Я развертываю IKEv2 VPN с аутентификацией по службе RADIUS в блоке pfSense 2.3-RELEASE. Но я боюсь осложнений этого подхода, когда сервер RADIUS не работает.
Поскольку RADIUS находится за блоком pfSense, в случае сбоя я потеряю возможность подключиться к IKEv2 VPN и останусь без возможности входа в локальную сеть.
Я мог бы сделать простой обходной путь с некоторым резервным режимом с локальной учетной записью пользователя в поле pfSense, но проблема в этом «резервном режиме». Такое вообще существует?
Какие есть варианты в этом случае?
В VPN / IPsec / Mobile Clients, в User Authentication выделите все источники, которые вы хотите использовать, нажмите Save, затем Apply. Если вы выделите 2 контроллера домена AD, любой из них будет аутентифицироваться, если другой не работает. Я проверил это, выключив каждый DC и убедившись, что другой DC будет аутентифицировать пользователей IKEv2 VPN. Это также можно проверить в файле журнала DC, указанном в NPS / Accounting / Log File Properties.
Я не настроил радиус, но я аутентифицирую IPSec против AD с помощью pfsense.
На вкладке мобильного клиента вы можете выбрать несколько точек авторизации. Список идет сверху вниз.