公司办公环境用的是AD域控统一权限管理,员工外出,在家办公需要到连到公司内部服务器,出于安全考虑,不能让VPN节点直接越过防火增接入服务器,于是就在Mikrotik上开启VPN服务,由Windows AD RADIUS对Mikrotik L2tp用户进行接入身份验证。方便统一管理,也解决安全问题

从Windows 2000开始,Microsoft用名为Active DirectoryAD的结构替换了其内部用户数据库 。本质上Active Directory是LDAP系统的一个子功能。但是,Mikrotik设备无法直接连接到LDAP服务器。

尽管您的Mikrotik设备不使用LDAP协议,但它完全能够使用另一个开放标准RADIUS远程身份验证拨入用户服务协议中描述RFC 2865。

这种情况的答案非常简单–使用RADIUS服务器的Microsoft实现,并将您的Mikrotik设备与您的域集成。此服务存在于每个Windows Server(从2008 R2开始)及其命名的Network Policy ServerNPS中

准备

本质上,我们需要:

  1. 至少一台正常工作的AD服务器(也称为域控制器
  2. 您的用户已经可以登录到该域并可以与其他网络服务(例如文件服务器)正常访问
  3. 该域中的至少一台服务器必须具有NPS角色
  4. 您的Mikrotik设备必须正确配置包括VPN服务

请注意以下信息:

  • 将要使用的Mikrotik IP 和Microsoft AD IP 记下来
  • 在域中建立授权服务的用户组
  • 检查您的密码策略以进行设备之间的通信

注:我用的环境 Windows Server 2016

完成所有这些步骤后,我们可以继续进行此过程

在服务器上安装NPS角色

第一步是在其中一台服务器上安装NPS角色。您的网络中可能有多个NPS服务器。Mikrotik设备可连接多台RADIUS服务器。在我的方案中,我的Mikrotik设备只连接一台NPS服务器。

无论Windows Server版本如何,配置过程都是一样的。

打开服务器上的服务器管理器GUI并添加新角色-网络策略和访问服务。

您只需要选择网络策略服务器角色。

完成安装过程。

这里安装完以后回到服务器管理器

NPS服务的配置

从服务器管理器面板,我们可以看到刚刚装好的NAPS服务。

控制台打开后,您可以开始对其进行配置。从下拉菜单中选择“ RADIUS服务器用于拨号或VPN连接”。

然后点击配置VPN或拨号按钮,开始配置过程。

下一步是命名它并选择类型。我们选择虚拟专用网络VPN连接

点击下一步,开始添加RADIUS客户端

单击按钮[添加…],将弹出新对话框。您需要定义:

  • 该设备的友好名称(例如Mikrotik路由器
  • 指定其IP地址
  • 输入RADIUS密码后面将要用到他

这个RADIUS密码很重要,因此请写下来。您稍后必须在Mikrotik设备上正确输入。

我们应该选择身份验证方法。

这里我们选择MS-CHAPv2协议。MS-CHAP 可选,也可以不选,如果你有开PPTP,而且客户端电脑有比较老的系统版本建议选上

下一步是添加将使用此策略处理的用户。该对话框与与网络客户端相关的对话框非常相似。这是非常重要的一步。

再次单击按钮[添加…],将弹出新对话框。这里选择您可以在Windows中任何地方看到的用户或组。

选择您要使用的用户组。由于我只开放部分用户,所以建了VPN用户组,如果你开放所有人的权限,选择Domain Users组就可以了,如果您的AD是按部门建的,也可以按部门组分配权限,这里可以添加多个组。

这里不需要填,直接下一步即可。

这里的加密码方式要注意一下,如果需要有老旧设备,就全选来满足兼容性,如果出于安全考虑,就只选MPPE 128位加密,然后下一步

您不需要使用领域名称,因此将其留空。Mikrotik不支持

点完成,到这里策略就配置完了,该政策将处理来自Mikrotik路由器的所有VPN登录授权请求。

检查您的策略配置

在打开Mikrotik端之前,我们先检查一下NPS设置。

第一步是将RADIUS客户端注册到AD域中,并启动服务

第二步是检查连接请求策略-必须启用VPN策略。

第三步是检查网络策略–必须启用VPN连接策略

OK,现在我们准备配置Mikrotik设备。

将我们的Mikrotik设备配置为RADIUS客户端

现在我们的NPS服务器可以工作了,并可以为所有类型的VPN请求授权,现在我在Mikrotik 上开启PPP选项里启用RADIUS身份验证。我在这里使用WinBox客户端,你也可以使用WEB界面,或是命令行。

为RADIUS开启PPP用户认证服务

我在WinBox中打开PPP选项,然后选择名为Secrets的选项卡。在此选项卡上,我单击了名为PPP Authentication&Accounting的按钮。

新对话框打开,我勾选“Use Radius”的选项

点OK保存关闭PPP设置对话框。现在我们所有的PPP服务都可以使用RADIUS服务。请注意,Mikrotik可以同时使用本地用户数据库和远程RADIUS服务器对用户进行用户身份验证。

配置RADIUS客户端

RADIUS客户端隐藏在WinBox GUI的主菜单中名为RADIUS里面。

点击Radius 打开新窗口,在这里我们可以看到所有已配置的RADIUS客户端。正如我已经提到的,我们可以在同一个Mikrotik设备上使用多个RADIUS服务器。

如果您需要定义新的RADIUS服务器连接,请单击按钮[+]或仅双击现有定义进行编辑。下图是我已经配好的截图。Called ID ,Domain 这两个不要填,不要手贱

我们需要指定:

  • Service 这里选ppp
  • Domain 不填
  • Address NPS服务器的IP地址
  • Secret RADIUS密钥–我们在NPS策略中定义的密码
  • Src.Address 该IP地址必须与我们在NPS策略中已经指定的IP地址匹配

配置所有这些参数后,单击按钮[Apply]进行保存。现在您可以测试您的VPN连接。

如果要查看统计信息,可以打开此RADIUS连接,然后选择名为Status的选项卡,您可以在其中查看通信的参数。

您应该看到大多数请求都被接受。到这里,配置就全部完成了。

目前Mikrotik+RADIUS服务运行很稳定,也解决了手动去路由上添加删除帐号的麻烦。有同样需求的小伙伴可以尝试一下,如果有问题,欢迎留言一起交流

这个站点是随手搭的,这是第一篇文章,你看到这篇文章时,可能还有很多模板测试内容,我懒得去清理,请忽略,凑合看吧。

作者 Qi, Asura

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注