AD VPN авторизация MikroTik

При наличии Active Directory первым, что нужно сделать — это авторизовывать пользователей с помощью него, а так же разграничивать доступ на основе групповой политики — в зависимости от членства в группе безопасности выдавать IP адреса из разных pool.

Данный метод подходит для всех типов ppp соединений в MikroTik
PPTP/L2TP/SSTP/OpenVPN

VPN PPTP/L2TP IPsec

Для начала нужен Windows Server с установленным Network Policy Server (NPS). Аналогично настраивается в статье про Wi-Fi EAP

Настройка NPS

NPS VPN MikroTik — Создаем Radius клиент и указываем IP и общий секрет

NPS указание группы безопасности — Создаем 2 политики для VPN:
VPN_Analitics — Доступ во все системы
VPN_Only_1C — Доступ только до терминалов 1С

NPS создание профиля для группы безопасности

NPS указание группы безопасности для профиля — Обязательно делаем группу безопасности, на членстве в которой будут авторизовываться VPN пользователи

NPS настройка шифрования — Шифрование только MS-CHAP-v2

NPS указание пула адресов VPN — Здесь кроется самое важное — **Framed-Pool**
Через него задаем pool IP адресов, который выдаем VPN клиентам.
**Это название пула VPN в настройках RoS IP -> Pool**

Настройка RoS

Настройка Radius ppp — Указываем в Radius где находится NPS и авторизация на нем

Создание пула адресов VPN — Создаем IP pool для разных типов VPN пользователей. \
**Имя пула прописывается выше в NPS в зависимости от типа доступа**

Настройка профиля VPN — В ppp profile создаем новый профиль и указываем дефолтный pool для VPN

Настройка лимитов на 1 сессию — Указываем, что VPN клиенты этого профиля могут иметь только одну ppp сессию

Включение использования Radius для VPN — В ppp -> Sercets
Включаем использование Radius

Теперь можно подключаться к VPN. В зависимости от членства пользователя в группе безопасности — ему выдается IP адрес из разных пулов. На основе этих пул адресов можно настраивать правила кому куда можно ходить.