Tunnel/Pool/PPP/Profiles/RADIUS

Tunnel авторизация через Active Directory MikroTik

Опубликовано Автор: WinBox

При наличии Active Directory первым, что нужно сделать — это авторизовывать пользователей с помощью него, а так же разграничивать доступ на основе групповой политики — в зависимости от членства в группе безопасности выдавать IP адреса из разных pool.

Данный метод подходит для всех типов ppp соединений в MikroTik
PPTP/L2TP/SSTP/

Профессиональная настройка MikroTik
Без предоплаты

Telegram: @Engineer_MikroTik

Tunnel авторизация через Active Directory MikroTik
MikroTik PPTP/L2TP

Для начала нужен Windows Server с установленным Network Policy Server (NPS). Аналогично настраивается в статье про Wi-Fi EAP

Настройка NPS

NPS PPP MikroTik
Создаем Radius клиент и указываем IP и общий секрет
NPS указание группы безопасности
Создаем 2 политики для Tunnel:
Tunnel_Analitics — Доступ во все системы
Tunnel_Only_1C — Доступ только до терминалов 1С
NPS создание профиля для группы безопасности
NPS указание группы безопасности для профиля
Обязательно делаем группу безопасности, на членстве в которой будут авторизовываться Tunnel пользователи
NPS настройка шифрования
Шифрование только MS-CHAP-v2
NPS указание пула адресов PPP
Здесь кроется самое важное — Framed-Pool
Через него задаем pool IP адресов, который выдаем Tunnel клиентам.
Это название пула Tunnel в настройках RoS IP -> Pool

Настройка RoS

Настройка Radius ppp
Указываем в Radius где находится NPS и авторизация на нем
Создание пула адресов PPP
Создаем IP pool для разных типов Tunnel пользователей. \
Имя пула прописывается выше в NPS в зависимости от типа доступа
Настройка профиля PPP
В ppp profile создаем новый профиль и указываем дефолтный pool для Tunnel
Настройка лимитов на 1 сессию
Указываем, что Tunnel клиенты этого профиля могут иметь только одну ppp сессию
Включение использования Radius для PPP
В ppp -> Sercets
Включаем использование Radius

Теперь можно подключаться к Tunnel. В зависимости от членства пользователя в группе безопасности — ему выдается IP адрес из разных пулов. На основе этих пул адресов можно настраивать правила кому куда можно ходить.

WinBox
Top
Этот веб-сайт использует файлы cookie для улучшения пользовательского опыта. Продолжая использовать сайт, вы соглашаетесь на использование файлов cookie.