L2TP/IPsec VPN Radius szerveren keresztüli AD authentikációval

Miért jó ez nekünk?

Nem kell külön tárolnunk felhasználói adatokat a meglévő Active Directoryn kívül.
Tudjuk korlátozni az elérhető szolgáltatásokat, és a biztonságos eszközöket.

Windows server oldalon elvégzendő beállítások

Szerepkörök és szolgáltatások közül telepítenünk kell a Hálózati házirend és elérési szolgáltatásokat.(Network Policy szerver)
Amint ez kész fel kell vennünk a Radius ügyfelekhez (Radius Clients) a VPN bejáratunkat, mi esetünkben ez egy router.
Mind ehhez csak a következőkre van szökségünk:

  • az eszköz IP címe,
  • egy elnevezés, amiből tudjuk majd azonosítani eszközt
  • egy titkos kulcs amivel majd később tudjuk hitelesíteni azt

Ezek után beállíthatjuk az engedélyeket a kapcsolatkérelmi házirendet (Connection request policy), amit a VPN kapcsolatunkra szeretnénk alkalmazni.
Hozzunk létre egy új házirendet, amelynél a kiszolgáló típus VPN lesz.
Ehhez több feltétel akarunk felvenni, hogy működjön.
Elsőnek egy VPN NAS porttípust.
Ezután keretes protokollt fogunk beállítani, amely VPN típusát határozza meg, ez nálunk PPP lesz.
Ezek után az alagút típusát kell megadnunk ami Layer 2 tunneling protocol lesz (L2TP).
Illetve szükségünk lesz még egy felhasználónév amelyben rögzítjük a domainünket.

Amint ezzel meg vagyunk szeretnénk korlátozni, hogy kik férhetnek hozzá a szolgáltatáshoz.
Vegyünk fel egy új hálózati házirendet, amiben szintén felveszünk egy VPN NAS porttípust, majd adjuk meg, hogy mely windows csoportoknak engedélyezzük a kapcsolatot.

A következő lépés, hogy átállítsuk a routerünkön a VPN hitelesítés típusát.

A mi esetünkben egy Mikrotik routerről van szó, aminek beállítása rém egyszerű, ha már van egy működő L2TP/IPsec kapcsolatunk beállítva.
Csak fel kell vennünk a Radius menü alatt a szerverünket.
Megadjuk a szerver címét a szolgáltatás típusát(PPP) az előzőleg beállított titkos kulcsot, és már szinte meg is vagyunk.
Ezek után csak a PPP kapcsolatoknál a Secrets alatt átállítjuk az authetikációt, hogy használja a Radius szervert.

… és voilá! Máris használhatjuk a VPN-ünket az AD-s felhasználóinkkal.

Írta:  Richard Stoffer