Настройка подключения по VPN к MikroTik через RADIUS сервер

Настройка радиуса через микротик

Сегодня мы поговорим о небольшой так сказать интеграцией Mikrotik с Microsoft Active Directory, а именно настроим VPN подключение через Radius сервер. Предположим, что мы среднестатистический офис, с нескольким десятков сотрудников (а может больше или меньше), и у нас стоит задача организации удалённого доступа к сети компании.

Предположим, что у вас есть телефония, какой-то терминальник с 1С ну домен Active Directory. Все это дело аутентифицируется в AD, т.е. у пользователей уже есть учётные записи, и нам бы не хотелось им омрачать жизнь отдельной учеткой для VPN. В этом случае нам поможет Windows NPS сервер. Сама интеграция будет работать через протокол RADIUS.

Тестовый стенд

У меня развёрнута виртуальная машина Windows Server 2019 Standard на Hyper-V, которая является контроллером домена леса corp.mikrotiklab.ru.

Так же есть настроенный Mikrotik hAP AC с белым (публичным IP адресом). Его конфиг раздаёт адреса, выпускает в интернет и разрешает входящий трафик на роутер только для трафика управления (Winbox, SSH, WebFig порты). Есть ещё Simple Queue, но это не играет никакой роли.

Локальная сеть 192.168.10.0/24, адрес микрота первый в сети, адрес DC-01 192.168.10.10

Наша команда рекомендует изучитьНаша команда рекомендует изучить углубленный курс по администрированию сетевых устройств MikroTik В курсе много лабораторных работ по итогам которых вы получите обратную связь. После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Развёртывание и настройка NPS

Для начала его нужно установить. Проще всего это сделать через PowerShell. Откроем оболочку с админ правами и впишем команду

Install-WindowsFeature -Name NPAS -IncludeManagementTools

Ключ IncludeManagementTools означает, что мы устанавливаем инструменты управления тоже.

PowerShell установка NPS

После установки проверим что роль установилась:

Проверим состояние установки NPS через PowerShell

Проверить так же можно через графический интерфейс, открыв диспетчер серверов.

Проверим состояние установки NPS через диспетчер серверов

В целях демонстрации я устанавливаю данную роль на домен контроллер, в реальной жизни этого делать не стоит. Лучше выделите под NPAS отдельную ВМ, а ещё лучше кластерную.

 

Откроем консоль управления Network Policy Server через Administrative Tools.

Откроем консоль NPS сервера

Зарегистрируем его в Active Directory (для этого необходимы права Enterprise администратора).

Register Server in Active Directory

Развернём ветку RADIUS Clients and Servers — RADIUS Clients, создадим нового.

Создание RADIUS Client в Windows

На данном этапе мы создаём клиента RAIUS.

  • Friendly Name – понятное для нас имя;
  • Address – FQDN или IP нашего Mikrotik;
  • Shared secret, Confirm – общий пароль, подтверждение.
  • Пароль можете сгенерировать, а можете вставить свой.

Конфигурация клиента радиус

Сохраняем, после чего клиент должен появиться в списке. Смысл данной операции, что роутер, по отношению к NPS, является клиентом, но Mikrotik, будет являться сервером VPN, для клиентов, которые будут к нему подключаться (клиентов VPN).

Список клиентов RADIUS

Двигаемся дальше. Теперь нам надо определиться с требованиями, предъявляемыми к VPN клиентам. Т.е. по каким признакам мы будем разрешать им подключаться. Я предлагаю по нескольким параметрам:

  • Они состоят в группе VPN_Users;
  • Соединение по протоколу PPTP;
  • Тип проверки подлинности MS-CHAP2.

Этого думаю достаточно, функционала действительно много, его нужно тестировать и подбирать индивидуально. Давайте создадим политику.

Новая политика сервера доступа сети

Зададим ей имя и тип Remote Access Server (VPN-Dial-up).

Имя политики и тип сетевого доступа

На следующем шаге зададим собственно требования. Кнопкой Add добавим все, о чем мы говорили ранее. Вы так же можете разрешить подключения только в определённое время.

Наполняем политику NPS условиями

На следующем шаге мы выберем тип доступа. Нас интересует разрешение.

Разрешаем или запрещаем доступ

Оставим в окне типа аутентификации только MS-CHAP2.

Выбор метода безопасной аутентификации MS-CHAPv2

В следующем окне мастера можем задать те самые ограничения по времени или время жизни сессии в случае отсутствия активности (но активность лучше регулировать на стороне клиента, через CMAK). Пропустим это и перейдём далее.

Ограничение по времени суток для подключений по RADIUS

В Standard удалим атрибут Service-Type – Framed и оставим Framed-Protocol PPP.

Дополнительные атрибуты RADIUS сервера

Запретим Multilink.

Зпрет множественных подключений

В Encryptions оставим только MPPE 128-bit.

Оставляем только MPPE 128-bit

Все проверяем и жмём Finish.

Итоговое окно создания политик NPS

Проверим обязательно, что созданная политика имеет приоритет выше (меньшее числовое значение), чем другие.

Настройка приоритетов политик NPS

В свойствах NPS сервера оставим только порты 1812 и 1813. Перезапустим службу после этого, нажав ПКМ Stop NPS Service, Start NPS Service.

Оставляем только по одному порту NPS сервера

Следует так же сделать разрешающие входящее правило фаервола Windows для данных UDP портов.

Настройка Windows Firewall

В завершении настройки со стороны Windows, предлагаю создать пользователя test, добавить в доменную группу VPN_Users.

Добавление пользователя test в доменную группу

Настройка Mikrotik RADIUS Client

Описывать настройку VPN Server не буду, вы можете воспользоваться уже написанными, причём не важно какой будет туннель PPTP, L2TP, SSTP или OpenVPN (кликнув на ссылку можете посмотреть их настройку). Если последние 2, то не забывайте про сертификаты. В нашем примере я буду использовать PPTP.

Обращаю ваше внимание, если вы захотите использовать 2 или более типов туннеля, то нужно внести изменения не только на стороне Mikrotik, но и на стороне сервера политик.

Активируем PPTP Server

Следующий этап, это настройка роутера в качестве клиента RADIUS. Открываем соответствующее меню слева, и добавляем правило.

Основное окно настройки RADIUS на Mikrotik

  • Нас интересует сервис ppp;
  • Address – адрес сервера аутентификации;
  • Secret – тот самый общий ключ;
  • Src. Address – IP с которого Mikrotik Будет отправлять пакеты на NPS.

Не забываем про правила фаервола

Список правил Firewall на Mikrotik

Напоследок включаем заветную галочку в PPP, без которой Mikrotik не побежит на NPS сервер.

Mikrotik Use Radius

У вас может возникнуть вопрос:

Что если у меня уже есть учетки в Secrets по которым уже есть соединения от клиентов?

Тут вы можете пойти по пути переноса их в AD, хотя бы по причине того, что она более стойкая, по отношению к конфигу микротика. Единственное, я бы не делал этого для учеток Site-toSite VPN.

Настройка клиентского VPN подключения на Windows 10

Для автоматизации, вы можете воспользоваться CMAK – подготовит профиль подключения, после чего пользователю нужно будет лишь дважды кликнуть мышкой. На моем ноутбуке установлена Windows 10, но настройка ничем не будет отличаться допустим от Windows 7. Создадим клиентское подключение вручную. Открываем центр управления сетями и общим доступом – Создание и настройка нового подключения или сети.

Создание подключения в Windows 10

Выбираем подключение к рабочему месту.

Настройка VPN подключения к рабочему месту

Нас интересует новое подключение.

Не используем существующее подключение

Используем текущее подключение к Интернету.

Подключение через Интернет с помощью виртуальной частной сети

Следом указываете ваш белый IP адрес (или FQDN) микротика, имя VPN и создать.

Задаем белый адрес Mikrotik в интернете

Переходим в свойства созданного интерфейса через «Изменение параметров адаптера» слева в центре управления сетями и общим доступом. Нас интересует вкладка безопасность. В моей текущей лабораторной среде, я выбираю следующие значения:

  • Тип VPN – PPTP;
  • Разрешить следующие протоколы – MS-CHAP v2;
  • Шифрование данных – в данном случае ни на что не влияет.

Выставляем MSCHAPv2 и PPTP в свойствах VPN адаптера Windows 10

Теперь пробуем подключиться с указанием данных пользователя test. Домен можно не указывать.

Подключиться к VPN-Office

Указываем учётную запись и пароль.

Вводим учетные данные пользователя Active Directory

И вуаля – подключение прошло успешно.

VPN-Office Подключено

Проверим какой адрес мы получили на клиентском ноутбуке и на Mikrotik.

Свойства подключения VPN на Windows 10

Просмотр состояния VPN подключения RADIUS на Mikrotik

Посмотрите на значение Encoding. Вы можете в дальнейшем подкручивать политики доступа к сети, создав максимально возможный уровень безопасности для вашей организации. Могу лишь добавить, что наиболее живучий в жизни VPN оказался SSTP/OpenVPN. На этом настройка интеграции AD Radius сервера и Микротика завершена.

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Оцените статью
MikroTikLab
Добавить комментарий

  1. Саша

    users groups CORP\VPN_Users
    У меня нету в группах VPN_Users
    что нужно сделать чтобы оно появилось

    Ответить
    1. Артур Гарян автор

      Добрый день
      Ее нужно создать вручную в Active Directiry Users and Computers
      Обычная группа безопасности

      Ответить
Adblock
detector