Доступ из вне через L2TP при использовании RADIUS

Один из моих читателей моего блога обратился ко мне с просьбой помочь ему настроить возможность подключение к Mikrotik(у) задейстовав VPN подключение, но чтобы не для каждого создавать связку логин и пароль, а аутентификация велась бы через RADIUS+Active Directory (система Windows Server 2012 R2 Standard). Раз я делал и практически внедрял для управления микротиками RADIUS, то я согласился помочь на безвоздмезной основе, да и задача интересная. Результат я предоставил тому человеку на следующий день и после благодаря моим подсказкам и наводкам где у него не получалось у него все заработало. Рад был помочь, плюс для себя подчерпнул что-то новое.

Задача:

Настроить связку

Клиент (Windows 7, Windows 10) который подключается к офисной сети через L2TP(IPSEC) с помощью RADIUS авторизации которая работает в связке с роутером Mikrotik+NPS на базе Windows Server 2012 R2 Standard (+роли AD,DNS,DHCP).

W7X64 → srv-gw (RADIUS Client, L2TP+IPSEC) (eth1 — WAN,eth2 — LAN) → srv-dc1.polygon.local (AD,DNS,DHCP,NPS)

Шаг №1:

Прежде чем настраивать на боевом оборудовании я поднимаю стенд с использованием пакета виртуализации Virtualbox на своем рабочей системе Ubuntu 18.04 Desktop amd64 ноутбука Lenovo E555

Что мне понадобится:

• Server 2012 R2 (с ролями AD,DNS,DHCP) на эту же систему буду устанавливать роль NPS
• Mikrotik в роли шлюза (но не x86 образ, а образ CHR (version 6.43.12 x86_64), посредством активации на 60 дней я получаю Mikrotik без каких либо ограничений на применяемые настройки
• Windows 7 SP1 x64 Pro RUS.

Шаг №2:

На srv-gw.polygon.local (роутер Mikrotik) настраиваю L2TP+IPSEC подключение из вне опираясь на ранее опубликованную заметку:

Шаг №3: На srv-dc1.polygon.local разворачиваю роль RADIUS опираясь на ранее опубликованную заметку и делаем по ней все от и до, но если нужно авторизовываться на Mikrotik(ах), а для текущей задачи есть кое какие различия, о них ниже.

В домене создаю группу vpnl2tpuser и в нее помещаю те учетные записи которые из любого места будут иметь доступ к офисной сети при настроенное подключении.

Затем в свойства учетной записи alektest — вкладка «Dial-in» (Network Access Permission) следует выбрать «Control access throught NPS Network Policy»

Перехожу к развертыванию RADIUS на Windows Server 2012 R2 (все действия аналогичны и на Server 2016)

Win + X → Control Prompt — Administrative Tools - Server Manager — Dashboard — Add roles and features, Next, Next (Role-based or feature installation), Next (Select a server from the server pool: srv-dc1.polygon.local = 10.90.90.2), Отмечаю галочкой устанавливаю роль «Network Policy and Access Services» и нажимаю Next, Next, Next, Next, Install, Close.

(Обозначаю кто может подключаться к RADIUS сервису)

Win + X - Control Prompt - Administrative Tools — Network Policy Server — NPS (Local) — RADIUS Clientes and Servers — RADIUS Clientes — и через правый клик мышью выбираю New

• Enable this RADIUS client: отмечаю галочкой
• Friendly name: srv-gw.polygon.local
• Address (IP or DNS): 10.90.90.1

(Manual) указываю общую фразу подключения к RADIUS(у)

• Shared secret: Aa1234567
• Confirm shared secret: Aa1234567

и нажимаю кнопку OK

 

(Создаю политику подключения)

Win + X - Control Prompt - Administrative Tools — Network Policy Server — NPS (Local) — Policies — Connection Request Policies — New

• Policy Name: vpnl2tpuser
• Type of network access server: Unspecified

и нажимаю Next, Add — выбираю «Day and Time Restrictions», Add — Permited — OK, Next, Next, Включаю политику настройки аутентификации «Override network policy authentication settings» далее отмечаю галочками метод аутентификации:
Microsoft Encrypted Authentication Version 2(MS-CHAP-v2): отмечаю галочкой и нажимаю Next, указываю атрибуты вендора, т. е. Атрибуты Mikrotik: Settings: (RADIUS Attributes) Vendor Specific — Add:

• Vendor: All
• Attributes: Vendor-Specific

и нажимаю Add, настройки атрибутов один в один как в сетевой политике ниже

(Создаю сетевую политику)

Win + X - Control Prompt - Administrative Tools — Network Policy Server — NPS (Local) — Policies - Network Policies — и через правый клик мышью выбираю New

• Policy Name: vpnl2tpuser
• Type of network access server: Unspecified

и нажимаю Next, после нажимаю Add выбираю через что будет вестить доступ к Radius:

Select a condition, and then clid add: (Groups): Windows Groups и нажимаю Add — указываю доменную группу Add Groups

 

и нажимаю Next текущего окна «Specify Conditions», далее задаю параметры доступа:
Access granted: отмечаю
и нажимаю Next текущего окна «Specify Access Permission», далее отмечаю галочками метод аутентификации:

Microsoft Encrypted Authentication Version 2(MS-CHAP-v2): отмечаю галочкой и нажимаю Next текущего окна «Configure Authentication Methods», далее отмечаю действие данной политики:

Constratints: Day and time restrictions — отмечаю галочкой Allow access only on these days and at these times → Edit — Permited — Ok и нажимаю Next текущего окна «Configure Constraints», далее удаляю стандартные атрибуты Radius, а настраиваю атрибуты задействованного оборудования в данной схеме т. е. Mikrotik.

• Settings (RADIUS Attributes) Vendor Specific — Add
• Vendor: All
• Attributes: Vendor-Specific

и нажимаю Add окна «Add Vendor Specific Attribute» — Add

• Enter Vendor Code: 14988
• Yes. It conforms: выбираю

и нажимаю кнопку Configure Attribute окна «Vendor-Specific Attribute Information» где указываю параметры атрибутов для Mikrotik:

• Vendor-assigned attribute number: 3
• Attribute format: String
• Attribute value: vpnl2tpuser (это доменная группа)

получается вот так:

и нажимаю кнопку Next окна «Configure Settings» - «Finish». Вот она политика:

Настройки на Radius сервисе завершены, правила в брандмауэре создались автоматически при установке роли.

Шаг №4: Вроде все настроено, нужно теперь проверить работоспособность, к примеру пусть это будет рабочая станция под управлением Windows 7 Pro SP1 x64 не в домене.

Подключаемся с использованием административной учетной записи к Mikrotik и включает отображение логов подключения с использованием VPN:

Пуск — Панель управления — Просмотр: Категория — Мелкие значки — Центр управления сетями и общим доступом — Настройка нового подключения или сети — выбираю «Подключение к рабочему месту» — «Использовать мое подключение к интернету (VPN)»

• Интернет-адрес: указываю IP адрес через который у меня во вне смотрит CHR (Mikrotik) который представлен, как WAN, он у меня из моей рабочей сети: 172.33.33.82
• Имя местоназначения: VPN-подключение
• Не подключаться сейчас, только выполнить установку для подключения в будущем и нажимаю «Далее»
• Пользователь: alektest
  Пароль: Aa1234567

Запомнить этот пароль: отмечаю галочкой и нажимаю «Создать» — «Закрыть» — «Изменение параметров адаптера» — открываю свойства созданного подключения через правый клик — вкладка «Безопасность»:

• Тип VPN: изменяю с «Автоматически» на «L2TP Ipsec VPN», а после перехожу «Дополнительные параметры»:
• Для проверки подлинности использовать предварительный ключ и прописываю «Ключ»: Aa1234567, затем нажимаю ОК окна «Дополнительные свойства». Все также находясь во вкладке «Безопасность» созданного VPN соединения отмечаю протокол аутентификации, а именно "Протокол Microsoft CHAP версии 2 (MS-CHAP-v2)"

 

Проверяю подключение для этого через правый клик мышью на созданном подключение выбираю меню «Подключить» — «Подключение» и если все сделано правильно подключение поднимается:

 

 

 

 

 

 

А со стороны Mikrotik(а)

Winbox — IP&DNS — USER&PASS — PPP — вкладка «Active Connections» наблюдаем активное соединение прошедшее авторизацию на радиус сервисе операционной системы Windows Server 2012 R2 домена polygon.local, где пользователь состоит в доменной группе и только те кто вхожу в нее могут извне подключаться к офисной системе.

 

Привожу полный лог подключения через L2TP соединение:

В логе есть записи проверки наличия пользователя под которым идет подключение в группе доступа

MT-Group = «vpnl2tpuser»

Итого: Заметка работоспособна. На этом у меня всё, с уважением автор блога Олло Александр aka ekzorchik.