Cisco L2TP и Microsoft NPS сервер.
Во многих организациях наступает момент, когда необходимо предоставить сотруднику возможность доступа в локальную сеть предприятия из вне. Если у админа или СБ отсутствует достаточный уровень паранойи, обычно ограничиваться настройками обычного vpn или еще хуже используют сервисы по типу teamviewer.
Если вы хотите обеспечить защиту соединения, контролировать кто, когда и куда ходил по средствам vpn соединения, вам понадобится:
- CISCO с поддержкой L2TP и RADIUS
- Active Directory (если у вас его до сих пор нет)
- Свободный сервер (сойдет и виртуалка) для развертывания роли NPS
Создание минимально-рабочей конфигурации займет не более 20-40 минут (с учетом чая, кофе и ожидания пока перезагрузить сервер после установки роли NPS)
Настройка CISCO
Я являюсь счастливой обладательницей 2811 с ios adventerprisek9-mz.124-24.T2, все настройки проверенны на ней и работают.
1. Настраиваем шифрование для будущего L2TP соединения
2. Настраиваем L2TP
3. Настраиваем авторизацию через радиус.
Настройка NPS WINDOWS Server 2008 R2
1. Поднимаем роль NPS. Действие обыденное, так что описывать в подробностях смысла нет.
2. Создаем политику подключения:
- Разрешаем подключение, в случае соответствия поставленным условиям, тип сервера оставляем неопределенным
- Авторизовать мы будем только тех пользователей которые являются членами группы VPN в Active Drecroty, а значит в Conditions, мы устанавливаем параметр User Groups на соответствие группе Domen\VPN
- Тип аутентификации выставляем MS-CHap V1 Or V2
- На вкладке Constraints выбираем: тип аутентификации MS-CHap V1 Or V2,
- На вкладке Settings выставляем в стандартных параметрах Framed-Protocol PPP, Service-type Framed
Если вы хотите обеспечить защиту соединения, контролировать кто, когда и куда ходил по средствам vpn соединения, вам понадобится:
- CISCO с поддержкой L2TP и RADIUS
- Active Directory (если у вас его до сих пор нет)
- Свободный сервер (сойдет и виртуалка) для развертывания роли NPS
Создание минимально-рабочей конфигурации займет не более 20-40 минут (с учетом чая, кофе и ожидания пока перезагрузить сервер после установки роли NPS)
Настройка CISCO
Я являюсь счастливой обладательницей 2811 с ios adventerprisek9-mz.124-24.T2, все настройки проверенны на ней и работают.
1. Настраиваем шифрование для будущего L2TP соединения
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!Если вы знаете ip адрес или диапазон адресов с которых будет устанавливаться соединения,
!лучше указать их непосредственно
crypto isakmp key c1$c0c1$c0c1$c0 address 0.0.0.0 0.0.0.0
crypto ipsec transform-set l2tp esp-3des esp-sha-hmac
mode transport
crypto dynamic-map DYNMAP 10
!Включение поддержки NAT или PAT для клиентов Windows
set nat demux
set transform-set l2tp
crypto map lime 10 ipsec-isakmp dynamic DYNMAP
2. Настраиваем L2TP
vpdn enable
vpdn-group sec_groupe
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 2
no l2tp tunnel authentication
interface Loopback3
description *** For VPN ***
ip address 192.168.39.1 255.255.255.0
interface Virtual-Template1
ip unnumbered Loopback3
no ip mroute-cache
autodetect encapsulation ppp
peer default ip address pool lime-pool
ppp authentication ms-chap-v2 chap callin
!настройка аккаунтинга
ppp accounting vpnlimeac
ip local pool lime-pool 192.168.39.2 192.168.39.6
3. Настраиваем авторизацию через радиус.
aaa authentication ppp default local group radius
aaa accounting network vpnlimeac
action-type start-stop
group radius
radius-server host 192.168.1.199 auth-port 1812 acct-port 1813
radius-server key CISCO
Настройка NPS WINDOWS Server 2008 R2
1. Поднимаем роль NPS. Действие обыденное, так что описывать в подробностях смысла нет.
2. Создаем политику подключения:
- Разрешаем подключение, в случае соответствия поставленным условиям, тип сервера оставляем неопределенным
- Авторизовать мы будем только тех пользователей которые являются членами группы VPN в Active Drecroty, а значит в Conditions, мы устанавливаем параметр User Groups на соответствие группе Domen\VPN
- Тип аутентификации выставляем MS-CHap V1 Or V2
- На вкладке Constraints выбираем: тип аутентификации MS-CHap V1 Or V2,
- На вкладке Settings выставляем в стандартных параметрах Framed-Protocol PPP, Service-type Framed
Комментарии
NPS->Radius Clients and Servers->Radius Clients