Найти тему
IT, Python, Mikrotik, Hyper-V, Linux

Mikrotik + RADIUS (Windows Server 2019)

Настройка RADIUS сервера на домене Windows Server 2019 и подключение к нему через Микротик (mikrotik) 📂 my_it_space

Для начала установим роль windows
-2
Выбрать “Служба политики сети и доступа”
-3
Запуск “Сервер политики сети”
-4
Регистрация Radius сервера в Active Directory
-5
Добавление Radius клиента (MikroTik)
вводим имя / IP / пароль (пароль придумываем сами)
вводим имя / IP / пароль (пароль придумываем сами)

Указанный пароль в этой настройке будет использоваться при подключении MikroTik

Создание сетевой политики
Вводим название политики и нажимаем Далее
Вводим название политики и нажимаем Далее
Определение Radius клиента и группы доступа в Active Directory
С помощью кнопки добавить добавляем Группу AD и имя клиента (mikrotik)
С помощью кнопки добавить добавляем Группу AD и имя клиента (mikrotik)
Следующие настройки можно оставить без изменений
-9
-10
-11
Добавляем Filter-id
-12
-13
Итоговые стандарты
Нажимаем Далее и готово
Нажимаем Далее и готово
Настройка брандмауэра Windows для работы Radius сервера
Нажимаем Создать правило.. и выбираем Сервер политики сети
Нажимаем Создать правило.. и выбираем Сервер политики сети
Эти 2 порта нам нужно открыть (если они уже не открыты), нажимаем далее и готово
Эти 2 порта нам нужно открыть (если они уже не открыты), нажимаем далее и готово

Настройка MikroTik Radius, вход для VPN L2TP клиентов (домен Active Directory)

Со стороны маршрутизатора (роутера) MikroTik нужно произвести две настройки:

Активация использования Radius авторизации

Настройка находится в PPP→Secrets→PPP Authentication&Accounting

-17
Добавление записи для авторизации на Radius сервере

Настройка находится в RADIUS

-18

На этом все настройки сделаны. Но если вы хотите фильтровать эти подключения и давать доступ только определенным серверам то идем дальше)

Создаем правила в firewall (mikrotik)
-19
-20
Создаем адрес лист и добавляем туда адреса серверов куда мы даем доступ для пользователей
-21
Добавляем правила (filter-id-users) в RADIUS сервере мы создавали для этого
-22
-23
создаем адрес лист и для домен контроллеров (если хотите чтобы VPN пользователь видел домен)
-24
после создаем запрещающее правило, в итоге у вас должно быть приблизительно так
forward правила вы переносите в начала всей ветки forward
-25
Вот теперь, достаточно создать в AD пользователя и добавить ему группу безопасности PG_VPN_Users