VPN авторизация через Active Directory MikroTik

При наличии Active Directory первым, что нужно сделать — это авторизовывать пользователей с помощью него, а так же разграничивать доступ на основе групповой политики — в зависимости от членства в группе безопасности выдавать IP адреса из разных pool.

Данный метод подходит для всех типов ppp соединений в MikroTik
PPTP/L2TP/SSTP/OpenVPN

MikroTik VPN PPTP/L2TP IPsec

Для начала нужен Windows Server с установленным Network Policy Server (NPS). Аналогично настраивается в статье про Wi-Fi EAP

Настройка NPS

Создаем Radius клиент и указываем IP и общий секрет

Создаем 2 политики для VPN: VPN_Analitics — Доступ во все системы VPN_Only_1C — Доступ только до терминалов 1С

Обязательно делаем группу безопасности, на членстве в которой будут авторизовываться VPN пользователи

Шифрование только MS-CHAP-v2

Здесь кроется самое важное — Framed-Pool Через него задаем pool IP адресов, который выдаем VPN клиентам. Это название пула VPN в настройках RoS IP -> Pool

Настройка RoS

Указываем в Radius где находится NPS и авторизация на нем

Создаем IP pool для разных типов VPN пользователей. \ Имя пула прописывается выше в NPS в зависимости от типа доступа

В ppp profile создаем новый профиль и указываем дефолтный pool для VPN

Указываем, что VPN клиенты этого профиля могут иметь только одну ppp сессию

В ppp -> Sercets Включаем использование Radius

Теперь можно подключаться к VPN. В зависимости от членства пользователя в группе безопасности — ему выдается IP адрес из разных пулов. На основе этих пул адресов можно настраивать правила кому куда можно ходить.

Настройка-Микротик.РФ

Больше статей по настройке MikroTik на моем сайте https://настройка-микротик.рф

СЕТЕВЫЕ УСЛУГИ

• Настройка
• Мониторинг
• Консультация
• Подбор оборудования
• Telegram: @Engineer_MikroTik
• Все услуги без предоплаты
• Работаю с юридическими и физическими лицами