Настройка доменной аутентификации Wi-Fi с использованием Radius от Microsoft. Часть I.
Предисловие
Как говорил послушник нежитиво в игре с русской локализацией в Warcraft 3: «Нужно больше золота». В нашем случае речь пойдет про безопасность, ведь, как всем известно, в корпоративной среде - безопасности много не бывает: «Нужно больше безопасности» и немного треша. Поэтому мы запускаем серию статей с настройкой Mikrotik и двух служб, VPN L2TP с использованием Radius сервера от Windows (NPS – Network Policy Server) и корпоративную Wi-Fi сеть CAPsMAN с авторизацией через тот же NPS.
Вступление
Начнем нашу серию статей с подготовки, для начала нам нужен Radius Server, который мы будем поднимать и настраивать в облачной среде MS Azure. Представим, что вы уже читали наши статьи и у вас есть некоторое понимание настройки Mikrotik, сам настроенный роутер этой марки, у вас есть подписка в Azure и поднятый VPN с ней, допустим, для 1C.
Соединять с землей мы будем не поднятием VPN, а использовать уже используемый VPN и пиринг сетей.
Создание группы ресурсов, ВМ, пиринг сетей
Для начала заходим в Azure, переходим в вашу подписку и создаём группу ресурсов. Пишем понятное вам название (лучше разделять ваши приложения и сервера на разные группы ресурсов, в зависимости от назначения этих ресурсов. Выбираем удобный вам регион (лучший для России – это Западная Европа).
Наша группа ресурсов готова, можем приступать к разворачиванию виртуальной машины. Заходим в группу ресурсов и нажимаем «Добавить». Выбираем нужную редакцию ОС, после вводим настройки ВМ, а именно местоположение, название ВМ, её размер, имя пользователя и пароль, закрываем доступ к портам и нажимаем «Далее». Выбираем категорию дисков и добавляем новые, если потребуется, нажимаем «Далее». Создаем новую виртуальную сеть, можете делать любую адресацию, главное, чтобы адресное пространство и подсеть не пересекались, т.е. адресное пространство по /23 маске, а подсеть по /24 маске, убираем общедоступный IP и закрываем порты, нажимаем «Просмотр и создание».
После того, как машина создалась не трогаем её, а идём настраивать пиринг сетей, после уже приступаем к Mikrotik.
Внимание!
Если у вас только одна подписка, то не нужно настраивать пиринги и создавать новые виртуальные сети, будет достаточно добавить машину уже к существующей виртуальной сети. Данные настройки актуальны только для тех, у кого несколько подписок и они будут создавать машину в отдельной подписке. Вы же смело можете переходить к статье Настройка NPS-сервера, а после в статью о настройке CAPSMan от Mikrotik. А для тех, кому это актуально – продолжим.
Для настройки пиринга сетей заходим в нашу группу ресурсов, после заходим созданную виртуальную сеть, ищем вкладку «Пиринги» и нажимаем на неё. Мы попали в окно создания пиринга, выбираем вашу подписку, в которой находится нужная вам группа ресурсов, после выбираем сеть, к которой у вас подвязан VPN. Вводим имя пиринга в ту и другую сторону, разрешаем ползунками перенаправление трафика в обе стороны и нажимаем «ОК», наш пиринг создан. Теперь осталось соединить наш пиринг с землей.
Настройка прохождения трафика через пиринг до земли.
Переходим к роутеру Mikrotik, заходим в интерфейс и идем во вкладку IP – Ipsec – Policies, нажимаем «крестик» и добавляем новую политику. На вкладке General выбираем нужный нам peer, через который у вас идет VPN, ставим галочку на «Tunnel», вводим исходный адрес и удаленный адрес во вкладках Src и Dst, соответственно. Заходим во вкладку Action и ставим наши предложения, на которых работает VPN.
Либо консольно:
/ip ipsec policy add dst-address=(удаленный адрес)/23 peer=peer_S2S proposal=proposal_S2S src-address=(локальный адрес)/24 tunnel=yes
Если в строке PH2 State надпись established, то все готово, можно заходить по RDP на машину.
P.S. Azure создает машину на английском языке, и если вам не удобно, то вы можете её русифицировать, подробно про это в нашей отдельной статьи.
Конец первой части.