公司办公环境用的是AD域控统一权限管理,员工外出,在家办公需要到连到公司内部服务器,出于安全考虑,不能让VPN节点直接越过防火增接入服务器,于是就在Mikrotik上开启VPN服务,由Windows AD RADIUS对Mikrotik L2tp用户进行接入身份验证。方便统一管理,也解决安全问题
从Windows 2000开始,Microsoft用名为Active Directory或AD的结构替换了其内部用户数据库 。本质上Active Directory是LDAP系统的一个子功能。但是,Mikrotik设备无法直接连接到LDAP服务器。
尽管您的Mikrotik设备不使用LDAP协议,但它完全能够使用另一个开放标准RADIUS远程身份验证拨入用户服务协议中描述RFC 2865。
这种情况的答案非常简单–使用RADIUS服务器的Microsoft实现,并将您的Mikrotik设备与您的域集成。此服务存在于每个Windows Server(从2008 R2开始)及其命名的Network Policy Server或NPS中。
准备
本质上,我们需要:
- 至少一台正常工作的AD服务器(也称为域控制器)
- 您的用户已经可以登录到该域并可以与其他网络服务(例如文件服务器)正常访问
- 该域中的至少一台服务器必须具有NPS角色
- 您的Mikrotik设备必须正确配置包括VPN服务
请注意以下信息:
- 将要使用的Mikrotik IP 和Microsoft AD IP 记下来
- 在域中建立授权服务的用户组
- 检查您的密码策略以进行设备之间的通信
注:我用的环境 Windows Server 2016
完成所有这些步骤后,我们可以继续进行此过程
在服务器上安装NPS角色
第一步是在其中一台服务器上安装NPS角色。您的网络中可能有多个NPS服务器。Mikrotik设备可连接多台RADIUS服务器。在我的方案中,我的Mikrotik设备只连接一台NPS服务器。
无论Windows Server版本如何,配置过程都是一样的。
打开服务器上的服务器管理器GUI并添加新角色-网络策略和访问服务。
您只需要选择网络策略服务器角色。
完成安装过程。
这里安装完以后回到服务器管理器
NPS服务的配置
从服务器管理器面板,我们可以看到刚刚装好的NAPS服务。
控制台打开后,您可以开始对其进行配置。从下拉菜单中选择“ RADIUS服务器用于拨号或VPN连接”。
然后点击配置VPN或拨号按钮,开始配置过程。
下一步是命名它并选择类型。我们选择虚拟专用网络VPN连接
点击下一步,开始添加RADIUS客户端
单击按钮[添加…],将弹出新对话框。您需要定义:
- 该设备的友好名称(例如Mikrotik路由器)
- 指定其IP地址
- 输入RADIUS密码后面将要用到他
这个RADIUS密码很重要,因此请写下来。您稍后必须在Mikrotik设备上正确输入。
我们应该选择身份验证方法。
这里我们选择MS-CHAPv2协议。MS-CHAP 可选,也可以不选,如果你有开PPTP,而且客户端电脑有比较老的系统版本建议选上
下一步是添加将使用此策略处理的用户。该对话框与与网络客户端相关的对话框非常相似。这是非常重要的一步。
再次单击按钮[添加…],将弹出新对话框。这里选择您可以在Windows中任何地方看到的用户或组。
选择您要使用的用户组。由于我只开放部分用户,所以建了VPN用户组,如果你开放所有人的权限,选择Domain Users组就可以了,如果您的AD是按部门建的,也可以按部门组分配权限,这里可以添加多个组。
这里不需要填,直接下一步即可。
这里的加密码方式要注意一下,如果需要有老旧设备,就全选来满足兼容性,如果出于安全考虑,就只选MPPE 128位加密,然后下一步
您不需要使用领域名称,因此将其留空。Mikrotik不支持
点完成,到这里策略就配置完了,该政策将处理来自Mikrotik路由器的所有VPN登录授权请求。
检查您的策略配置
在打开Mikrotik端之前,我们先检查一下NPS设置。
第一步是将RADIUS客户端注册到AD域中,并启动服务
第二步是检查连接请求策略-必须启用VPN策略。
第三步是检查网络策略–必须启用VPN连接策略
OK,现在我们准备配置Mikrotik设备。
将我们的Mikrotik设备配置为RADIUS客户端
现在我们的NPS服务器可以工作了,并可以为所有类型的VPN请求授权,现在我在Mikrotik 上开启PPP选项里启用RADIUS身份验证。我在这里使用WinBox客户端,你也可以使用WEB界面,或是命令行。
为RADIUS开启PPP用户认证服务
我在WinBox中打开PPP选项,然后选择名为Secrets的选项卡。在此选项卡上,我单击了名为PPP Authentication&Accounting的按钮。
新对话框打开,我勾选“Use Radius”的选项
点OK保存关闭PPP设置对话框。现在我们所有的PPP服务都可以使用RADIUS服务。请注意,Mikrotik可以同时使用本地用户数据库和远程RADIUS服务器对用户进行用户身份验证。
配置RADIUS客户端
RADIUS客户端隐藏在WinBox GUI的主菜单中名为RADIUS里面。
点击Radius 打开新窗口,在这里我们可以看到所有已配置的RADIUS客户端。正如我已经提到的,我们可以在同一个Mikrotik设备上使用多个RADIUS服务器。
如果您需要定义新的RADIUS服务器连接,请单击按钮[+]或仅双击现有定义进行编辑。下图是我已经配好的截图。Called ID ,Domain 这两个不要填,不要手贱
我们需要指定:
- Service 这里选ppp
- Domain 不填
- Address NPS服务器的IP地址
- Secret RADIUS密钥–我们在NPS策略中定义的密码
- Src.Address 该IP地址必须与我们在NPS策略中已经指定的IP地址匹配
配置所有这些参数后,单击按钮[Apply]进行保存。现在您可以测试您的VPN连接。
如果要查看统计信息,可以打开此RADIUS连接,然后选择名为Status的选项卡,您可以在其中查看通信的参数。
您应该看到大多数请求都被接受。到这里,配置就全部完成了。
目前Mikrotik+RADIUS服务运行很稳定,也解决了手动去路由上添加删除帐号的麻烦。有同样需求的小伙伴可以尝试一下,如果有问题,欢迎留言一起交流。
这个站点是随手搭的,这是第一篇文章,你看到这篇文章时,可能还有很多模板测试内容,我懒得去清理,请忽略,凑合看吧。