Задача: Предоставить доступ работникам к корпоративное сети из любого места где есть Интернет.
Дано: CISCO 2911, Active Directory
Решение: Создание PPP сервера на CISCO с авторизацией через AD
Настраиваем авторизацию на CISCO:
aaa new-modelДано: CISCO 2911, Active Directory
Решение: Создание PPP сервера на CISCO с авторизацией через AD
Настраиваем авторизацию на CISCO:
!
! Аутентификация для доступа к tty самого маршрутизатора должна производится локально (username)
aaa authentication login default local
! Аутентификация туннельных протоколов запрашивается у RADIUS сервера
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
! Аутентификация конкретно для нашего PPTP будет выполнятся на RADIUS сервере
aaa accounting network VPN-USERS
action-type start-stop
group radius
!
aaa session-id common
Настраиваем сам PPP:
vpdn enable
!
vpdn-group PPTP
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
ip local pool VPN 172.18.1.101 172.18.1.199
!Пул адресов для пользователей VPN
Настраиваем туннельный интерфейс:
interface Virtual-Template1
ip unnumbered FastEthernet0
peer default ip address pool VPN
ppp encrypt mppe 128
!Данная строчка говорит что мы будем шифровать трафик ключём на 128 бит, но доступна она будет только если
!ваша IOS поддерживает шифрование.
ppp authentication ms-chap-v2
ppp accounting VPN-USERS
Создаётся виртуальный интерфейс, который будет шаблоном туннельных интерфейсов клиентов. Он привязывается к внешнему интерфейсу. Этот внешний интерфейс смотрит в интернет и к его адресу будут подключаться клиенты. В шаблоне виртуального интерфейса указывается шифрование и аутентификация туннельного протокола, а также пул адресов из которых будут выделятся IP для клиентов. Также на виртуальный интерфейс можно вешать список доступа, который в общем случае может быть произвольным.
Взаимодействия С RADIUS Сервером:
radius server RS1
address ipv4 192.168.10.140 auth-port 1812 acct-port 1813
address ipv4 192.168.10.140 auth-port 1812 acct-port 1813
!ip адрес radius сервера который мы настроим ниже Порты оставьте.
key <key>
key <key>
!ключ (секрет) который мы создадим чуть позже.
Установка и настройка сервера RADIUS.
В качестве RADIUS сервера выбрана его реализация Microsoft в виде роли Windows Server 2008 R2 Network Policy Server. Эта роль отлично интегрируется с Active Directory, что значительно упрощает аутентификацию.
Первым действием нужно установить роль “Службы политики сети и доступа” с единственным компонентом “Службы политики сети” (Network Policy Server). Здесь всё стандартно:
Второй шаг – авторизация сервера в Active Directory. Если этого не сделать, то сервер не сможет устанавливать ldap соединения с контроллерами домена.
Следующий шаг – авторизация RADIUS клиента на NPS сервере. В дереве консоли выберите пунки “Radius-клиенты” и создайте нового клиента указав IP адрес маршрутизатора ближайший к серверу:
Секрет можно придумать самому, а можно и с генерировать. Затем его нужно будет прописать на маршрутизаторе в настройках radius server RS1
И, наконец, создаём политику для L2TP. Политика – это те критерии, по которым RADIUS сервер определяет возможность пользователя получать доступ к сети. На следующем рисунке по шагам показано как создать политику в узле “Сетевые политики”. Условием будет группа доменных пользователей, которым мы предоставляем доступ по протоколу PPTP, Тип проверки подлинности (MS-CHAP-v2) и адрес radius-клиента (маршрутизатора Cisco):
В принципе на этом настройка завершена. Но у меня возникла ошибка error 778: it was not possible to verify the identity of server . Чтобы от неё избавить, нужно в конфиг циски дописать строку
aaa authorization network default if-authenticated
Огромное СПАСИБО:
" В принципе на этом настройка завершена. Но у меня возникла ошибка error 778: it was not possible to verify the identity of server . Чтобы от неё избавить, нужно в конфиг циски дописать строку
ОтветитьУдалитьaaa authorization network default if-authenticated"
Большое спасибо за информацию!