Radius server windows 2020 r2 настройка: Mikrotik (vpn server) + Windows server 2008r2 (ad, radius server) / Песочница / Хабр
Настройка RADIUS средствами Microsoft Windows 2008 R2
В нашем офисе имеется сеть Wi-Fi. Доступ к ней был организован по примитивной и не безопасной схеме, к тому же, обеспечивал полное отсутствие прозрачности со стороны пользователей. Проще говоря, мы не знали, кто подключен к сети, а кто нет, т.к. для подключения к ней достаточно знать ключ доступа, который давно не менялся.
Решением стало поднятие RADIUS сервера для нужд Wi-Fi.
Подбор решений.
По скольку я не зацикливался на определенной ОС, то было решено сделать это там, где это можно сделать как можно более просто и быстро. При этом, функционал не должен пострадать. Первая рассмотренная мною софтина называлась winRADIUS. Очень проста в настройке, но она не давала мне всего того, что было нужно. Откровенно говоря, ничего особенно полезного для компании, где Wi-Fi пользуются порядка 50-80 человек, кроме фильтрации по MAC-адресам я не нашел. А ошибка, сообщавшая, что «Клиент не поддерживает аутентификацию по EAP-MD5» вызвала у меня серьезное недоумение, ведь на сайте разработчиков явно присутствовала информация о том, что все использующиеся в данный момент версии Windows, а также Linux и MacOS это поддерживают.
Долго бороться с этой ошибкой я не стал, т.к. подобные вещи при наличии множества решений не впечатляют и не вызывают желания пользоваться продуктом, особенно учитывая функционал.
Следующим был openradius. Очень интересный продукт. Удобный, качественный и прочее. Только одно Но!: настройка этого продукта меня немного покоробила. Трудностей мы не боимся, но не вижу смысла создавать сложности там, где все можно сделать проще, иначе говоря, «не множь сущностей сверх необходимого».
В результате я остановился на встроенный в Windows Server 2008 R2 RADIUS-сервер.
Настройка.
Как и любит винда — вагон и очень не маленькая тележка возможностей и прочего. Когда за 3 минуты я разобрался и потом еще за 5 настроил, мое внутреннее Я разделилось на две части. Не знаю, что чувствуют люди, больные раздвоением личности, но видимо что то подобное.
Виндузятник во мне радовался совмещению возможностей и простоты работы. И что уж греха таить, относительной (относительно Windows Server 2008) безсбойности.
Линуксойд во мне смотрел на виндузятника с сомнением и превосходством, мол это не путь истинного джедая и прочее. Но Бритва Оккама победила и Линуксойд был вынужден согласиться с очевидным.
Итак, переходим к сути.
В первую очередь, заходим в Диспетчер сервера и добавляем новую роль Службы политики сети и доступа. После установки открываем одноименную роль в Диспетчере сервера и проходим NPS —> Клиенты и серверы RADIUS —> RADIUS клиенты. Там мы добавляем Wi-Fi точки доступа и прочие устройства, от которых мы будем принимать запросы на авторизацию. Не буду вдаваться в подробности настройки каждого пункта, т.к. это очень обширная тема.
Теперь переходим в Политики. Там нам нужны первые два пункта. Первый отвечает за то, кто сможет подключиться (устройство, пользователь и прочее). Второй отвечает за то, как этот кто то будет подключаться. Не забывайте в каждом пункте во вкладке Ограничения выбирать пункт Тип порта NAS и там выбирать Wirreles IEEE 802.11 в случае с Wi-Fi, т.к. это тип сервиса, который будет обслуживать данный сервер RADIUS.
Больше писать об этом не буду. Скажу только, что авторизацию пользователей можно проводить очень разными и порой даже очень неожиданными путями. С безопасностью тоже все хорошо на столько, на сколько может быть хорошо с безопасностью, протоколы для которой не являются открытыми и не известно, какие функции выполняют по мимо непосредственной. А все это работает на системе, которая изначально предназначалась для маленьких компаний и не имеет стабильности UNIX-подобных ОС. Но в противовес скажу, что на данный момент многие реализованные функции работают на «УРА!» и не вызывают нареканий, так что если Вам есть, чем себя занять на работе, по мимо бесконечного выпиливания мебели лобзиком (читай «пилить фряху/линукс»), а винда это тоже умеет и оно бесплатно (или компания купит), то Must Have.
P.S. Openradius я все таки сделал, связал с MySQL. Интересно получилось, но тратить на это 1-2 часа не вижу смысла. Сделал я это уже не на работе, а дома, когда было время. На работе эти пляски повторять не хочу. Но если кому то хочется именно так, а мануалы в инете не помогают, обращайтесь. Напишу сюда и про этот вариант.
P.P.S. Не забывайте, что подключающееся устройство (точка доступа, если Wi-Fi или роутер в случае с VPN) должны иметь встроенный RADIUS-клиент для работы с RADIUS-сервером. На Linux/FreeBSD все просто. поставил radius-client, настроил (10 минуты времени, если в первый раз и не знаешь английский, чтобы комменты в конфигах читать) и радуешься жизни. А вот с железными устройствами надо быть внимательней и смотреть характеристики.
Удачного дня 🙂
Доступ из вне через L2TP при использовании RADIUS
22:04:33 ipsec,info respond new phase 1 (Identity Protection): 172.33.33.82[500]<=>172.33.33.6[500]
22:04:34 ipsec,info ISAKMP-SA established 172.33.33.82[500]-172.33.33.6[500] spi:55d491a05491fdc4:5abad3472bc7d52f
22:04:34 l2tp,debug,packet rcvd control message from 172.33.33.6:1701 to 172.33.33.82:1701
22:04:34 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0
22:04:34 l2tp,debug,packet (M) Message-Type=SCCRQ
22:04:34 l2tp,debug,packet (M) Protocol-Version=0x01:00
22:04:34 l2tp,debug,packet (M) Framing-Capabilities=0x1
22:04:34 l2tp,debug,packet (M) Bearer-Capabilities=0x0
22:04:34 l2tp,debug,packet Firmware-Revision=0x601
22:04:34 l2tp,debug,packet (M) Host-Name=»W7X64″
22:04:34 l2tp,debug,packet Vendor-Name=»Microsoft»
22:04:34 l2tp,debug,packet (M) Assigned-Tunnel-ID=13
22:04:34 l2tp,debug,packet (M) Receive-Window-Size=8
22:04:34 l2tp,info first L2TP UDP packet received from 172.33.33.6
22:04:34 l2tp,debug tunnel 13 entering state: wait-ctl-conn
22:04:34 l2tp,debug,packet sent control message to 172.33.33.6:1701 from 172.33.33.82:1701
22:04:34 l2tp,debug,packet tunnel-id=13, session-id=0, ns=0, nr=1
22:04:34 l2tp,debug,packet (M) Message-Type=SCCRP
22:04:34 l2tp,debug,packet (M) Protocol-Version=0x01:00
22:04:34 l2tp,debug,packet (M) Framing-Capabilities=0x1
22:04:34 l2tp,debug,packet (M) Bearer-Capabilities=0x0
22:04:34 l2tp,debug,packet Firmware-Revision=0x1
22:04:34 l2tp,debug,packet (M) Host-Name=»mikrotik»
22:04:34 l2tp,debug,packet Vendor-Name=»MikroTik»
22:04:34 l2tp,debug,packet (M) Assigned-Tunnel-ID=13
22:04:34 l2tp,debug,packet (M) Receive-Window-Size=4
22:04:34 l2tp,debug,packet rcvd control message from 172.33.33.6:1701 to 172.33.33.82:1701
22:04:34 l2tp,debug,packet tunnel-id=13, session-id=0, ns=1, nr=1
22:04:34 l2tp,debug,packet (M) Message-Type=SCCCN
22:04:34 l2tp,debug tunnel 13 entering state: estabilished
22:04:34 l2tp,debug,packet sent control message (ack) to 172.33.33.6:1701 from 172.33.33.82:1701
22:04:34 l2tp,debug,packet tunnel-id=13, session-id=0, ns=1, nr=2
22:04:34 l2tp,debug,packet rcvd control message (ack) from 172.33.33.6:1701 to 172.33.33.82:1701
22:04:34 l2tp,debug,packet tunnel-id=13, session-id=0, ns=3, nr=1
22:04:34 l2tp,debug,packet rcvd control message from 172.33.33.6:1701 to 172.33.33.82:1701
22:04:34 l2tp,debug,packet tunnel-id=13, session-id=0, ns=2, nr=1
22:04:34 l2tp,debug,packet (M) Message-Type=ICRQ
22:04:34 l2tp,debug,packet (M) Assigned-Session-ID=1
22:04:34 l2tp,debug,packet (M) Call-Serial-Number=0
22:04:34 l2tp,debug,packet (M) Bearer-Type=0x2
22:04:34 l2tp,debug,packet 1(vendor-id=311)=0xf0:c2:1d:aa:d4:d3:b3:44:96:c5:76:7a:3b:60:22:65
22:04:34 l2tp,debug session 1 entering state: wait-connect
22:04:34 l2tp,debug,packet sent control message to 172.33.33.6:1701 from 172.33.33.82:1701
22:04:34 l2tp,debug,packet tunnel-id=13, session-id=1, ns=1, nr=3
22:04:34 l2tp,debug,packet (M) Message-Type=ICRP
22:04:34 l2tp,debug,packet (M) Assigned-Session-ID=1
22:04:34 l2tp,debug,packet rcvd control message from 172.33.33.6:1701 to 172.33.33.82:1701
22:04:34 l2tp,debug,packet tunnel-id=13, session-id=1, ns=3, nr=2
22:04:34 l2tp,debug,packet (M) Message-Type=ICCN
22:04:34 l2tp,debug,packet (M) Tx-Connect-Speed-BPS=1000000000
22:04:34 l2tp,debug,packet (M) Framing-Type=0x1
22:04:34 l2tp,debug,packet Proxy-Authen-Type=4
22:04:34 l2tp,debug session 1 entering state: established
22:04:34 l2tp,debug,packet sent control message (ack) to 172.33.33.6:1701 from 172.33.33.82:1701
22:04:34 l2tp,debug,packet tunnel-id=13, session-id=0, ns=2, nr=4
22:04:34 l2tp,ppp,debug : LCP lowerup
22:04:34 l2tp,ppp,debug : LCP open
22:04:34 l2tp,ppp,debug,packet : rcvd LCP ConfReq id=0x0
22:04:34 l2tp,ppp,debug,packet <mru 1400>
22:04:34 l2tp,ppp,debug,packet <magic 0x9331185d>
22:04:34 l2tp,ppp,debug,packet <pcomp>
22:04:34 l2tp,ppp,debug,packet <accomp>
22:04:34 l2tp,ppp,debug,packet <callback 0x06>
22:04:34 l2tp,ppp,debug,packet : sent LCP ConfReq id=0x1
22:04:34 l2tp,ppp,debug,packet <mru 1450>
22:04:34 l2tp,ppp,debug,packet <magic 0x2215b238>
22:04:34 l2tp,ppp,debug,packet <auth mschap2>
22:04:34 l2tp,ppp,debug,packet : sent LCP ConfRej id=0x0
22:04:34 l2tp,ppp,debug,packet <pcomp>
22:04:34 l2tp,ppp,debug,packet <accomp>
22:04:34 l2tp,ppp,debug,packet : rcvd LCP ConfAck id=0x1
22:04:34 l2tp,ppp,debug,packet <mru 1450>
22:04:34 l2tp,ppp,debug,packet <magic 0x2215b238>
22:04:34 l2tp,ppp,debug,packet <auth mschap2>
22:04:34 l2tp,ppp,debug,packet : rcvd LCP ConfReq id=0x1
22:04:34 l2tp,ppp,debug,packet <mru 1400>
22:04:34 l2tp,ppp,debug,packet <magic 0x9331185d>
22:04:34 l2tp,ppp,debug,packet <callback 0x06>
22:04:34 l2tp,ppp,debug,packet : sent LCP ConfAck id=0x1
22:04:34 l2tp,ppp,debug,packet <mru 1400>
22:04:34 l2tp,ppp,debug,packet <magic 0x9331185d>
22:04:34 l2tp,ppp,debug,packet <callback 0x06>
22:04:34 l2tp,ppp,debug : LCP opened
22:04:34 l2tp,ppp,debug,packet : sent CHAP Challenge id=0x1
22:04:34 l2tp,ppp,debug,packet <challenge len=16>
22:04:34 l2tp,ppp,debug,packet <name mikrotik>
22:04:34 l2tp,ppp,debug,packet : rcvd LCP Ident id=0x2
22:04:34 l2tp,ppp,debug,packet <magic 0x9331185d>
22:04:34 l2tp,ppp,debug,packet MSRASV5.20
22:04:34 l2tp,ppp,debug,packet : rcvd LCP Ident id=0x3
22:04:34 l2tp,ppp,debug,packet <magic 0x9331185d>
22:04:34 l2tp,ppp,debug,packet MSRAS-0-W7X64
22:04:34 l2tp,ppp,debug,packet : rcvd LCP Ident id=0x4
22:04:34 l2tp,ppp,debug,packet <magic 0x9331185d>
22:04:34 l2tp,ppp,debug,packet \F0\C2\1D\AA\D4\D3\B3D\96\C5vz;`»e
22:04:34 l2tp,ppp,debug,packet : rcvd CHAP Response id=0x1
22:04:34 l2tp,ppp,debug,packet <response len=49>
22:04:34 l2tp,ppp,debug,packet <name alektest>
22:04:34 radius,debug new request 1b:1d code=Access-Request service=ppp
22:04:34 radius,debug sending 1b:1d to 10.90.90.2:1812
22:04:34 radius,debug,packet sending Access-Request with id 31 to 10.90.90.2:1812
22:04:34 radius,debug,packet Signature = 0x015a939aece77668585e61d32b1e04e2
22:04:34 radius,debug,packet Service-Type = 2
22:04:34 radius,debug,packet Framed-Protocol = 1
22:04:34 radius,debug,packet NAS-Port = 15728652
22:04:34 radius,debug,packet NAS-Port-Type = 5
22:04:34 radius,debug,packet User-Name = «alektest»
22:04:34 radius,debug,packet MS-CHAP-Challenge = 0x9e0d99853742badb15529318ee9c3289
22:04:34 radius,debug,packet MS-CHAP2-Response = 0x010055b677b9a63e7da4a3841dbff3f5
22:04:34 radius,debug,packet 685d000000000000000072b85c4c037c
22:04:34 radius,debug,packet 755c96fac5946a27c94dbd6e02970f13
22:04:34 radius,debug,packet 5807
22:04:34 radius,debug,packet NAS-Identifier = «mikrotik»
22:04:34 radius,debug,packet NAS-IP-Address = 10.90.90.1
22:04:34 radius,debug,packet received Access-Accept with id 31 from 10.90.90.2:1812
22:04:34 radius,debug,packet Signature = 0x45f9ea0126eee1b670dd7d949eb58faa
22:04:34 radius,debug,packet MT-Group = «vpnl2tpuser»
22:04:34 radius,debug,packet Class = 0x4c1b048500000137000102000a5a5a02
22:04:34 radius,debug,packet 00000000000000000000000001d4c554
22:04:34 radius,debug,packet d81388130000000000000015
22:04:34 radius,debug,packet MS-MPPE-Recv-Key = 0x8029b368dfda4267a6c0d9bab34c1c10
22:04:34 radius,debug,packet 9b283c0afcddc9e0625d7650fd919f1e
22:04:34 radius,debug,packet 2efd
22:04:34 radius,debug,packet MS-MPPE-Send-Key = 0x802a86349f0a647dbaa0b5d627ca8cf8
22:04:34 radius,debug,packet 52f478703acbe098d4e91bb924801fc0
22:04:34 radius,debug,packet 3863
22:04:34 radius,debug,packet MS-CHAP2-Success = 0x01533d44334243333634453145303435
22:04:34 radius,debug,packet 36464433304135383734423044384343
22:04:34 radius,debug,packet 3938443831453730414545
22:04:34 radius,debug,packet MS-CHAP-Domain = 0x01504f4c59474f4e
22:04:34 radius,debug,packet MS-Link-Utilizatoin-Threshold = 50
22:04:34 radius,debug,packet MS-Link-Drop-Time-Limit = 120
22:04:34 radius,debug received reply for 1b:1d
22:04:34 radius,debug new request 1b:00 code=Accounting-Request service=ppp
22:04:34 radius,debug sending 1b:00 to 10.90.90.2:1813
22:04:34 radius,debug,packet sending Accounting-Request with id 32 to 10.90.90.2:1813
22:04:34 radius,debug,packet Signature = 0x49492a4c7b9072f8b4db8cc4884fea18
22:04:34 radius,debug,packet Service-Type = 2
22:04:34 radius,debug,packet Framed-Protocol = 1
22:04:34 radius,debug,packet NAS-Port = 15728652
22:04:34 radius,debug,packet NAS-Port-Type = 5
22:04:34 radius,debug,packet User-Name = «alektest»
22:04:34 radius,debug,packet Class = 0x4c1b048500000137000102000a5a5a02
22:04:34 radius,debug,packet 00000000000000000000000001d4c554
22:04:34 radius,debug,packet d81388130000000000000015
22:04:34 radius,debug,packet Acct-Session-Id = «8140000c»
22:04:34 radius,debug,packet Framed-IP-Address = 192.168.199.2
22:04:34 radius,debug,packet Acct-Authentic = 1
22:04:34 radius,debug,packet Event-Timestamp = 1550257474
22:04:34 radius,debug,packet Acct-Status-Type = 1
22:04:34 radius,debug,packet NAS-Identifier = «mikrotik»
22:04:34 radius,debug,packet Acct-Delay-Time = 0
22:04:34 radius,debug,packet NAS-IP-Address = 10.90.90.1
22:04:34 radius,debug,packet received Accounting-Response with id 32 from 10.90.90.2:1813
22:04:34 radius,debug,packet Signature = 0x4a7efef7ca5bc2d2d6cf9e87720083f0
22:04:34 radius,debug received reply for 1b:00
22:04:34 radius,debug request 1b:00 processed
22:04:34 l2tp,ppp,info,account alektest logged in, 192.168.199.2
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: sent CHAP Success id=0x1
22:04:34 l2tp,ppp,debug,packet S=D3BC364E1E0456FD30A5874B0D8CC98D81E70AEE
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: sent CBCP CallbackReq id=0x0
22:04:34 l2tp,ppp,debug,packet 01 02
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: rcvd CBCP CallbackResp id=0x0
22:04:34 l2tp,ppp,debug,packet 01 02
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: sent CBCP CallbackAck id=0x1
22:04:34 l2tp,ppp,debug,packet 01 02
22:04:34 l2tp,ppp,info <l2tp-alektest>: authenticated
22:04:34 l2tp,ppp,debug <l2tp-alektest>: IPCP lowerup
22:04:34 l2tp,ppp,debug <l2tp-alektest>: IPCP open
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: sent IPCP ConfReq id=0x1
22:04:34 l2tp,ppp,debug,packet <addr 192.168.199.1>
22:04:34 l2tp,ppp,debug <l2tp-alektest>: IPV6CP open
22:04:34 l2tp,ppp,debug <l2tp-alektest>: MPLSCP lowerup
22:04:34 l2tp,ppp,debug <l2tp-alektest>: MPLSCP open
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: sent MPLSCP ConfReq id=0x1
22:04:34 l2tp,ppp,debug <l2tp-alektest>: BCP open
22:04:34 l2tp,ppp,debug <l2tp-alektest>: CCP lowerup
22:04:34 l2tp,ppp,debug <l2tp-alektest>: CCP open
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: rcvd IPV6CP ConfReq id=0x5
22:04:34 l2tp,ppp,debug,packet <interface-identifier b447:b25b:c8f3:ddce>
22:04:34 l2tp,ppp,debug <l2tp-alektest>: received unsupported protocol 0x8057
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: sent LCP ProtRej id=0x2
22:04:34 l2tp,ppp,debug,packet 80 57 01 05 00 0e 01 0a b4 47 b2 5b c8 f3 dd ce
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: rcvd CCP ConfReq id=0x6
22:04:34 l2tp,ppp,debug,packet <mppe 1000000>
22:04:34 l2tp,ppp,debug <l2tp-alektest>: received unsupported protocol 0x80fd
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: sent LCP ProtRej id=0x3
22:04:34 l2tp,ppp,debug,packet 80 fd 01 06 00 0a 12 06 01 00 00 00
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: rcvd LCP ProtRej id=0x8
22:04:34 l2tp,ppp,debug,packet 82 81 01 01 00 04
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: rcvd IPCP ConfReq id=0x7
22:04:34 l2tp,ppp,debug,packet <addr 0.0.0.0>
22:04:34 l2tp,ppp,debug,packet <ms-dns 0.0.0.0>
22:04:34 l2tp,ppp,debug,packet <ms-dns 0.0.0.0>
22:04:34 l2tp,ppp,debug,packet <ms-wins 0.0.0.0>
22:04:34 l2tp,ppp,debug,packet <ms-wins 0.0.0.0>
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: sent IPCP ConfRej id=0x7
22:04:34 l2tp,ppp,debug,packet <ms-wins 0.0.0.0>
22:04:34 l2tp,ppp,debug,packet <ms-wins 0.0.0.0>
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: rcvd IPCP ConfAck id=0x1
22:04:34 l2tp,ppp,debug,packet <addr 192.168.199.1>
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: rcvd IPCP ConfReq id=0x9
22:04:34 l2tp,ppp,debug,packet <addr 0.0.0.0>
22:04:34 l2tp,ppp,debug,packet <ms-dns 0.0.0.0>
22:04:34 l2tp,ppp,debug,packet <ms-dns 0.0.0.0>
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: sent IPCP ConfNak id=0x9
22:04:34 l2tp,ppp,debug,packet <addr 192.168.199.2>
22:04:34 l2tp,ppp,debug,packet <ms-dns 212.1.224.6>
22:04:34 l2tp,ppp,debug,packet <ms-dns 212.1.244.6>
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: rcvd IPCP ConfReq id=0xa
22:04:34 l2tp,ppp,debug,packet <addr 192.168.199.2>
22:04:34 l2tp,ppp,debug,packet <ms-dns 212.1.224.6>
22:04:34 l2tp,ppp,debug,packet <ms-dns 212.1.244.6>
22:04:34 l2tp,ppp,debug,packet <l2tp-alektest>: sent IPCP ConfAck id=0xa
22:04:34 l2tp,ppp,debug,packet <addr 192.168.199.2>
22:04:34 l2tp,ppp,debug,packet <ms-dns 212.1.224.6>
22:04:34 l2tp,ppp,debug,packet <ms-dns 212.1.244.6>
22:04:34 l2tp,ppp,debug <l2tp-alektest>: IPCP opened
22:04:34 l2tp,ppp,info <l2tp-alektest>: connected
Wi-Fi сеть c Radius сервером в домене Windows Server 2008
Задача настроить Wifi сеть с применением стандарта WPA2-EAP(Enterprise) и Radius сервером в домене в домене Windows Server 2008 R2 SP1.
В этом руководстве настраиваеться RADIUS функция сервера NPS. В частности, будет использовн протокол Extensible Authentication Protocol (EAP)’Protected EAP (PEAP). Такое использование проверки подлинности 802.1X требует сертификат безопасности на сервере, но не клиентах. Конечные пользователи входят, используя свои имена пользователей и пароли учетных записей, определенные в Active Directory на сервере Windows Server
Инфраструктура:
Есть устройство wi-fi router RTN56u
Сервер 2008 R2 SP1 Роли:
Ноутбук с Windows 7 SP1
2. Создаём Универсальную группу Беспроводные пользователи
a. Создаём пользовательскую учетную запись WirelessUser
b. Добавляем Wirelessuser в группу Беспроводные пользователи
3. Добавляем Роль «Службы политики сети и доступа» (Сервер политики сети ; службы маршрутизации и удаленного доступа)
a. На странице Выбор служб ролей устанавливаем флажок «Сервер политики сети» и «Службы маршрутизации и удаленного доступа». Флажки «Служба удаленного доступа и Маршрутизация будут установлены автоматически»
b. Нажимаем установить.
4. Далее конфигурируем «Сервер политики сети» , чтобы точка беспроводного доступа работала как клиент RADIUS. В командной строке вводим nps.msc и жмем Enter
5. В панели сведений, в области стандартная конфигурация выбираем сценарий «Настройки RADIUS-сервер для беспроводных или кабельных подключений 802.1x»
a. На странице «Выберите тип подключений 802.1X» выбираем «Безопасные беспроводные подключения». Далее.
b. На следующей странице добавляем RADIUS-клиент. Нажимаем добавить и вносим данные по нашей беспроводной точке доступа. Так же создаём общий секрет. Жмем ОК. Жмем Далее
c. На странице «Настройка проверки подлинности» выбираем «Защищенные EAP» жмем настроить. В окне настроек выбираем ранее созданный нами сертификат подлинности. Жмем ОК. Жмем далее
d. На следующем шаге указываем ранее созданную Группу безопасности «Беспроводные пользователи». Жмем Далее
e. На следующей странице так же жмем далее. И в конце жмем готово
6. В оснастке nps.msc правой кнопкой щелкаем по объекту NPS в контекстом меню выбираем «Зарегистрировать сервер в Active Directory».
7. Пришло время настроить беспроводные контроллеры или точки доступа (APs). Вызовите веб-интерфейс путем ввода IP адреса точек доступа или контроллеров в браузер. Затем перейдём в параметры беспроводной сети.
a. Выбираем WPA-Enterprise или WPA2-Enteprise. Для типа шифрования выберите TKIP, если используется WPA (TKIP if using WPA) или AES, если используется WPA2 (AES if using WPA2).
b. Затем вводим IP адрес RADIUS сервера, которым должна быть только что настроенная машина Windows Server. Вводим общий секрет, созданный ранее для этого контроллера/AP. Сохраните параметры.
c. В WAN интерфейс подключена сеть с RADIUS сервером. Интерфейс имеет статический адрес.
Осталось только настроить wifi сеть и прописать проверочный сертификат на клиенте. Это можно сделать вручную либо через групповые политики.
99. Будем настраивать через групповые политики. Нас интересует следующая ветка: Конфигурация компьютера\политики\конфигурация Windows\параметры безопасности
a. Открываем Политика беспроводной сети. Жмем правой кнопкой – создание новой политики Windows VIsta. На вкладке Общие Жмем -Добавить выбираем тип Инфраструктура.
Вводим имя профиля , а так же имя SSID нашей сети.
На вкладке Безопасность выбираем метод проверки подлинности Microsoft: Защищенные EAP.
Затем жмем дополнительно и устанавливаем там флажок Включить единую регистрацию для сети.
На вкладке Безопасность жмем Свойство и там настраиваем следующее.
Ставим флажок – Проверять Сертификат сервера.
Прописываем адрес сервера и указываем доверенные корневые сертификаты.
На этом настройка политики беспроводной сети закончена.
b. Открываем Политики открытого ключа и настраиваем следующие пункты.
i. Клиент служб сертификатов- политика регистрации сертификатов. Включаем политику с параметрами по умолчанию.
ii. Параметры служб сертификатов. Включаем политику с параметрами по умолчанию.
iii. Клиент служб сертификации: автоматическая подача заявок.
Включаем и проставляем два флажка.
110. Заходим в Роль Службы сертификации Active Directory – шаблоны сертификатов и ищем два шаблона Проверка подлинности контроллера домена и почтовая репликация каталогов. Заходим в свойства данных шаблонов и во вкладке Устаревшие шаблоны удаляем шаблон контроллер домена.
111. Теперь можно тестировать нашу сетку. Все готово!
Radius на Windows server 2016. « Blog of Khlebalin Dmitriy
Radius на Windows server 2016.
Наконец «Долгая дорога в дюнах» закончилась, и мы пришли к корпоративному управляемому Wi-fi решению. В начале думали про решение Cisco или Aruba, но к сожалению текущий бюджет никак не располагает к решениям подобного плана. В итоге, в ходе долгих поисков истины и раздумий, решили остановиться на решении Ubnt (отдельно благодарю Александра за нужные советы). Конечно, это не одного поля ягоды с решением Cisco или Aruba, но в текущей ситуации, что есть, то есть.
Как говорил мой командир: «На пожаре и Х… водопровод» (да простят меня за мой русский).
Итак, решение выбрано, задача настроить корпоративный внутренний и гостевой сегменты Wi-fi с авторизацией на Radius сервере.
VPN сервер уже готов, осталось настроить RADIUS, сегодня как раз об этом. На первый взгляд, развернуть и настроить RADIUS сервер, не такая уж сложная задача, но немного загнались с сертификатом, пришлось «поплясать с бубном», ну об этом далее по порядку.
Для начала необходимо запросить сертификат с Центра сертификации, центр сертификации у нас уже есть, поэтому его установку в этом посте я пропущу.
MMC-Файл-Добавить или удалить оснастку-Добавляем Сертификаты-Учетной записи компьютера-Локальным компьютером.
Находим наш центр сертификации
Запрашиваем сертификат (*.p12), сохраняем его на диск, далее устанавливаем его в Личные сертификаты на будущий радиус сервер
Далее добавляем роль самого RADIUS сервера
Далее запускаем Сервер политики сети
Добавляем в раздел RADIUS-клиенты свои Wi-fi точки доступа или сервер управления точками доступа если он поддерживает эту возможность (в этом случае он будет выполнять роль RADIUS клиента)
Общий секрет, указываем тот, который в последствии укажем на Wi-fi точке (IP адрес точки в той подсети, где она находится).
Переходим к политике запросов на подключение
Вот тут, если нажать на:защищенные EAP(PEAP)-Изменить, мы должны видеть свой сертификат, если он был правильно запрошен и установлен.
Далее настраиваем Сетевые политики
На первый взгляд настройка RADIUS сервера на этом закончена, но это еще не все.
На эту тему есть четкие рекомендации, про которые я совсем забыл (спасибо Александру, что он напомнил):
https://technet.microsoft.com/en-us/library/cc754198.aspx?f=255&MSPPError=-2147217396
если сервер не включен в группу RAS and IAS, то его надо туда добавить:
https://msdn.microsoft.com/en-us/library/cc754878(v=ws.11).aspx
На всякий случай проверяем, что все так, как должно быть, открываем на сервере локальную политику (gpedit.msc)
И проверяем следующий пункт
Далее на точке или точках Wi-fi указываем авторизацию WPA Enterprise.
Здесь же хотел поблагодарить Романа, за подробные разъяснения по неясным моментам по серверу управлению Wi-fi и настройкам непосредственно Wi-fi.
И получаем далее авторизуем с доменными учетными данными, пользователей подключаемых к корпоративному Wi-fi.
Почитать по теме можно здесь:
How to Configure Windows 2012 NPS for Radius Authentication with Ubiquiti Unifi
или здесь:
https://habrahabr.ru/post/142070/
Всем хорошей работы!!!
Понравилось это:
Нравится Загрузка…
06.12.2016 —
Posted by khlebalin |
ms windows 2016
Sorry, the comment form is closed at this time.
теория и практика (часть вторая)
В предыдущей статье были разобраны теоретические аспекты WPA аутентификации и шифрования в беспроводных сетях. В этой статье подробнее рассмотрим практику таких решений.
Microsoft Windows XP, начиная с Service Pack 1 (а лучше сразу поставить Service Pack2), при работе с беспроводными сетями позволяет использовать аутентификацию по логину/паролю (то есть PEAP) и аутентификацию по цифровому сертификату (EAP-TLS). В этой статье детально рассмотрим EAP-PEAP механизм, а сертификаты оставим на следующий раз.
Итак, для работы нам потребуется:
- беспроводной клиент — в данном случае это USB беспроводной адаптер ASUS WL-167g, подключенный к компьютеру с операционной системой Windows XP pro + SP2
- точка доступа с поддержкой WPA — ей являлась TRENDnet TEW-410APB+
- RADIUS-сервер — был использован FreeRadius сервер версии 1.0.5, работающий под операционной системой Gentoo Linux.
1. Настройка FreeRADIUS.
Начнем с установки и настройки FreeRADIUS сервера.
В операционной системе Gentoo это делается довольно просто, достаточно ввести команду
=====================================================
root@s2 ~ # emerge -av freeradius
These are the packages that I would merge, in order:
Calculating dependencies …done!
[ebuild N ] net-dialup/freeradius-1.0.5-r1 -edirectory
-frascend -frnothreads -frxp -kerberos -ldap -mysql +pam
-postgres -snmp +ssl -udpfromto 2,240 kB
Total size of downloads: 2,240 kB
Do you want me to merge these packages? [Yes/No]
=====================================================
Если планируется хранить базу пользователей во внешних базах (например, ldap, mysql или postgre), то перед сборкой RADIUS сервера надо активировать соответствующие флаги, позволяющие собрать FreeRADIUS с поддержкой mysql/postgre и/или ldap:
=====================================================
# USE=»mysql ldap» emerge -av freeradius
=====================================================
После проверки включенности нужных флагов, достаточно нажать клавишу Y и пакет будет собран и установлен в систему:
=====================================================
— !targe sym /usr/lib/rlm_digest-1.0.5.la
— !targe sym /usr/lib/rlm_detail.so
— !targe sym /usr/lib/rlm_detail-1.0.5.la
— !targe sym /usr/lib/rlm_counter.so
— !targe sym /usr/lib/rlm_counter-1.0.5.la
— !targe sym /usr/lib/rlm_checkval.so
— !targe sym /usr/lib/rlm_checkval-1.0.5.la
— !targe sym /usr/lib/rlm_chap.so
— !targe sym /usr/lib/rlm_chap-1.0.5.la
— !targe sym /usr/lib/rlm_attr_rewrite.so
— !targe sym /usr/lib/rlm_attr_rewrite-1.0.5.la
— !targe sym /usr/lib/rlm_attr_filter.so
— !targe sym /usr/lib/rlm_attr_filter-1.0.5.la
— !targe sym /usr/lib/rlm_always.so
— !targe sym /usr/lib/rlm_always-1.0.5.la
— !targe sym /usr/lib/rlm_acct_unique.so
— !targe sym /usr/lib/rlm_acct_unique-1.0.5.la
— !targe sym /usr/lib/libradius.so
— !targe sym /usr/lib/libradius-1.0.5.la
— !targe sym /usr/lib/libeap.so
— !targe sym /usr/lib/libeap-1.0.5.la
>>> original instance of package unmerged safely.
>>> Regenerating /etc/ld.so.cache…
>>> net-dialup/freeradius-1.0.5-r1 merged.
=====================================================
Вышеприведенный лог сборки (его конец) показывает, что FreeRADIUS 1.0.5 успешно установлен в систему (о чем сообщает строка » net-dialup/freeradius-1.0.5-r1 merged»). Можно приступать к его настройке.
1.1 файл /etc/raddb/clients.conf
Для начала пропишем клиентов (в данном случае — точку доступа) в файле /etc/raddb/clients.conf
#—————————————————-
client 192.168.1.250/32 {
secret = test1234
shortname = test_ap
}
#—————————————————-
Эта запись означает, что клиент с адресом 192.168.1.250 авторизируется на RADIUS-е с паролем test1234. Имя test_ap будет использована при логировании событий, связанных с этой точкой доступа.
Не забываем сменить стандартный пароль для localhost_клиентов:
#—————————————————-
secret = very_strong_secret_password
#—————————————————-
1.2 файл /etc/raddb/radiusd.conf
Теперь разберемся с основным файлом конфигурации Radius-а /etc/raddb/radiusd.conf
Секция Modules{ }, раздел mschap { }
Включаем
use_mppe = yes # использовать алгоритм mppe
require_encryption = yes # использовать шифрование
require_strong = yes # только сильное шифрование
with_ntdomain_hack = yes # исправление некорректной реализации алгоритма аутентификации у MS (посылка имени пользователя в виде DOMAINUSER, а challange responce — в виде USER)
Кроме этого, можно поотключать в файле все алгоритмы (pap, passwd), не относящиеся к MS-CHAP, но это необязательно.
Необходимо также наличие следующих строк в modules{ }
#—————————————————-
#
# ‘domainuser’
#
realm ntdomain {
format = prefix
delimiter = «\»
ignore_default = no
ignore_null = no
}
#—————————————————-
и
#—————————————————-
ntdomain
#—————————————————-
в authorize{ } для того, чтобы корректно разделять имя домена (или имя компьютера, если этот компьютер не в домене) и имя пользователя. Ведь Windows при аутентификации посылает не просто логин пользователя, а конструкцию вида COMPUTERNAMEUSERNAME или DOMAINNAMEUSERNAME. Если у нас все компьютеры в домене, то можно, конечно, в общем хранилище аккаунтов прописывать логины пользователей вместе с именем домена, но это не всегда удобно. Если же никакого домена нет, то ситуация становится совсем мрачной — нужно прописывать аккаунты пользователей с учетом имен их компьютеров. Поэтому для простоты будем просто отрезать доменную часть аккаунта.
1.3 файл /etc/raddb/proxy.conf
Теперь открываем файл /etc/raddb/proxy.conf и добавляем в конец этого файла
#—————————————————-
realm DEFAULT {
type = radius
authhost = LOCAL
accthost = LOCAL
}
#—————————————————-
DEFAULT реалм, добавленный нами, позволяет всем аккаунтам, которые не попали ни в один вышезаданный реалм, проверяться на локальном радиусе. В нашем случае это означает, что все windows-аккаунты с отрезанной доменной частью будут проверяться локально.
1.4 файл /etc/raddb/eap.conf
Переходим к настройке протокола EAP. Его настройки располагаются в отдельном файле, который, в свою очередь, подключается к основному /etc/raddb/radiusd.conf вот такой конструкцией:
#—————————————————-
$INCLUDE ${confdir}/eap.conf
#—————————————————-
Открываем /etc/raddb/eap.conf
В секции eap{ }
#—————————————————-
default_eap_type = peap # по-умолчанию, используем EAP-PEAP
#—————————————————-
Раскомментируем секцию, относящуюся к peap:
#—————————————————-
peap {
default_eap_type = mschapv2
}
#—————————————————-
Но этого недостаточно для функционирования PEAP, нам также необходимо активировать (раскомментировать) секцию, отвечающую за EAP-TLS:
#—————————————————-
tls {
private_key_password = whatever
private_key_file = ${raddbdir}/certs/cert-srv.pem
certificate_file = ${raddbdir}/certs/cert-srv.pem
CA_file = ${raddbdir}/certs/demoCA/cacert.pem
dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
}
#—————————————————-
В данном случае использованы цифровые сертификаты, сгенерированные автоматически, при установке пакета freeradius. Можно, конечно, создать собственные сертификаты, подписанные своим (или сторонним) сертификационным центром, но для простоты объяснения, этот этап опущен (он будет подробно расписан в следующей части статьи). Для работы RADIUS-сервера для обеспечения работы EAP-PEAP протокола, вышеприведенных настроек будет достаточно.
1.5 файл /etc/raddb/users
Последний шаг в настройке RADIUS-сервера — это конфигурирование пользовательской базы. Как уже упоминалось выше, FreeRadius умеет хранить базу пользователей (аккаунты) в различных хранилищах, будь то системные аккаунты, обычный текстовый файл, LDAP, MySQL, PostgreSQL или что-либо еще.
Мы в качестве базы хранилища будем использовать обычный текстовый файл /etc/raddb/users. Формат файла очень простой: одна строчка — одна запись:
#—————————————————-
testuser1 User-Password == «password1″
testuser2 User-Password == «password2″
#—————————————————-
В нашей базе прописано два пользователя: testuser1,testuser2 с соответствующими паролями. Файл /etc/raddb/users подключается в секции modules{ }, раздел files{ } основного конфигурационного файла FreeRadius (/etc/raddb/radiusd.conf) следующей строчкой:
#—————————————————-
files {
#
usersfile = ${confdir}/users
compat = no
}
#—————————————————-
1.6 права доступа к /etc/raddb/
Пара слов о безопасности. При установке пакета freeradius создается пользователь radiusd и группа radiusd, которая является основной для этого пользователя. Права на директорию конфигурационных файлов RADIUS устанавливаются следующие:
=====================================================
# /bin/ls -l /etc | grep raddb
drwxr-x— 3 root radiusd 4096 Oct 12 15:10 raddb
=====================================================
Таким образом, только root может модифицировать директорию, а читать из нее, кроме root, может только группа radiusd. Посмотрим права на файлы внутри этой директории:
=====================================================
# /bin/ls -l /etc/raddb
total 236
-rw-r—r— 1 root radiusd 422 Oct 12 13:22 acct_users
-rw-r—r— 1 root radiusd 4074 Oct 12 13:22 attrs
drwxr-xr-x 3 root radiusd 4096 Oct 12 17:43 certs
-rw-r—— 1 root radiusd 189 Oct 12 13:22 clients
-rw-r—— 1 root radiusd 2913 Nov 25 17:45 clients.conf
-rw-r—r— 1 root radiusd 929 Oct 12 13:22 dictionary
-rw-r—r— 1 root radiusd 9096 Nov 29 13:10 eap.conf
-rw-r—r— 1 root radiusd 8266 Oct 12 13:22 experimental.conf
-rw-r—r— 1 root radiusd 2396 Oct 12 13:22 hints
-rw-r—r— 1 root radiusd 1604 Oct 12 13:22 huntgroups
-rw-r—r— 1 root radiusd 2333 Oct 12 13:22 ldap.attrmap
-rw-r—r— 1 root radiusd 9330 Oct 12 13:22 mssql.conf
-rw-r—r— 1 root radiusd 1020 Oct 12 13:22 naslist
-rw-r—— 1 root radiusd 856 Oct 12 13:22 naspasswd
-rw-r—r— 1 root radiusd 12267 Oct 12 13:22 oraclesql.conf
-rw-r—r— 1 root radiusd 14467 Oct 12 13:22 postgresql.conf
-rw-r—r— 1 root radiusd 1039 Oct 12 13:22 preproxy_users
-rw-r—r— 1 root radiusd 8934 Nov 29 11:47 proxy.conf
-rw-r—r— 1 root radiusd 58110 Nov 29 11:56 radiusd.conf
-rw-r—r— 1 root radiusd 187 Oct 12 13:22 realms
-rw-r—r— 1 root radiusd 1405 Oct 12 13:22 snmp.conf
-rw-r—r— 1 root radiusd 14149 Oct 12 13:22 sql.conf
-rw-r—r— 1 root radiusd 7110 Nov 30 17:37 users
-rw-r—r— 1 root radiusd 7267 Oct 12 13:22 x99.conf
-rw-r—r— 1 root radiusd 4165 Oct 12 13:22 x99passwd.sample
=====================================================
Группа radiusd может только читать файлы в этой директории, все файлы с паролями не доступны на чтения миру, кроме файла /etc/raddb/users. Его права 644, то есть всем разрешено читать информацию из этого файла. Это не страшно в связи с тем, что сама директория /etc/raddb не доступна на чтение всем, но все же лучше поправить права файла /etc/raddb/users:
=====================================================
# /bin/chmod o-r /etc/raddb/users
# /bin/ls -l /etc/raddb/users
-rw-r—— 1 root radiusd 7110 Nov 30 17:37 /etc/raddb/users
=====================================================
Теперь с правами доступа на файлы все в порядке.
1.7 запуск radiusd в режиме отладки
На этом настройка FreeRadius сервера завершена. Можно запустить его в режиме отладки командой
# /usr/sbin/radiusd -fX
Если ошибок в конфигурационных файлах допущено не было, на экране мы увидим примерно следующее:
=====================================================
s3 ~ # /usr/sbin/radiusd -fX
Starting — reading configuration files …
reread_config: reading radiusd.conf
Config: including file: /etc/raddb/proxy.conf
Config: including file: /etc/raddb/clients.conf
Config: including file: /etc/raddb/snmp.conf
Config: including file: /etc/raddb/eap.conf
Config: including file: /etc/raddb/sql.conf
main: prefix = «/usr»
main: localstatedir = «/var»
main: logdir = «/var/log/radius»
main: libdir = «/usr/lib»
main: radacctdir = «/var/log/radius/radacct»
main: hostname_lookups = no
main: max_request_time = 30
main: cleanup_delay = 5
main: max_requests = 1024
Module: Instantiated detail (detail)
Module: Loaded radutmp
radutmp: filename = «/var/log/radius/radutmp»
radutmp: username = «%{User-Name}»
radutmp: case_sensitive = yes
radutmp: check_with_nas = yes
radutmp: perm = 384
radutmp: callerid = yes
Module: Instantiated radutmp (radutmp)
Listening on authentication *:1812
Listening on accounting *:1813
Ready to process requests.
=====================================================
Надпись «Listening on authentication *:1812» означает, что сервер ждет запросов на аутентификацию на 1812 порту, а «Ready to process requests» — что он готов к работе.
RADIUS сконфигурирован и запущен, переходим к настройкам точки доступа.
2. Настройка точки доступа.
Здесь описывается лишь настройка точки доступа в качестве Radius-клиента. Разумеется, интерфейсы точек доступа разных производителей будут выглядеть по-разному, но общие принципы настроек изменяться не будут.
Надо сделать следующее:
- включить WPA;
- выбрать тип шифрования (AES или TKIP)
- прописать адрес RADIUS-сервера
- прописать пароль доступа (shared secret) к RADIUS-серверу
Вводим SSID беспроводной сети (WPA-PEAP), активируем «Security» и жмем кнопку «Configure Security».
В появившемся окне выбрать WPA RADIUS в пункте «Security Mode». Далее алгоритм шифрования — установить AES (или TKIP, если клиентское оборудование AES не поддерживает). Далее вводим адрес машины, где установлен RADIUS сервер и порт, по которому оный принимает запросы (порт 1812 — является стандартным).
Осталось задать «Shared Secret» (пароль на подключение) и все — настройка точки доступа на этом завершена.
3. Настройка беспроводного клиента.
WiFi карта подключена к компьютеру под управлением Windows XP PRO SP2. Настройка производится в родной Windows Zero Config утилите.
Жмем на «изменить порядок предпочтения сетей».
В закладке «беспроводные сети» щелкаем на кнопку «Добавить».
Попадаем в окно свойств беспроводной сети.
Закладка «связи». Указываем нужное имя сети (в нашем случае WPA-PEAP) и выбираем тип шифрования данных (AES или TKIP). Разумеется, он должен совпадать с тем, что был указан в точке доступа.
Переходим на закладку «Проверка подлинности». В типе EAP ставим «Protected EAP (PEAP)». После чего жмем на кнопку «Свойства».
В следующем окошке снимаем галку с «проверять сертификат сервера». Так как сертификаты у нас самосгенеренные при установке FreeRadius, Windows не сможет проверить их валидность (это будет показано чуть ниже).
Далее, выбираем «Метод проверки подлинности», ставим там «Secured password (EAP-MSCHAP v2). Если тут же нажать кнопку «настроить», то
в появившемся окне можно выбрать способ ввода логина/пароля для доступа в беспроводную сеть. Если «автоматически использовать имя входа и пароль Windows», то при аутентификации беспроводного клиента будет использован тот же логин/пароль, что и на аутентификацию в самой операционной системе. Если галку снять, то логин/пароль придется вручную вводить при каждом подключении к беспроводной сети.
В последней закладке — «подключение» — установленная галка напротив «подключаться, если сеть находится в радиусе действия», позволяет клиенту автоматически подключаться к настраиваемой беспроводной сети, если она окажется поблизости.
После всех настроек, достаточно выбрать нужную беспроводную сеть в списке доступных (в окне Zero Config Utility) и начнется процесс подключения. Либо клиент автоматически начнет подключение к сети, если так было настроено (смотри предыдущий пункт).
Когда все стадии, расписанные в предыдущей статье, отработают, беспроводное соединение установится и клиент попадет в сеть.
Со стороны RADIUS-сервера (запущенного в дебаг-режиме), процесс установления выглядит так:
=====================================================
rad_recv: Access-Request packet from host 192.168.1.250:3072,
id=0, length=177
User-Name = «TESTCOMP1\test»
NAS-IP-Address = 192.168.1.250
Called-Station-Id = «000e8e7a2dd1″
Calling-Station-Id = «0013d403ac86″
NAS-Identifier = «000e8e7a2dd1″
NAS-Port = 41
Framed-MTU = 1400
State = 0x0f0b8bdd06019c6bee7b88dabfb6735c
NAS-Port-Type = Wireless-802.11
EAP-Message = 0x020800261900170301001bcecf5baabb2134510af
f0a705ee2b6b45a8df2c1952d9a489622f5
Message-Authenticator = 0xdf8e304c880e72a1352c84446d463432
#
#
# получили запрос на аутентификацию от клиента
# (запрос от клиента передан точкой доступа)
#
#
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 11
modcall[authorize]: module «preprocess» returns ok for request 11
modcall[authorize]: module «chap» returns noop for request 11
modcall[authorize]: module «mschap» returns noop for request 11
rlm_realm: No ‘@’ in User-Name = «TESTCOMP1 est», looking up realm NULL
rlm_realm: No such realm «NULL»
modcall[authorize]: module «suffix» returns noop for request 11
rlm_realm: Looking up realm «TESTCOMP1» for User-Name = «TESTCOMP1 est»
rlm_realm: Found realm «DEFAULT»
rlm_realm: Adding Stripped-User-Name = «test»
rlm_realm: Proxying request from user test to realm DEFAULT
rlm_realm: Adding Realm = «DEFAULT»
rlm_realm: Authentication realm is LOCAL.
#
#
# аутентифицируем клиента в локальном хранилище аккаунтов
#
#
modcall[authorize]: module «ntdomain» returns noop for request 11
rlm_eap: EAP packet type response id 8 length 38
rlm_eap: No EAP Start, assuming it’s an on-going EAP conversation
modcall[authorize]: module «eap» returns updated for request 11
users: Matched entry test at line 12
State = 0x0f0b8bdd06019c6bee7b88dabfb6735c
modcall: group authorize returns updated for request 11
rad_check_password: Found Auth-Type EAP
auth: type «EAP»
Processing the authenticate section of radiusd.conf
modcall: entering group authenticate for request 11
rlm_eap: Request found, released from the list
rlm_eap: EAP/peap
rlm_eap: processing type peap
rlm_eap_peap: Authenticate
rlm_eap_tls: processing TLS
eaptls_verify returned 7
rlm_eap_tls: Done initial handshake
eaptls_process returned 7
rlm_eap_peap: EAPTLS_OK
rlm_eap_peap: Session established. Decoding tunneled attributes.
rlm_eap_peap: Received EAP-TLV response.
rlm_eap_peap: Tunneled data is valid.
rlm_eap_peap: Success
rlm_eap: Freeing handler
modcall[authenticate]: module «eap» returns ok for request 11
modcall: group authenticate returns ok for request 11
Login OK: [TESTCOMP1\test/]
(from client test_ap port 41 cli 0013d403ac86)
Sending Access-Accept of id 0 to 192.168.1.250:3072
MS-MPPE-Recv-Key = 0xca2b5d707f091386f694a5319ca892
aabedeb8f92450de774911c22c9cbb8f03
MS-MPPE-Send-Key = 0x22d5a9280b80276b0a1e3308bfdacb
e3ad533af04d6813a989bcf077d08e0935
EAP-Message = 0x03080004
Message-Authenticator = 0x00000000000000000000000000000000
User-Name = «test»
#
#
# успешно аутентифицировали, выдали ключ сессии клиенту
#
#
Finished request 11
Going to the next request
Waking up in 6 seconds…
=====================================================
3.1 Частные случаи настройки клиента — «проверка сертификата сервера»
А теперь вернемся к двум, оставленным напоследок, вопросам.
Первое — насчет проверки сертификата серверу, которую мы отключали в защищенных свойствах EAP. В следующей статье будут подробно описаны процессы создания собственного сертификационного центра (CA) и клиентских сертификатов. Так как в данном случае никаких CA мы не создавали и корневой сертификат нашего CA на компьютере-клиенте не установлен, то включения проверки сертификата сервера, как показано на скриншоте
приведет к следующему (на стадии аутентификации клиента):
В трее выскочит сообщение, говорящее о том, что необходима ручная проверка учетных данных.
После щелчка на ней, выскочит окошко, сообщающее, что нам (клиентскому компьютеру) не известен сертификат, пришедший со стороны RADIUS-сервера. Нам предлагается вручную щелкнуть на «ОК» для продолжения подключения или «Отмена» для разрыва соединения. И так при каждом подключении к беспроводной сети. Разумеется, это не удобно, поэтому лучше совсем отключить проверку сертификата сервера.
Хотя еще более корректно будет создать собственный центр сертификации, установить корневой сертификат центра на клиентском компьютере. После чего выдать RADIUS-серверу его собственный сертификат, подписанный корневым. Тогда проверка сертификата сервера пройдет успешно. Но об этом в следующей части.
Кстати, если в предыдущем окошке щелкнуть по кнопке «просмотр сертификата сервера», то в появившемся интерфейсе
можно просмотреть самосгенеренный сертификат, который присылает нам RADIUS-сервер.
Хорошо видно, что это корневой (самоподписанный) сертификат.3.2 Частные случаи настройки клиента — «автоматически использовать имя и пароль windows «
Второй не рассмотренный ваше аспект — это способ подстановки логина/пароля для аутентификации клиента в беспроводной сети.
Как уже говорилось выше, существуют два способа ввода логина/пароля:
- Автоматическая подстановка, при этом используется логин/пароль пользователя, работающего в системе.
- Ручной режим ввода логина/пароля/домена при каждой попытке коннекта.
Если снять галку напротив «автоматически использовать имя входа и пароль Windows» в свойствах EAP MSCHAPv2, то при каждом подключении к беспроводной сети, Windows будет выдавать следующее:
В трее вылезает окошко, приглашающее нас щелкнуть на него для ввода нужной информации в ручном режиме.
При щелчке по надписи в трее, вылезает форма, предлагающая ввести логин, пароль и имя домена (если это необходимо). После нажатия на «ОК», процесс соединения с беспроводной сетью продолжится…
… и успешно завершится подключением, если, конечно, учетные данные были введены без ошибок.
4. Добавление FreeRadius в автостарт
Осталось лишь остановить FreeRADIUS сервер, запущенный в режиме отладки, добавить его в автостарт…
=====================================================
# rc-update add radiusd default
* radiusd added to runlevel default
=====================================================
…для того, чтобы radiusd сервис запускался при старте системы, и запустить его (однократно) в нормальном режиме:
=====================================================
# /etc/init.d/radiusd start
* Starting radiusd … [ ok ]
=====================================================
Все, настройка системы на этом завершена.
Заключение
На этом завершается вторая часть статьи. Мы научились настраивать беспроводную сеть для работы в режиме чистого WPA с аутентификацией клиентов через EAP-PEAP, с хранением базы аккаунтов во внешней базе (в данном случае — в текстовом файле). Если не хочется связываться с собственным центром сертификации, то информации, приведенной выше, более чем достаточно для построения защищенной беспроводной сети.
Но в вышеописанной схеме есть один минус. Дело в том, что подключение к беспроводной сети может происходить только после фактического логина пользователя в операционную систему. То есть для начала мы должны ввести свой логин/пароль на доступ в систему и уже только после этого сможем подключиться к беспроводной сети. А что делать, если у нас на руках ноутбук, включенный в домен, и кроме как по WiFi, подключить его к сети не представляется возможным (или это не удобно)? Ведь при нажатии ctrl-alt-del для ввода логина/пароля для доступа в доменную сеть, компьютер уже должен иметь доступ к сети (хотя бы для того, чтобы найти тот самый домен, куда он должен быть подключен). Тем самым, EAP-PEAP в этом случае не применим, а надо использовать EAP-TLS, то есть настраивать сертификаты и все остальное. Но об этом — в следующей части.
Навигация
Настройка VPN и RADIUS сервера на Windows Server 2008 | Info-Comp.ru
Сегодня речь пойдет об установке и настройке VPN сервера на Windows Server 2008 в связке с Network Policy Server (NPS), который будет выполнять роль RADIUS сервера, а также будет защищать нашу сеть с помощью сетевых политик.
Для начала определимся для чего нам нужно устанавливать и настраивать VPN? Чаще всего VPN используется для предоставления доступа в свою сеть из вне, по защищенному каналу. Но тут нужно подумать, является это для Вас лучшим решением или можно обойтись и без VPN (например «Удаленный рабочий стол»). Но если у Вас нет другого выхода, кроме как настраивать VPN, то давайте приступим.
Для начала расскажу, в каких условиях мы будем все это дело настраивать.
- Во-первых, на базе службы каталогов Active Directory Windows Server 2008;
- Во-вторых, обычно второй сетевой интерфейс, который слушает входящие звонки, имеет внешний IP адрес, я для тестов буду использовать просто другую локальную сеть. Предполагается, что у нас на сервере имеется два сетевых интерфейса:
Первый (локальный)
10.10.10.3
255.255.255.0
Второй (как бы выход в инет, т.е. этот интерфейс будет принимать входящие подключения)
192.168.1.1
255.255.255.0
Задача. Настроить VPN сервер и NPS сервер. При этом клиенты VPN сервера должны подключаться только в определенное время (с 20:00 до 21:00) в другое время им запрещено входить в сеть.
Для начала создайте группу безопасности в оснастке Active Directory «Пользователи и компьютеры». Для того чтобы в нее помещать пользователей, которые будут иметь возможность подключаться к сети по VPN.
Установка ролей сервера для VPN и NPS
Далее можно переходить к установке необходимых ролей сервера. В качестве VPN сервера у нас будет выступать «Служба маршрутизации и удаленного доступа», а в качестве RADIUS сервера будет выступать «Сервер политики сети». Для установки как обычно зайдите в «Диспетчер сервера» и добавьте роль «Служба политики сети и доступа». На вкладке «Службы ролей» поставьте необходимые галочки (как на картинке).
Настройка службы маршрутизации и удаленного доступа для VPN
После того как все установилось можно переходить к настройке «Службы маршрутизации и удаленного доступа». Для этого запустите соответствующую оснастку в администрирование. Запускайте мастер настройка сервера (правой кнопкой «Настроить и включить маршрутизацию и удаленный доступ»).
Выбирайте «Удаленный доступ (VPN или модем)» как на картинке (мы сейчас будем настраивать только удаленный доступ, NAT настраивать не будем, у нас нет такой задачи, поэтому выбираем самый первый пункт).
Далее выбираем «Доступ к виртуальной частной сети (VPN)».
На следующем этапе выбирайте интерфейс, который будет слушать входящие звонки, т.е. именно по этому адресу клиенты будут к нам подключаться (в настоящих условиях это интерфейс который смотрит в Интернет).
Далее выберете способ раздачи IP адресов клиентам, которые будут подключаться, другими словами, для того чтобы пользователь находился в одной сети, ему необходимо присвоить соответствующий IP адрес. Существует два способа это сделать:
- Раздать через DHCP;
- Задать вручную диапазон.
Первый вариант можно использовать тогда, когда у Вас настроен DHCP сервер в Вашей сети. Весь процесс выглядит так – если Вы выбрали этот вариант «Служба маршрутизации и удаленно доступа» сразу займет на DHCP сервере 10 IP адресов, поэтому не удивляйтесь, почему у Вас на DHCP сервере появились занятые ip-ки с уникальном кодом RAS. Кстати если одновременных подключений будет больше 10, то RAS займет еще 10 и так далее, т.е. занимает сразу по десять штук.
Если Вы не хотите использовать DHCP, то просто на всего выберете соответствующий пункт и задайте диапазон IP адресов.
Примечание! Если Вы решили задать вручную и при этом у Вас работает DHCP сервер, то задавайте тот диапазон, который не будет пересекаться с выдачей DHCP, или просто на DHCP сервере задайте диапазон исключений, IP адреса которого не будут выдаваться, а здесь Вы его укажите для выдачи.
На следующем этапе Вам предложат выбрать способ проверки подлинности запросов на подключение. Здесь у Вас снова два варианта: первый, сама служба будет это делать, а второй RADIUS сервер, как раз второй вариант мы сегодня и рассматриваем.
Далее предстоит выбрать адрес основного RADIUS сервера, так как основным сервером являемся мы сами, то и пишем наш IP адрес: 10.10.10.3
Все жмите готово, у Вас при этом настроится DHCP сервер для совместной работы с данной службой.
Настройка Network Policy Server (NPS)
Теперь переходим к настройке Network Policy Server (NPS) для этого запускайте оснастку «Сервер политики сети». Для начала зарегистрируйте этот сервер в AD, правой кнопкой «Зарегистрировать сервер в AD». Потом можно выключить политики, которые создались по умолчанию (также легко, правой кнопкой выключить). Затем можете запускать мастер настройки сервера.
Сначала выбираете тип подключения и можете задать имя Ваших политик, я например не изменял, а оставил все по умолчанию.
Затем можно указать клиентов RADIUS сервера. Под этим понимается сервера, которым нужны услуги RADIUS сервера, например наш VPN сервер, но так как он находится на нашем локальном компьютере, то здесь можно ничего не заполнять.
На следующем этапе у Вас спросят, какой метод проверки подлинности Вы хотите использовать, выберите вариант MS-CHAPv2.
Далее добавьте группу пользователей, которые имеют право на подключения к VPN серверу. Свою группу я назвал VPN.
Потом Вас попросят настроить ip-фильтры, но мы этого делать не будем, жмем далее и попадаем на этап настройки шифрования, здесь опять ничего не меняем (по умолчанию все галочки включены). Переходим к следующему этапу, где необходимо указать «Имя сферы» мы это тоже пропускаем и жмем далее, где нам уже скажут, что настройка прошла успешно. Жмем «Готово».
Теперь можете раскрыть политики, выберете «Политики запросов на подключение» нажмите правой кнопку на созданную Вами политику и нажмите свойства, перейдите на вкладку условия и нажмите добавить. Найдите там раздел «Ограничение по дням недели и времени суток» и жмите еще раз добавить. Настройте время так, как Вам нужно, для нашей с Вами тестовой задачи это с 20:00 по 21:00.
Теперь можно переходить к тестированию, в настройках подключения клиента указываем адрес 192.168.1.1 (в реальность внешний IP адрес или DNS имя).
Все, на этом наша с Вами тестовая задача выполнена. Но сразу могу сказать, что возможностей у NPS сервера очень много и Вы можете задавать свои сетевые политики для своей локальной сети, при выполнении некоторых условий. Например, компьютеры должны быть в домене и у них должен быть включен NAP агент. Но об этом и многом другом будем разговаривать в следующих статьях.
НравитсяНе нравится
Настройка проверки подлинности Wi-Fi через RADIUS Server Windows 2008 R2. Часть 1.
RADIUS (Remote Authentication Dial In User Service, служба удалённой аутентификации дозванивающихся пользователей) — сетевой протокол, предназначенный для обеспечения централизованной аутентификации, авторизации и учёта (Authentication, Authorization, and Accounting, AAA) пользователей, подключающихся к различным сетевым службам. Используется, например, при аутентификации пользователей WiFi, VPN, в прошлом, dialup-подключений, и других подобных случаях.
При подключении к точке доступа, у клиента запрашиваются учетные данные, затем они передаются на RADIUS Server. Он в свое время делает запрос в AD и, если данные верны, происходит аутентификация и авторизация пользователей.
Для начала нам необходимо получить сертификат из нашего СЦ (об это можно почитать в этой статье):
- На сервере с установленным СЦ нажимаем Пуск -> Выполнить. Вводим MMC и нажимаем Enter. Откроется пустое окно консоли MMC. Нажимаем Файл -> Добавить или удалить оснастку. Слева выбираем «Сертификаты» и нажимаем Добавить. Появится запрос, кем будет управляться оснастка сертификатов. Выбираем «Учетной записью компьютера» (Рис.1-2):
Рис.1.
Рис.2.
2. Далее в консоли «Сертификаты — локальный пользователь» выбираем «Личные -> Все задачи -> Запросить новый сертификат» (Рис.3):
Рис.3.
3. Откроется окно «Регистрация сертификатов», нажимаем Далее (Рис.3):
Рис.3.
4. Выбираем «Политика регистрации Active Directory» и нажимаем Далее (Рис.4):
Рис.4.
5. Ставим галку «Контроллер домена» и нажимаем Заявка (Рис.5):
Рис.5.
6. После успешного получения сертификата контроллера домена нажимаем Готово (Рис.6):
Рис.6.
7. В консоли сертификатов видим, что в Личных появился сертификатах появился оный для контроллер домена (Рис.7):
Рис.7.
8. В этом же окне мы можем экспортировать сертификат для дальнейшего развертывания на клиентские компьютеры (Рис.8):
Рис.8.
Во второй части данной статьи я расскажу, как настроить авторизацию пользователей Wi-Fi через наш RADIUS сервер.
Удачи!
Шаг 2 Настройка сервера RADIUS
- 2 минуты на чтение
В этой статье
Применимо к: Windows Server (полугодовой канал), Windows Server 2016
Перед настройкой сервера удаленного доступа для поддержки DirectAccess с поддержкой OTP необходимо настроить сервер RADIUS.
2.1 Настройка токенов распространения программного обеспечения RADIUS
Сервер RADIUS должен быть настроен с использованием необходимых лицензионных и программных и / или аппаратных токенов распространения, которые будут использоваться DirectAccess с OTP. Этот процесс будет специфическим для каждой реализации поставщика RADIUS.
2.2 Настройка информации о безопасности RADIUS
Сервер RADIUS использует порты UDP для связи, и каждый поставщик RADIUS имеет собственные порты UDP по умолчанию для входящей и исходящей связи.Чтобы сервер RADIUS работал с сервером удаленного доступа, убедитесь, что все брандмауэры в среде настроены так, чтобы разрешать трафик UDP между DirectAccess и серверами OTP через необходимые порты.
Сервер RADIUS использует общий секрет для аутентификации. Настройте сервер RADIUS с надежным паролем для общего секрета и обратите внимание, что он будет использоваться при настройке конфигурации клиентского компьютера сервера DirectAccess для использования с DirectAccess с OTP.
2.3 Добавление учетной записи пользователя для проверки OTP
На сервере RADIUS создайте новую учетную запись пользователя с именем DAProbeUser и дайте ей пароль DAProbePass .
2.4 Синхронизация с Active Directory
На сервере RADIUS должны быть учетные записи пользователей, соответствующие пользователям в Active Directory, которые будут использовать DirectAccess с OTP.
Для синхронизации пользователей RADIUS и Active Directory
Запишите информацию о пользователях из Active Directory для всех пользователей DirectAccess с OTP.
Используйте процедуру, специфичную для поставщика, для создания идентичных учетных записей пользователя домен \ имя пользователя на сервере RADIUS, которые были записаны.
2.5 Настройте агент аутентификации RADIUS
Сервер удаленного доступа должен быть настроен как агент аутентификации RADIUS для DirectAccess с реализацией OTP. Следуйте инструкциям поставщика RADIUS, чтобы настроить сервер удаленного доступа в качестве агента проверки подлинности RADIUS.
.
Подключите компьютер к виртуальной сети, используя аутентификацию Point-to-Site и RADIUS: PowerShell
- 20 минут на чтение
В этой статье
В этой статье показано, как создать виртуальную сеть с подключением «точка-сеть», использующим проверку подлинности RADIUS. Эта конфигурация доступна только для модели развертывания Resource Manager.
VPN-шлюз типа «точка-сеть» (P2S) позволяет создать безопасное соединение с виртуальной сетью с отдельного клиентского компьютера. VPN-подключения типа «точка-сеть» полезны, когда вы хотите подключиться к виртуальной сети из удаленного места, например, когда вы работаете удаленно из дома или на конференции. P2S VPN также является полезным решением для использования вместо VPN типа «сеть-сеть», когда у вас всего несколько клиентов, которым необходимо подключиться к виртуальной сети.
Подключение P2S VPN запускается с устройств Windows и Mac.При подключении клиентов можно использовать следующие методы аутентификации:
- Сервер RADIUS
- Проверка подлинности собственного сертификата шлюза VPN
- Собственная проверка подлинности Azure Active Directory (только Windows 10)
Эта статья поможет вам настроить конфигурацию P2S с аутентификацией с использованием сервера RADIUS. Если вместо этого вы хотите выполнить аутентификацию с использованием сгенерированных сертификатов и аутентификации собственного сертификата VPN-шлюза, см. Раздел Настройка соединения типа «точка-сеть» с виртуальной сетью с использованием собственной аутентификации сертификата VPN-шлюза или Создание клиента Azure Active Directory для соединений протокола P2S OpenVPN для Azure Active Directory. аутентификация.
Для соединений «точка-сеть» не требуется устройство VPN или общедоступный IP-адрес. P2S создает VPN-соединение по протоколу SSTP (Secure Socket Tunneling Protocol), OpenVPN или IKEv2.
SSTP — это VPN-туннель на основе TLS, который поддерживается только на клиентских платформах Windows. Он может проникать через брандмауэры, что делает его идеальным вариантом для подключения к Azure из любого места. На стороне сервера мы поддерживаем SSTP версий 1.0, 1.1 и 1.2. Клиент решает, какую версию использовать.Для Windows 8.1 и более поздних версий SSTP по умолчанию использует 1.2.
OpenVPN® Protocol, протокол VPN на основе SSL / TLS. Решение TLS VPN может проникать через брандмауэры, поскольку большинство брандмауэров открывают исходящий TCP-порт 443, который использует TLS. OpenVPN можно использовать для подключения с устройств Android, iOS (версии 11.0 и выше), Windows, Linux и Mac (OSX версии 10.13 и выше).
IKEv2 VPN, стандартное решение IPsec VPN. IKEv2 VPN можно использовать для подключения с устройств Mac (OSX версии 10.11 и выше).
Для соединений P2S требуется следующее:
- Шлюз VPN на основе маршрутов.
- Сервер RADIUS для обработки аутентификации пользователя. Сервер RADIUS можно развернуть локально или в виртуальной сети Azure. Вы также можете настроить два сервера RADIUS для обеспечения высокой доступности.
- Пакет конфигурации VPN-клиента для устройств Windows, которые будут подключаться к виртуальной сети. Пакет конфигурации VPN-клиента предоставляет настройки, необходимые VPN-клиенту для подключения через P2S.
Об аутентификации домена Active Directory (AD) для сетей VPN P2S
Проверка подлинности домена AD позволяет пользователям входить в Azure, используя учетные данные домена своей организации. Для этого требуется сервер RADIUS, который интегрируется с сервером AD. Организации также могут использовать существующее развертывание RADIUS.
Сервер RADIUS может находиться локально или в вашей виртуальной сети Azure. Во время аутентификации шлюз VPN действует как сквозной и пересылает сообщения аутентификации между сервером RADIUS и подключающимся устройством.Для шлюза VPN важно иметь доступ к серверу RADIUS. Если сервер RADIUS расположен локально, то требуется VPN-подключение типа «сеть-сеть» из Azure к локальному сайту.
Помимо Active Directory, сервер RADIUS также может интегрироваться с другими внешними системами идентификации. Это открывает множество вариантов аутентификации для VPN типа «точка-сеть», включая опции MFA. Обратитесь к документации поставщика вашего сервера RADIUS, чтобы получить список систем идентификации, с которыми он интегрируется.
Важно
Для подключения к локальному серверу RADIUS можно использовать только VPN-соединение типа «сеть-сеть». Соединение ExpressRoute использовать нельзя.
Перед началом
Убедитесь, что у вас есть подписка Azure. Если у вас еще нет подписки Azure, вы можете активировать преимущества подписки MSDN или зарегистрироваться для получения бесплатной учетной записи.
Работа с Azure PowerShell
В этой статье используются командлеты PowerShell.Для запуска командлетов вы можете использовать Azure Cloud Shell. Azure Cloud Shell — это бесплатная интерактивная оболочка, которую вы можете использовать для выполнения шагов, описанных в этой статье. В нем предустановлены и настроены стандартные инструменты Azure для использования с вашей учетной записью.
Чтобы открыть Cloud Shell, просто выберите Попробовать в правом верхнем углу блока кода. Вы также можете запустить Cloud Shell на отдельной вкладке браузера, перейдя по адресу https://shell.azure.com/powershell. Выберите Копировать , чтобы скопировать блоки кода, вставьте их в Cloud Shell и нажмите Enter, чтобы запустить.
Вы также можете установить и запустить командлеты Azure PowerShell локально на своем компьютере. Командлеты PowerShell часто обновляются. Если вы не установили последнюю версию, значения, указанные в инструкции, могут не соответствовать. Чтобы найти версии Azure PowerShell, установленные на вашем компьютере, используйте командлет Get-Module -ListAvailable Az
. Чтобы установить или обновить, см. Раздел Установка модуля Azure PowerShell.
Примеры значений
Вы можете использовать примеры значений для создания тестовой среды или обратиться к этим значениям, чтобы лучше понять примеры в этой статье.Вы можете использовать шаги как пошаговое руководство и использовать значения, не меняя их, или изменить их, чтобы они отражали вашу среду.
- Имя: VNet1
- Адресное пространство: 192.168.0.0/16 и 10.254.0.0/16
В этом примере мы используем более одного адресного пространства, чтобы проиллюстрировать, что эта конфигурация работает с несколькими адресными пространствами. Однако для этой конфигурации не требуется несколько адресных пространств. - Имя подсети: FrontEnd
- Диапазон адресов подсети: 192.168.1.0 / 24
- Имя подсети: BackEnd
- Диапазон адресов подсети: 10.254.1.0/24
- Имя подсети: GatewaySubnet
Имя подсети GatewaySubnet является обязательным для работы шлюза VPN.- Шлюз Диапазон адресов подсети: 192.168.200.0/24
- Пул адресов VPN-клиентов: 172.16.201.0/24
VPN-клиенты, которые подключаются к виртуальной сети с помощью этого соединения «точка-сеть», получают IP-адрес из пула адресов VPN-клиентов. - Подписка: Если у вас более одной подписки, убедитесь, что вы используете правильную.
- Группа ресурсов: TestRG
- Расположение: Восток США
- DNS-сервер: IP-адрес DNS-сервера, который вы хотите использовать для разрешения имен для своей виртуальной сети. (необязательно)
- GW Имя: Vnet1GW
- Общедоступное IP-имя: VNet1GWPIP
- Vpn Тип: RouteBased
1.Установите переменные
Объявите переменные, которые вы хотите использовать. Используйте следующий пример, при необходимости заменяя значения своими собственными. Если вы закроете сеанс PowerShell / Cloud Shell в любой момент во время упражнения, просто скопируйте и вставьте значения еще раз, чтобы повторно объявить переменные.
$ VNetName = "VNet1"
$ FESubName = "FrontEnd"
$ BESubName = "Бэкэнд"
$ GWSubName = "GatewaySubnet"
$ VNetPrefix1 = "192.168.0.0/16"
$ VNetPrefix2 = "10.254.0.0/16"
$ FESubPrefix = "192.168.1.0 / 24 "
$ BESubPrefix = "10.254.1.0/24"
$ GWSubPrefix = "192.168.200.0/26"
$ VPNClientAddressPool = "172.16.201.0/24"
$ RG = "TestRG"
$ Location = "Восток США"
$ GWName = "VNet1GW"
$ GWIPName = "VNet1GWPIP"
$ GWIPconfName = "gwipconf"
2. Создайте группу ресурсов, виртуальную сеть и общедоступный IP-адрес
.
Следующие шаги создают группу ресурсов и виртуальную сеть в группе ресурсов с тремя подсетями. При подстановке значений важно, чтобы вы всегда называли подсеть шлюза конкретно «GatewaySubnet».Если вы назовете его как-нибудь иначе, создание вашего шлюза не удастся;
Создайте группу ресурсов.
New-AzResourceGroup -Name "TestRG" -Location "East US"
Создайте конфигурации подсети для виртуальной сети, присвоив им имена FrontEnd , BackEnd и GatewaySubnet . Эти префиксы должны быть частью объявленного вами адресного пространства виртуальной сети.
$ fesub = New-AzVirtualNetworkSubnetConfig -Name "FrontEnd" -AddressPrefix "192.168.1.0 / 24 " $ besub = New-AzVirtualNetworkSubnetConfig -Name "Backend" -AddressPrefix "10.254.1.0/24" $ gwsub = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix "192.168.200.0/24"
Создайте виртуальную сеть.
В этом примере параметр сервера -DnsServer является необязательным. Указание значения не создает новый DNS-сервер. Указанный IP-адрес DNS-сервера должен быть DNS-сервером, который может разрешать имена ресурсов, к которым вы подключаетесь из своей виртуальной сети.В этом примере мы использовали частный IP-адрес, но вполне вероятно, что это не IP-адрес вашего DNS-сервера. Обязательно используйте свои собственные значения. Указанное вами значение используется ресурсами, которые вы развертываете в виртуальной сети, а не подключением P2S.
New-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG" -Location "East US" -AddressPrefix "192.168.0.0/16","10.254.0.0/16" -Subnet $ fesub, $ besub, $ gwsub -DnsServer 10.2.1.3
Шлюз VPN должен иметь общедоступный IP-адрес.Сначала вы запрашиваете ресурс IP-адреса, а затем обращаетесь к нему при создании шлюза виртуальной сети. IP-адрес динамически назначается ресурсу при создании шлюза VPN. В настоящее время VPN-шлюз поддерживает только динамическое назначение публичных IP-адресов . Вы не можете запросить назначение статического общедоступного IP-адреса. Однако это не означает, что IP-адрес изменится после того, как он был назначен вашему шлюзу VPN. Единственный раз, когда публичный IP-адрес изменяется, — это когда шлюз удаляется и создается заново.Он не меняется при изменении размера, сбросе или другом внутреннем обслуживании / обновлении вашего VPN-шлюза.
Укажите переменные для запроса динамически назначаемого общедоступного IP-адреса.
$ vnet = Get-AzVirtualNetwork -Name "VNet1" -ResourceGroupName "TestRG" $ subnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $ vnet $ pip = New-AzPublicIpAddress -Name "VNet1GWPIP" -ResourceGroupName "TestRG" -Location "East US" -AllocationMethod Dynamic $ ipconf = New-AzVirtualNetworkGatewayIpConfig -Name "gwipconf" -Subnet $ subnet -PublicIpAddress $ pip
3.Настройте свой сервер RADIUS
Перед созданием и настройкой шлюза виртуальной сети ваш сервер RADIUS должен быть правильно настроен для аутентификации.
- Если у вас нет развернутого сервера RADIUS, разверните его. Инструкции по развертыванию см. В руководстве по установке, предоставленном вашим поставщиком RADIUS.
- Настройте шлюз VPN как клиент RADIUS на RADIUS. При добавлении этого клиента RADIUS укажите созданную вами виртуальную сеть GatewaySubnet.
- После настройки сервера RADIUS получите IP-адрес сервера RADIUS и общий секрет, который клиенты RADIUS должны использовать для связи с сервером RADIUS.Если сервер RADIUS находится в виртуальной сети Azure, используйте IP-адрес CA виртуальной машины сервера RADIUS.
В статье о сервере политики сети (NPS) содержится руководство по настройке сервера Windows RADIUS (NPS) для проверки подлинности домена AD.
4. Создайте шлюз VPN
Настройте и создайте VPN-шлюз для своей виртуальной сети.
- The-GatewayType должен иметь значение «Vpn», а тип-VpnType — «RouteBased».
- Создание VPN-шлюза может занять до 45 минут, в зависимости от выбранного вами SKU шлюза.
New-AzVirtualNetworkGateway -Name $ GWName -ResourceGroupName $ RG `
-Location $ Location -IpConfigurations $ ipconf -GatewayType Vpn `
-VpnType RouteBased -EnableBgp $ false -GatewaySku VpnGw1
5. Добавьте сервер RADIUS и пул адресов клиента
- -RadiusServer можно указать по имени или IP-адресу. Если вы укажете имя, а сервер находится локально, шлюз VPN не сможет разрешить имя. В таком случае лучше указать IP-адрес сервера.
- -RadiusSecret должен соответствовать тому, что настроено на вашем сервере RADIUS.
- -VpnClientAddressPool — это диапазон, из которого подключающиеся клиенты VPN получают IP-адрес. Используйте диапазон частных IP-адресов, который не перекрывается с локальным расположением, из которого вы будете подключаться, или с виртуальной сетью, к которой вы хотите подключиться. Убедитесь, что у вас настроен достаточно большой пул адресов.
Создайте безопасную строку для секрета RADIUS.
$ Secure_Secret = Read-Host -AsSecureString -Prompt "RadiusSecret"
Вам будет предложено ввести секрет RADIUS. Введенные вами символы не будут отображаться, а будут заменены символом «*».
RadiusSecret: ***
Добавьте пул адресов VPN-клиента и информацию о сервере RADIUS.
Для конфигураций SSTP:
$ Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $ RG -Name $ GWName Set-AzVirtualNetworkGateway -VirtualNetworkGateway $ Gateway ` -VpnClientAddressPool "172.16.201.0 / 24 "-VpnClientProtocol" SSTP " -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $ Secure_Secret
Для конфигураций OpenVPN®:
$ Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $ RG -Name $ GWName Set-AzVirtualNetworkGateway -VirtualNetworkGateway $ Gateway -VpnClientRootCertificates @ () Set-AzVirtualNetworkGateway -VirtualNetworkGateway $ Gateway ` -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "OpenVPN" ` -RadiusServerAddress "10.51.0.15 "-RadiusServerSecret $ Secure_Secret
Для конфигураций IKEv2:
$ Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $ RG -Name $ GWName Set-AzVirtualNetworkGateway -VirtualNetworkGateway $ Gateway ` -VpnClientAddressPool "172.16.201.0/24" -VpnClientProtocol "IKEv2" ` -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $ Secure_Secret
для SSTP + IKEv2
$ Gateway = Get-AzVirtualNetworkGateway -ResourceGroupName $ RG -Name $ GWName Set-AzVirtualNetworkGateway -VirtualNetworkGateway $ Gateway ` -VpnClientAddressPool "172.16.201.0 / 24 "-VpnClientProtocol @ (" SSTP "," IkeV2 ")` -RadiusServerAddress "10.51.0.15" -RadiusServerSecret $ Secure_Secret
Чтобы указать два сервера RADIUS (предварительная версия) , используйте следующий синтаксис. При необходимости измените значение -VpnClientProtocol .
$ radiusServer1 = Новый-AzRadiusServer -RadiusServerAddress 10.1.0.15 -RadiusServerSecret $ radiuspd -RadiusServerScore 30 $ radiusServer2 = Новый-AzRadiusServer -RadiusServerAddress 10.1.0.16 -RadiusServerSecret $ radiuspd -RadiusServerScore 1 $ radiusServers = @ ($ radiusServer1, $ radiusServer2) Set-AzVirtualNetworkGateway -VirtualNetworkGateway $ actual -VpnClientAddressPool 201.169.0.0/16 -VpnClientProtocol "IkeV2" -RadiusServerList $ radiusServers
6. Загрузите пакет конфигурации VPN-клиента и настройте VPN-клиент
Конфигурация клиента VPN позволяет устройствам подключаться к виртуальной сети через соединение P2S. Чтобы сгенерировать пакет конфигурации VPN-клиента и настроить VPN-клиент, см. Создание конфигурации VPN-клиента для аутентификации RADIUS.
7. Подключение к Azure
Для подключения с помощью клиента Windows VPN
Чтобы подключиться к виртуальной сети, на клиентском компьютере перейдите к VPN-подключениям и найдите созданное VPN-подключение. Его имя совпадает с именем вашей виртуальной сети. Введите учетные данные своего домена и нажмите «Подключиться». Появится всплывающее сообщение с запросом повышенных прав. Примите его и введите учетные данные.
Ваше соединение установлено.
Подключение с помощью VPN-клиента Mac
В диалоговом окне «Сеть» найдите профиль клиента, который вы хотите использовать, затем щелкните Подключить .
Для проверки подключения
Чтобы убедиться, что ваше VPN-соединение активно, откройте командную строку с повышенными привилегиями и запустите ipconfig / all .
Посмотреть результаты. Обратите внимание, что полученный IP-адрес является одним из адресов в пуле адресов VPN-клиентов типа «точка-сеть», который вы указали в своей конфигурации.Результаты аналогичны этому примеру:
Адаптер PPP VNet1: DNS-суффикс для конкретного подключения.: Описание .....................: VNet1 Физический адрес................: DHCP включен ....................: Нет Автоконфигурация включена .......: Да IPv4-адрес ....................: 172.16.201.3 (предпочтительно) Маска подсети .....................: 255.255.255.255 Шлюз по умолчанию.................: NetBIOS через Tcpip ..............: Включено
Чтобы устранить неполадки с подключением P2S, см. Устранение неполадок с подключениями «точка-сеть» Azure.
Для подключения к виртуальной машине
Вы можете подключиться к виртуальной машине, развернутой в вашей виртуальной сети, создав подключение удаленного рабочего стола к вашей виртуальной машине. Лучший способ изначально проверить, что вы можете подключиться к своей виртуальной машине, — это подключиться, используя ее частный IP-адрес, а не имя компьютера. Таким образом, вы проверяете, можете ли вы подключиться, а не правильно ли настроено разрешение имен.
Найдите частный IP-адрес. Вы можете найти частный IP-адрес виртуальной машины, просмотрев свойства виртуальной машины на портале Azure или используя PowerShell.
Портал Azure. Найдите свою виртуальную машину на портале Azure. Просмотрите свойства виртуальной машины. Будет указан частный IP-адрес.
PowerShell — используйте этот пример для просмотра списка виртуальных машин и частных IP-адресов из ваших групп ресурсов. Вам не нужно изменять этот пример перед его использованием.
$ VMs = Get-AzVM $ Nics = Get-AzNetworkInterface | Где VirtualMachine -ne $ null foreach ($ Nic в $ Nics) { $ VM = $ виртуальных машин | Где-Object -Property Id -eq $ Nic.VirtualMachine.Id $ Prv = $ Nic.IpConfigurations | Выбрать объект -ExpandProperty PrivateIpAddress $ Alloc = $ Nic.IpConfigurations | Выбрать объект -ExpandProperty PrivateIpAllocationMethod Запись-вывод «$ ($ VM.Name): $ Prv, $ Alloc» }
Убедитесь, что вы подключены к виртуальной сети с помощью VPN-подключения типа «точка-сеть».
Откройте Подключение к удаленному рабочему столу , набрав «RDP» или «Подключение к удаленному рабочему столу» в поле поиска на панели задач, затем выберите «Подключение к удаленному рабочему столу».Вы также можете открыть подключение к удаленному рабочему столу с помощью команды mstsc в PowerShell.
В «Подключение к удаленному рабочему столу» введите частный IP-адрес виртуальной машины. Вы можете нажать «Показать параметры», чтобы настроить дополнительные параметры, а затем подключиться.
Устранение неполадок подключения RDP к виртуальной машине
Если у вас возникли проблемы с подключением к виртуальной машине через VPN-соединение, проверьте следующее:
- Убедитесь, что ваше VPN-соединение успешно.
- Убедитесь, что вы подключаетесь к частному IP-адресу виртуальной машины.
- Используйте ipconfig для проверки IPv4-адреса, назначенного адаптеру Ethernet на компьютере, с которого вы подключаетесь. Если IP-адрес находится в диапазоне адресов виртуальной сети, к которой вы подключаетесь, или в диапазоне адресов вашего пула VPNClientAddressPool, это называется перекрывающимся адресным пространством. Когда ваше адресное пространство перекрывается таким образом, сетевой трафик не достигает Azure, он остается в локальной сети.
- Если вы можете подключиться к виртуальной машине, используя частный IP-адрес, но не имя компьютера, убедитесь, что вы правильно настроили DNS. Дополнительные сведения о том, как работает разрешение имен для виртуальных машин, см. В разделе Разрешение имен для виртуальных машин.
- Убедитесь, что пакет конфигурации VPN-клиента был создан после того, как IP-адреса DNS-сервера были указаны для виртуальной сети. Если вы обновили IP-адреса DNS-сервера, сгенерируйте и установите новый пакет конфигурации VPN-клиента.
- Дополнительные сведения о подключениях RDP см. В разделе Устранение неполадок подключения удаленного рабочего стола к виртуальной машине.
FAQ
Этот FAQ относится к P2S с использованием аутентификации RADIUS
Сколько конечных точек VPN-клиентов я могу иметь в своей конфигурации точка-сеть?
Зависит от SKU шлюза. Дополнительные сведения о количестве поддерживаемых подключений см. В разделе SKU шлюза.
Какие клиентские операционные системы я могу использовать с Point-to-
.