бути RADIUS - Стандарт, видаляємо атрибут Service-Type Framed, залишаємо тільки PPP.
На цьому налаштування Radius-сервера закінчується. Натискаємо далі і готово.
Переходимо до налаштування Mikrotik'a.
Створимо пул ip адрес для підключення наших користувачів:
/ip pool add name=vpnserverusers ranges=10.0.18.2-10.0.18.99 next-pool=none
Профіль для VPN сервера:
/ppp profile add name=vpnserverhome use-encryption=yes change-tcp-mss=yes local-address=10.0.18.1 remote-address=vpnserverusers
В якості VPN півночі вибрав PPTP сервер, включаємо:
/interface pptp-server server set enabled=yes authentication=mschap1, mschap2 max-mtu=1 460 max-mru=1 460 default-profile=vpnserverhome
Необхідно включити авторизацію за допомогою radius-сервера
/ppp aaa set use-radius=yes accounting=yes
Включаємо radius-клієнт, і налаштовуємо його під наш сервер
/radius add service=ppp secret=12345678 address=192.168.0.100 authentication-port=1812 accounting-port=1813
Які задіяні порти на нашому Radius-сервері можна подивитися у властивостях Сервера політики мережі
Диспетчер сервера - Ролі - Служби політики мережі та доступу - NPS (Локально) правою кнопкою миші Властивості
Так само на мікротіке потрібно відключити masquerade в firewall'e для діапазону ip адрес 10.0.18.2-10.0.18.99, що б наші користувачі не використовували інтернет від даного з'єднання VPN.
/ip firewall nat edit number=1 src-address
відкриється вікно, пишемо наш діапазон
! 10.0.18.2-10.0.18.99
У мене masquerade іде першим за списком в NAT, тому number=1.
Залишилося тільки додати до групи безпеки «Віддалений доступ по VPN», користувачів, яким дозволений доступ.
Є ще момент, у властивостях облікового запису користувача необхідно в настройках Вхідні дзвінки - Права доступу до мережі включити Управління доступом на основі політики NPS
Налаштування VPN
Буде використовуватися L2TP і IPsec.
Включити технологію VPDN і налаштувати.
vpdnenablegroupL2TP
! Default L2TP VPDN groupdialinl2tptemplate 1l2tp tunnel authenticationlocal pool VPN 192.168.4.2 192.168.4.256Virtual-Template1unnumbered GigabytEthernet0/1access-group VPN indefault ip address pool VPNencrypt mppe 128authentication ms-chap-v2accounting VPN-USERSaccess-list extended VPNicmp any any echoip any any
Створюється віртуальний інтерфейс, який буде шаблоном тунельних інтерфейсів клієнтів. Він прив'язується до зовнішнього інтерфейсу. До його адресою будуть підключатися клієнти. У шаблоні віртуального інтерфейсу вказується шифрування і аутентифікація тунельного протоколу, а також пул адрес з яких будуть виділяться IP для клієнтів.
Другий етап - налаштування IPSec, за допомогою якого будуть шифруватися пакети всередині тунелю.
cryptoisakmppolicy 10256share5isakmp key Qwerty123 address 0.0.0.0 0.0.0.0 no-xauthtransform-set TESTOFL2TP esp-aes 256 esp-sha-hmactransportdynamic-map TESTOFL2TP 10natdemuxtransform-set TESTOFL2TPmap TESTOFL2TP 10 ipsec-isakmp dynamic TESTOFL2TPGigabytEthernet0/1INTERNETaddress 192.168.1.1access-group External inip proxy-arpoutsidevirtual-reassembly in
crypto map TESTOFL2TP
Узгодження ключів шифрування відбувається за допомогою PSK з будь-якої адреси з Інтернету. Крипто-карта формується на основі динамічної крипто-карти і прив'язується до зовнішнього інтерфейсу. У динамічній крипто-карті вимикається NAT і вказується набір шифрування, який налаштований у транспортному режимі. Протокол L2TP використовує для інкапсуляції протокол UDP, тому в списку доступу на зовнішньому інтерфейсі повинна бути строчка permitudpanyhost192.168.1.1 eq 1 701.
Налаштування взаємодії з RADIUS-сервером.
Вказується адреса сервера в мережі, порти аутентифікації та авторизації і загальний секрет, для безпечної взаємодії.
radiusserver RS1ipv4 192.168.3.2 auth-port 1 812 acct-port 1813Qwerty123
Налаштування AAAmodel
Автентифікація доступу до tty самого маршрутизатора повинна виробляється локально:
Aaa authentication login default local
Аутентифікація тунельних протоколів запитується у RADIUS-сервера:
Aaa authentication ppp default group radi...
