 pfSense 框中的本地用户帐户通过一些后备模式进行简单的解决方法,但问题就在于这个“后备模式”。这真的存在吗?
在这种情况下有哪些选择?
答案1
我还没有配置 radius,但我正在使用 pfSense 对 AD 进行 IPSec 身份验证。
在移动客户端选项卡上,您可以选择多个身份验证点。列表自上而下排列。
答案2
在 VPN/IPsec/移动客户端中的用户身份验证中,突出显示您要使用的所有源,单击保存,然后单击应用。如果您突出显示 2 个 AD 域控制器,则如果另一个关闭,则其中一个将进行身份验证。我通过关闭每个 DC 并验证另一个 DC 将对 IKEv2 VPN 用户进行身份验证来测试这一点。这也可以在 NPS/Accounting/Log File Properties 中指定的 DC 日志文件中进行检查。