VPN авторизация через Active Directory MikroTik

При наличии Active Directory первым, что нужно сделать — это авторизовывать пользователей с помощью него, а так же разграничивать доступ на основе групповой политики — в зависимости от членства в группе безопасности выдавать IP адреса из разных pool.

Данный метод подходит для всех типов ppp соединений в MikroTik
PPTP/L2TP/SSTP/OpenVPN

VPN авторизация через Active Directory MikroTik

Для начала нужен Windows Server с установленным Network Policy Server (NPS). Аналогично настраивается в статье про Wi-Fi EAP

Настройка NPS

NPS VPN MikroTik
Создаем Radius клиент и указываем IP и общий секрет
NPS указание группы безопасности
Создаем 2 политики для VPN:
VPN_Analitics — Доступ во все системы
VPN_Only_1C — Доступ только до терминалов 1С
NPS создание профиля для группы безопасности
NPS указание группы безопасности для профиля
Обязательно делаем группу безопасности, на членстве в которой будут авторизовываться VPN пользователи
NPS настройка шифрования
Шифрование только MS-CHAP-v2
NPS указание пула адресов VPN
Здесь кроется самое важное — Framed-Pool
Через него задаем pool IP адресов, который выдаем VPN клиентам.
Это название пула VPN в настройках RoS IP -> Pool

Настройка RoS

Настройка Radius ppp
Указываем в Radius где находится NPS и авторизация на нем
Создание пула адресов VPN
Создаем IP pool для разных типов VPN пользователей. \
Имя пула прописывается выше в NPS в зависимости от типа доступа
Настройка профиля VPN
В ppp profile создаем новый профиль и указываем дефолтный pool для VPN
Настройка лимитов на 1 сессию
Указываем, что VPN клиенты этого профиля могут иметь только одну ppp сессию
Включение использования Radius для VPN
В ppp -> Sercets
Включаем использование Radius

Теперь можно подключаться к VPN. В зависимости от членства пользователя в группе безопасности — ему выдается IP адрес из разных пулов. На основе этих пул адресов можно настраивать правила кому куда можно ходить.