Настройка подключения по VPN к MikroTik через RADIUS сервер

настройка radius через mikrotik
Сегодня мы поговорим о небольшой так сказать интеграцией Mikrotik с Microsoft Active Directory, а именно настроим VPN подключение через Radius сервер. Предположим, что мы среднестатистический офис, с нескольким десятков сотрудников (а может больше или меньше), и у нас стоит задача организации удалённого доступа к сети компании.
Предположим, что у вас есть телефония, какой-то терминальник с 1С ну домен Active Directory. Все это дело аутентифицируется в AD, т.е. у пользователей уже есть учётные записи, и нам бы не хотелось им омрачать жизнь отдельной учеткой для VPN. В этом случае нам поможет Windows NPS сервер. Сама интеграция будет работать через протокол RADIUS.

Тестовый стенд

У меня развёрнута виртуальная машина Windows Server 2019 Standard на Hyper-V, которая является контроллером домена леса corp.mikrotiklab.ru.
Так же есть настроенный Mikrotik hAP AC с белым (публичным IP адресом). Его конфиг раздаёт адреса, выпускает в интернет и разрешает входящий трафик на роутер только для трафика управления (Winbox, SSH, WebFig порты). Есть ещё Simple Queue, но это не играет никакой роли.
Локальная сеть 192.168.10.0/24, адрес микрота первый в сети, адрес DC-01 192.168.10.10
РЕКОМЕНДАЦИЯ
Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Развёртывание и настройка NPS

Для начала его нужно установить. Проще всего это сделать через PowerShell. Откроем оболочку с админ правами и впишем команду
Install-WindowsFeature -Name NPAS -IncludeManagementTools
Ключ IncludeManagementTools означает, что мы устанавливаем инструменты управления тоже.
установка NPS через PowerShell
После установки проверим что роль установилась:
проверка установки NPAS сервера через PowerShell
курс по микротик
Проверить так же можно через графический интерфейс, открыв диспетчер серверов.
проверка установки NPAS через диспетчер серверов
В целях демонстрации я устанавливаю данную роль на домен контроллер, в реальной жизни этого делать не стоит. Лучше выделите под NPAS отдельную ВМ, а ещё лучше кластерную.
Откроем консоль управления Network Policy Server через Administrative Tools.
консоль NPS сервера Windows Server 2019
Зарегистрируем его в Active Directory (для этого необходимы права Enterprise администратора).
регистрация NPS сервера в active directory 2019
Развернём ветку RADIUS Clients and Servers — RADIUS Clients, создадим нового.
создаем нового клиента RADIUS
На данном этапе мы создаём клиента RAIUS.
  • Friendly Name – понятное для нас имя;
  • Address – FQDN или IP нашего Mikrotik;
  • Shared secret, Confirm – общий пароль, подтверждение.
  • Пароль можете сгенерировать, а можете вставить свой.
указываем свойства RADIUS Client.
Сохраняем, после чего клиент должен появиться в списке. Смысл данной операции, что роутер, по отношению к NPS, является клиентом, но Mikrotik, будет являться сервером VPN, для клиентов, которые будут к нему подключаться (клиентов VPN).
просмотр всех доступных клиентов по RADIUS
Двигаемся дальше. Теперь нам надо определиться с требованиями, предъявляемыми к VPN клиентам. Т.е. по каким признакам мы будем разрешать им подключаться. Я предлагаю по нескольким параметрам:
  • Они состоят в группе VPN_Users;
  • Соединение по протоколу PPTP;
  • Тип проверки подлинности MS-CHAP2.
Этого думаю достаточно, функционала действительно много, его нужно тестировать и подбирать индивидуально. Давайте создадим политику.
создание политики сети NPS
Зададим ей имя и тип Remote Access Server (VPN-Dial-up).
выбор типа сети и имени политики доступа Windows Server 2019
На следующем шаге зададим собственно требования. Кнопкой Add добавим все, о чем мы говорили ранее. Вы так же можете разрешить подключения только в определённое время.
задаем условия для срабатывания
На следующем шаге мы выберем тип доступа. Нас интересует разрешение.
указываем действие при условии срабатывания
Оставим в окне типа аутентификации только MS-CHAP2.
метод аутентификации удаленных клиентов
В следующем окне мастера можем задать те самые ограничения по времени или время жизни сессии в случае отсутствия активности (но активность лучше регулировать на стороне клиента, через CMAK). Пропустим это и перейдём далее.
настройка дополнительных ограничений
В Standard удалим атрибут Service-Type – Framed и оставим Framed-Protocol PPP.
обучение по микротик
создание дополнительных атрибутов
Запретим Multilink.
запретим Multilink
В Encryptions оставим только MPPE 128-bit.
выбор шифрования подключений
Все проверяем и жмём Finish.
проверка создания политики доступа к сети
Проверим обязательно, что созданная политика имеет приоритет выше (меньшее числовое значение), чем другие.
выбор приоритета NPS политик
В свойствах NPS сервера оставим только порты 1812 и 1813. Перезапустим службу после этого, нажав ПКМ Stop NPS Service, Start NPS Service.
конфигураирование портов NPS сервера Windows Server 2019
Следует так же сделать разрешающие входящее правило фаервола Windows для данных UDP портов.
создание правил входящих подключений Windows Defender
В завершении настройки со стороны Windows, предлагаю создать пользователя test, добавить в доменную группу VPN_Users.
добавление пользователя в группу Active Directory 2019

Настройка Mikrotik RADIUS Client

Описывать настройку VPN Server не буду, вы можете воспользоваться уже написанными, причём не важно какой будет туннель PPTP, L2TP, SSTP или OpenVPN (кликнув на ссылку можете посмотреть их настройку). Если последние 2, то не забывайте про сертификаты. В нашем примере я буду использовать PPTP.
Обращаю ваше внимание, если вы захотите использовать 2 или более типов туннеля, то нужно внести изменения не только на стороне Mikrotik, но и на стороне сервера политик.
включение PPTP- сервера на RADIUS клиенте
Следующий этап, это настройка роутера в качестве клиента RADIUS. Открываем соответствующее меню слева, и добавляем правило.
интеграция Mikrotik с Windows Server 2019 Active Directory
  • Нас интересует сервис ppp;
  • Address – адрес сервера аутентификации;
  • Secret – тот самый общий ключ;
  • Src. Address – IP с которого Mikrotik Будет отправлять пакеты на NPS.
Не забываем про правила фаервола
правила фаирвола на Mikrotik клиент RADIUS
Напоследок включаем заветную галочку в PPP, без которой Mikrotik не побежит на NPS сервер.
включаем перенаправление запросов аунтификации на NPS сервер
У вас может возникнуть вопрос:
Что если у меня уже есть учетки в Secrets по которым уже есть соединения от клиентов?
Тут вы можете пойти по пути переноса их в AD, хотя бы по причине того, что она более стойкая, по отношению к конфигу микротика. Единственное, я бы не делал этого для учеток Site-toSite VPN.

Настройка клиентского VPN подключения на Windows 10

Для автоматизации, вы можете воспользоваться CMAK – подготовит профиль подключения, после чего пользователю нужно будет лишь дважды кликнуть мышкой. На моем ноутбуке установлена Windows 10, но настройка ничем не будет отличаться допустим от Windows 7. Создадим клиентское подключение вручную. Открываем центр управления сетями и общим доступом – Создание и настройка нового подключения или сети.
создание нового подключения VPN на Windows 10
Выбираем подключение к рабочему месту.
подключение к рабочему месту
Нас интересует новое подключение.
создание нового подключения
Используем текущее подключение к Интернету.
использовать подключение к интернету
Следом указываете ваш белый IP адрес (или FQDN) микротика, имя VPN и создать.
вводим адрес в интернете
Переходим в свойства созданного интерфейса через «Изменение параметров адаптера» слева в центре управления сетями и общим доступом. Нас интересует вкладка безопасность. В моей текущей лабораторной среде, я выбираю следующие значения:
  • Тип VPN – PPTP;
  • Разрешить следующие протоколы – MS-CHAP v2;
  • Шифрование данных – в данном случае ни на что не влияет.
дополнительная настройка VPN на Windows 10
Теперь пробуем подключиться с указанием данных пользователя test. Домен можно не указывать.
выбор VPN подключения
Указываем учётную запись и пароль.
указываем логин и пароль Active Directory
И вуаля – подключение прошло успешно.
статус подключения VPN на Windows 10
Проверим какой адрес мы получили на клиентском ноутбуке и на Mikrotik.
просмотр VPN сведений
просмотр статуса VPN подключения через RADIUS
Посмотрите на значение Encoding. Вы можете в дальнейшем подкручивать политики доступа к сети, создав максимально возможный уровень безопасности для вашей организации. Могу лишь добавить, что наиболее живучий в жизни VPN оказался SSTP/OpenVPN. На этом настройка интеграции AD Radius сервера и Микротика завершена.
РЕКОМЕНДАЦИЯ
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.