На днях поставили задачу, настроить удаленный доступ к серверу через VPN. До этого использовали доступ через удаленный рабочий стол. Закрыли доступ к серверу, осталось поднять VPN сервер и добавить пользователей, кому разрешен доступ из дома. В качестве шлюза в организации установлен Mikrotik 450g. Можно было бы просто включить VPN-сервер на Mikrotik'e и завести необходимое кол-во пользователей. Решил пойти другим путем, так как в компании на сервере поднят Active Directory, можно воспользоваться Radius-сервером на Windows 2008r2. И получим не плохую связку, что упростит нам работу в будущем по управлению доступом к серверу. И так опишу как все это дело настроить.

Для начала настроим Radius-сервер
Для работы radius сервера нам потребуется установить роль Службы политики сети и доступаNPS сервер
И так открываем Диспетчер сервера РолиДобавить роли
image image
Находим в списке Службы политики сети и доступа, нажимаем далее, появится информация о данной службе, если необходимо читаем или сразу нажимаем далее, выбираем какие службы данной роли необходимо включить. Для радиус сервера нам понадобиться только Сервер политики сети, выбираем, нажимаем далее и установить.
image image
После установки службы, необходимо ее зарегистрировать в Active Directory, это требуется для применения групповых политик применяемых на сервере. Вот тут у меня и возникли проблемы, кнопка активации была не активна. image
Причину я не нашел, но двигаемся дальше.
Переходим к настройке сервера. Теперь необходимо добавить radius-клиента. Для этого переходим: Диспетчер сервераРолиСлужбы политики сети и доступаNPS (Локально)Клиенты и серверы RADIUSRADIUS-клиенты. Кликаем правой кнопкой мыши на RADIUS-клиенты, нажимаем на Новый RADIUS-клиент. image
В открывшемся диалоговом окне заполняем поля:
• Понятное имя – имя радиус клиента (задается произвольно);
• Адрес (IP или DNS) – тут все понятно, ip адрес либо dns-имя нашего устройства;
• Имя поставщика – поставщик radius клиента (можно оставить Standard);
• Общий секрет – пароль для авторизации радиус-клиента (пароль допустим 12345678).
image
Для того что бы настроить политику доступа, необходимо создать в Active Directory локальную группу безопасности. В данную группу будут входить пользователи, которым будет открыт доступ к серверу из дома. Назовем ее Удаленный доступ по VPN.
image
Создаем политику доступа. В службе NPS (Локально) открываем Политики кликаем правой кнопкой мыши Сетевые политикиНовый документ. В открывшемся окне заполняем поля:
• Имя политики — произвольное имя;
• Тип сервера доступа к сети – оставляем Unspecified.
image
Нажимаем далее, откроется окно Выбор условия, тут все просто на основании чего будем разрешать или запрещать доступ. Нажимаем добавить, ГруппыГруппы Windows.
image
Как помните выше я писал, что у меня не получалось зарегистрировать Сервер политик сети (NPS (Локально)) в AD, точнее кнопка активации не активна, из-за данной проблемы при выборе группы безопасности выходит ошибка.
image
Проблему обошел следующим способом, при поиске группы безопасности, выбираем размещение не в домене, а на самом сервере (DNS имя сервера).
image
Далее уже находим созданную ранее группу Удаленный доступ по VPN. Нажимаем ОК.
image
Добавим еще одно условие, от какого radius-клиента разрешено подключение. Свойства клиента RADIUS Понятное имя клиента, добавить. Тут указываем, имя Radius-клиента которого создавали раннее, в моем случае mikrotik.
image
Нажимаем ок, в итоге у нас получается 2 условия, идем далее.
image
Укажите разрешение доступа – Доступ разрешен.
image
Далее Настройка методов проверки подлинности выбираем метод шифрование mschap и mschap2.
image
Далее Настройка ограничений, тут параметры можно оставить по умолчанию.
image
Настройка параметров, в Атрибуты RADIUS – Стандарт, удаляем атрибут Service-Type Framed, оставляем только PPP.
image
На этом настройка Radius-сервера заканчивается. Нажимаем далее и готово.
Переходим к настройке Mikrotik'a.
Создадим пул ip адресов для подключения наших пользователей:
/ip pool add name=vpnserverusers ranges=10.0.18.2-10.0.18.99 next-pool=none
Профиль для VPN сервера:
/ppp profile add name=vpnserverhome use-encryption=yes change-tcp-mss=yes local-address=10.0.18.1 remote-address=vpnserverusers
В качестве VPN севера выбрал PPTP сервер, включаем:
/interface pptp-server server set enabled=yes authentication=mschap1,mschap2 max-mtu=1460 max-mru=1460 default-profile=vpnserverhome
Необходимо включить авторизацию с помощью radius-сервера
/ppp aaa set use-radius=yes accounting=yes
Включаем radius-клиент, и настраиваем его под наш сервер
/radius add service=ppp secret=12345678 address=192.168.0.100 authentication-port=1812 accounting-port=1813
Какие задействованы порты на нашем Radius-сервере можно посмотреть в свойствах Сервера политики сети
Диспетчер сервераРолиСлужбы политики сети и доступаNPS (Локально) правой кнопкой мыши Свойства
image
Так же на микротике потребуется отключить masquerade в firewall'e для диапазона ip адресов 10.0.18.2-10.0.18.99, что бы наши пользователи не использовали интернет от данного соединения VPN.
/ip firewall nat edit number=1 src-address
откроется окно, пишем наш диапазон
!10.0.18.2-10.0.18.99
У меня masquerade идет первым по списку в NAT, поэтому number=1.
Осталось только добавить в группу безопасности «Удаленный доступ по VPN», пользователей, которым разрешен доступ.
Есть еще момент, в свойствах учетной записи пользователя необходимо в настройках Входящие звонкиПрава доступа к сети включить Управление доступом на основе политики NPS
image
Что бы у пользователей не возникло проблем с настройкой VPN соединения дома, и избавить себя от звонков в вечернее время. С помощью утилиты CMAK:
Пакет администрирования диспетчера подключений (CMAK) — это средство для настройки и управления способом подключения пользователей к Интернету или корпоративной частной сети.
создал автоматическое подключение для Windows7 (32 бит, 64 бит) и WindowsXP (32 бит), со стандартными настройками и написал не большую инструкцию как все это дома установить.
Несколько скриншотов делал уже после настройки на виртуальной машине, а именно добавление роли Службы политики сети и доступа. Из-за этого разные dns-имена серверов.

Доброго времени суток!На днях поставили задачу, настроить удаленный доступ к серверу через VPN. До этого использовали доступ через удаленный рабочий стол. Закрыли доступ к серверу, осталось поднять VPN сервер и добавить пользователей, кому разрешен доступ из дома. В качестве шлюза в организации установлен Mikrotik 450g. Можно было бы просто включить VPN-сервер на Mikrotik'e и завести необходимое кол-во пользователей. Решил пойти другим путем, так как в компании на сервере поднят Active Directory, можно воспользоваться Radius-сервером на Windows 2008r2. И получим не плохую связку, что упростит нам работу в будущем по управлению доступом к серверу. И так опишу как все это дело настроить.Для начала настроимДля работы radius сервера нам потребуется установить рольИ так открываемНаходим в списке Службы политики сети и доступа, нажимаем далее, появится информация о данной службе, если необходимо читаем или сразу нажимаем далее, выбираем какие службы данной роли необходимо включить. Для радиус сервера нам понадобиться только Сервер политики сети, выбираем, нажимаем далее и установить.После установки службы, необходимо ее зарегистрировать в Active Directory, это требуется для применения групповых политик применяемых на сервере. Вот тут у меня и возникли проблемы, кнопка активации была не активна.Причину я не нашел, но двигаемся дальше.Переходим к настройке сервера. Теперь необходимо добавить radius-клиента. Для этого переходим:. Кликаем правой кнопкой мыши на, нажимаем наВ открывшемся диалоговом окне заполняем поля:• Понятное имя – имя радиус клиента (задается произвольно);• Адрес (IP или DNS) – тут все понятно, ip адрес либо dns-имя нашего устройства;• Имя поставщика – поставщик radius клиента (можно оставить Standard);• Общий секрет – пароль для авторизации радиус-клиента (пароль допустим 12345678).Для того что бы настроить политику доступа, необходимо создать в Active Directory локальную группу безопасности. В данную группу будут входить пользователи, которым будет открыт доступ к серверу из дома. Назовем ееСоздаем политику доступа. В службе NPS (Локально) открываем Политики кликаем правой кнопкой мыши. В открывшемся окне заполняем поля:• Имя политики — произвольное имя;• Тип сервера доступа к сети – оставляем Unspecified.Нажимаем далее, откроется окно Выбор условия, тут все просто на основании чего будем разрешать или запрещать доступ. Нажимаем добавить,Как помните выше я писал, что у меня не получалось зарегистрировать(NPS (Локально)) в AD, точнее кнопка активации не активна, из-за данной проблемы при выборе группы безопасности выходит ошибка.Проблему обошел следующим способом, при поиске группы безопасности, выбираем размещение не в домене, а на самом сервере (DNS имя сервера).Далее уже находим созданную ранее группу Удаленный доступ по VPN. Нажимаем ОК.Добавим еще одно условие, от какого radius-клиента разрешено подключение., добавить. Тут указываем, имя Radius-клиента которого создавали раннее, в моем случае mikrotik.Нажимаем ок, в итоге у нас получается 2 условия, идем далее.– Доступ разрешен.Далеевыбираем метод шифрование mschap и mschap2.Далее, тут параметры можно оставить по умолчанию., в Атрибуты RADIUS – Стандарт, удаляем атрибут Service-Type Framed, оставляем только PPP.На этом настройка Radius-сервера заканчивается. Нажимаем далее и готово.Создадим пул ip адресов для подключения наших пользователей:Профиль для VPN сервера:В качестве VPN севера выбрал PPTP сервер, включаем:Необходимо включить авторизацию с помощью radius-сервераВключаем radius-клиент, и настраиваем его под наш серверКакие задействованы порты на нашем Radius-сервере можно посмотреть в свойствах Сервера политики сетиправой кнопкой мыши СвойстваТак же на микротике потребуется отключитьв firewall'e для диапазона ip адресов 10.0.18.2-10.0.18.99, что бы наши пользователи не использовали интернет от данного соединения VPN.откроется окно, пишем наш диапазонУ меня masquerade идет первым по списку в NAT, поэтому number=1.Осталось только добавить в группу безопасности «Удаленный доступ по VPN», пользователей, которым разрешен доступ.Есть еще момент, в свойствах учетной записи пользователя необходимо в настройкахк сети включить Управление доступом на основе политики NPSЧто бы у пользователей не возникло проблем с настройкой VPN соединения дома, и избавить себя от звонков в вечернее время. С помощью утилиты CMAK:создал автоматическое подключение для Windows7 (32 бит, 64 бит) и WindowsXP (32 бит), со стандартными настройками и написал не большую инструкцию как все это дома установить.

Если жительница Гавайских островов кладёт цветы за правое ухо, она сообщает тем самым, что доступна. Чем больше цветов, тем сильнее её желание.

http://winitpro.ru/index.php/2014/06/17/razvorachivaem-directaccess-na-baze-windows-server-2012-r2/