VPN авторизация через Active Directory

При наличии Active Directory первым, что нужно сделать — это авторизовывать пользователей с помощью него, а так же разграничивать доступ на основе групповой политики — в зависимости от членства в группе безопасности выдавать IP адреса из разных pool.

Данный метод подходит для всех типов ppp соединений в MikroTik
PPTP/L2TP/SSTP/OpenVPN

Для начала нужен Windows Server с установленным Network Policy Server (NPS). Аналогично настраивается в статье про Wi-Fi EAP

Настройка NPS

Создаем Radius клиент и указываем IP и общий секрет
Создаем 2 политики для VPN:
VPN_Analitics — Доступ во все системы
VPN_Only_1C — Доступ только до терминалов 1С
Обязательно делаем группу безопасности, на членстве в которой будут авторизовываться VPN пользователи
Шифрование только MS-CHAP-v2
Здесь кроется самое важное — Framed-Pool
Через него задаем pool IP адресов, который выдаем VPN клиентам.
Это название пула VPN в настройках RoS IP -> Pool

Настройка RoS

Указываем в Radius где находится NPS и авторизация на нем
Создаем IP pool для разных типов VPN пользователей. \
Имя пула прописывается выше в NPS в зависимости от типа доступа
В ppp profile создаем новый профиль и указываем дефолтный pool для VPN
Указываем, что VPN клиенты этого профиля могут иметь только одну ppp сессию
В ppp -> Sercets
Включаем использование Radius

Теперь можно подключаться к VPN. В зависимости от членства пользователя в группе безопасности — ему выдается IP адрес из разных пулов. На основе этих пул адресов можно настраивать правила кому куда можно ходить.