Сегодня мы поговорим о небольшой так сказать интеграцией Mikrotik с Microsoft Active Directory, а именно настроим VPN подключение через Radius сервер. Предположим, что мы среднестатистический офис, с нескольким десятков сотрудников (а может больше или меньше), и у нас стоит задача организации удалённого доступа к сети компании.
Предположим, что у вас есть телефония, какой-то терминальник с 1С ну домен Active Directory. Все это дело аутентифицируется в AD, т.е. у пользователей уже есть учётные записи, и нам бы не хотелось им омрачать жизнь отдельной учеткой для VPN. В этом случае нам поможет Windows NPS сервер. Сама интеграция будет работать через протокол RADIUS.
Тестовый стенд
У меня развёрнута виртуальная машина Windows Server 2019 Standard на Hyper-V, которая является контроллером домена леса corp.mikrotiklab.ru.
Так же есть настроенный Mikrotik hAP AC с белым (публичным IP адресом). Его конфиг раздаёт адреса, выпускает в интернет и разрешает входящий трафик на роутер только для трафика управления (Winbox, SSH, WebFig порты). Есть ещё Simple Queue, но это не играет никакой роли.
Локальная сеть 192.168.10.0/24, адрес микрота первый в сети, адрес DC-01 192.168.10.10
Развёртывание и настройка NPS
Для начала его нужно установить. Проще всего это сделать через PowerShell. Откроем оболочку с админ правами и впишем команду
Install-WindowsFeature -Name NPAS -IncludeManagementTools
Ключ IncludeManagementTools означает, что мы устанавливаем инструменты управления тоже.
После установки проверим что роль установилась:
Проверить так же можно через графический интерфейс, открыв диспетчер серверов.
В целях демонстрации я устанавливаю данную роль на домен контроллер, в реальной жизни этого делать не стоит. Лучше выделите под NPAS отдельную ВМ, а ещё лучше кластерную.
Откроем консоль управления Network Policy Server через Administrative Tools.
Зарегистрируем его в Active Directory (для этого необходимы права Enterprise администратора).
Развернём ветку RADIUS Clients and Servers — RADIUS Clients, создадим нового.
На данном этапе мы создаём клиента RAIUS.
- Friendly Name – понятное для нас имя;
- Address – FQDN или IP нашего Mikrotik;
- Shared secret, Confirm – общий пароль, подтверждение.
- Пароль можете сгенерировать, а можете вставить свой.
Сохраняем, после чего клиент должен появиться в списке. Смысл данной операции, что роутер, по отношению к NPS, является клиентом, но Mikrotik, будет являться сервером VPN, для клиентов, которые будут к нему подключаться (клиентов VPN).
Двигаемся дальше. Теперь нам надо определиться с требованиями, предъявляемыми к VPN клиентам. Т.е. по каким признакам мы будем разрешать им подключаться. Я предлагаю по нескольким параметрам:
- Они состоят в группе VPN_Users;
- Соединение по протоколу PPTP;
- Тип проверки подлинности MS-CHAP2.
Этого думаю достаточно, функционала действительно много, его нужно тестировать и подбирать индивидуально. Давайте создадим политику.
Зададим ей имя и тип Remote Access Server (VPN-Dial-up).
На следующем шаге зададим собственно требования. Кнопкой Add добавим все, о чем мы говорили ранее. Вы так же можете разрешить подключения только в определённое время.
На следующем шаге мы выберем тип доступа. Нас интересует разрешение.
Оставим в окне типа аутентификации только MS-CHAP2.
В следующем окне мастера можем задать те самые ограничения по времени или время жизни сессии в случае отсутствия активности (но активность лучше регулировать на стороне клиента, через CMAK). Пропустим это и перейдём далее.
В Standard удалим атрибут Service-Type – Framed и оставим Framed-Protocol PPP.
Запретим Multilink.
В Encryptions оставим только MPPE 128-bit.
Все проверяем и жмём Finish.
Проверим обязательно, что созданная политика имеет приоритет выше (меньшее числовое значение), чем другие.
В свойствах NPS сервера оставим только порты 1812 и 1813. Перезапустим службу после этого, нажав ПКМ Stop NPS Service, Start NPS Service.
Следует так же сделать разрешающие входящее правило фаервола Windows для данных UDP портов.
В завершении настройки со стороны Windows, предлагаю создать пользователя test, добавить в доменную группу VPN_Users.
Настройка Mikrotik RADIUS Client
Описывать настройку VPN Server не буду, вы можете воспользоваться уже написанными, причём не важно какой будет туннель PPTP, L2TP, SSTP или OpenVPN (кликнув на ссылку можете посмотреть их настройку). Если последние 2, то не забывайте про сертификаты. В нашем примере я буду использовать PPTP.
Обращаю ваше внимание, если вы захотите использовать 2 или более типов туннеля, то нужно внести изменения не только на стороне Mikrotik, но и на стороне сервера политик.
Следующий этап, это настройка роутера в качестве клиента RADIUS. Открываем соответствующее меню слева, и добавляем правило.
- Нас интересует сервис ppp;
- Address – адрес сервера аутентификации;
- Secret – тот самый общий ключ;
- Src. Address – IP с которого Mikrotik Будет отправлять пакеты на NPS.
Не забываем про правила фаервола
Напоследок включаем заветную галочку в PPP, без которой Mikrotik не побежит на NPS сервер.
У вас может возникнуть вопрос:
Что если у меня уже есть учетки в Secrets по которым уже есть соединения от клиентов?
Тут вы можете пойти по пути переноса их в AD, хотя бы по причине того, что она более стойкая, по отношению к конфигу микротика. Единственное, я бы не делал этого для учеток Site-toSite VPN.
Настройка клиентского VPN подключения на Windows 10
Для автоматизации, вы можете воспользоваться CMAK – подготовит профиль подключения, после чего пользователю нужно будет лишь дважды кликнуть мышкой. На моем ноутбуке установлена Windows 10, но настройка ничем не будет отличаться допустим от Windows 7. Создадим клиентское подключение вручную. Открываем центр управления сетями и общим доступом – Создание и настройка нового подключения или сети.
Выбираем подключение к рабочему месту.
Нас интересует новое подключение.
Используем текущее подключение к Интернету.
Следом указываете ваш белый IP адрес (или FQDN) микротика, имя VPN и создать.
Переходим в свойства созданного интерфейса через «Изменение параметров адаптера» слева в центре управления сетями и общим доступом. Нас интересует вкладка безопасность. В моей текущей лабораторной среде, я выбираю следующие значения:
- Тип VPN – PPTP;
- Разрешить следующие протоколы – MS-CHAP v2;
- Шифрование данных – в данном случае ни на что не влияет.
Теперь пробуем подключиться с указанием данных пользователя test. Домен можно не указывать.
Указываем учётную запись и пароль.
И вуаля – подключение прошло успешно.
Проверим какой адрес мы получили на клиентском ноутбуке и на Mikrotik.
Посмотрите на значение Encoding. Вы можете в дальнейшем подкручивать политики доступа к сети, создав максимально возможный уровень безопасности для вашей организации. Могу лишь добавить, что наиболее живучий в жизни VPN оказался SSTP/OpenVPN. На этом настройка интеграции AD Radius сервера и Микротика завершена.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдёте для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
users groups CORP\VPN_Users
У меня нету в группах VPN_Users
что нужно сделать чтобы оно появилось
Добрый день
Ее нужно создать вручную в Active Directiry Users and Computers
Обычная группа безопасности