вторник, 3 января 2012 г.

Cisco L2TP и Microsoft NPS сервер.

Во многих организациях наступает момент, когда необходимо предоставить сотруднику возможность доступа в локальную сеть предприятия из вне. Если у админа или СБ отсутствует достаточный уровень паранойи, обычно ограничиваться настройками обычного vpn или еще хуже используют сервисы по типу teamviewer.
Если вы хотите обеспечить защиту соединения, контролировать кто, когда и куда ходил по средствам vpn соединения, вам понадобится:
- CISCO с поддержкой L2TP и RADIUS
- Active Directory (если у вас его до сих пор нет)
- Свободный сервер (сойдет и виртуалка) для развертывания роли NPS

Создание минимально-рабочей конфигурации займет не более 20-40 минут (с учетом чая, кофе и ожидания пока перезагрузить сервер после установки роли NPS)

Настройка CISCO
Я являюсь счастливой обладательницей 2811 с ios  adventerprisek9-mz.124-24.T2, все настройки проверенны на ней и работают.

1. Настраиваем шифрование для будущего L2TP соединения

crypto isakmp policy 10
encr 3des
authentication pre-share
group 2

!Если вы знаете ip адрес или диапазон адресов с которых будет устанавливаться соединения,
!лучше указать их непосредственно
crypto isakmp key c1$c0c1$c0c1$c0 address 0.0.0.0 0.0.0.0
 

crypto ipsec transform-set l2tp esp-3des esp-sha-hmac
mode transport

crypto dynamic-map DYNMAP 10
!Включение поддержки NAT или PAT для клиентов Windows
set nat demux
set transform-set l2tp

crypto  map lime 10 ipsec-isakmp dynamic DYNMAP


2. Настраиваем L2TP

vpdn enable

vpdn-group sec_groupe
! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 2
 no l2tp tunnel authentication

interface Loopback3
 description *** For VPN ***
 ip address 192.168.39.1 255.255.255.0


interface Virtual-Template1
ip unnumbered Loopback3
no ip mroute-cache
autodetect encapsulation ppp
peer default ip address pool lime-pool
ppp authentication ms-chap-v2 chap callin
!настройка аккаунтинга
ppp accounting vpnlimeac

ip local pool lime-pool 192.168.39.2 192.168.39.6



3. Настраиваем авторизацию через радиус.

aaa authentication ppp default local group radius
aaa accounting network vpnlimeac
action-type start-stop
group radius



radius-server host 192.168.1.199 auth-port 1812 acct-port 1813
radius-server key  CISCO


Настройка NPS WINDOWS Server 2008 R2
1. Поднимаем роль NPS. Действие обыденное, так что описывать в подробностях смысла нет.
2. Создаем политику подключения:
    - Разрешаем подключение, в случае соответствия  поставленным условиям, тип сервера оставляем неопределенным


    - Авторизовать мы будем только тех пользователей которые являются членами группы VPN  в Active Drecroty,  а значит в Conditions, мы устанавливаем параметр User Groups на соответствие группе Domen\VPN



   -  Тип аутентификации выставляем MS-CHap V1 Or V2
   -  На вкладке Constraints выбираем: тип аутентификации MS-CHap V1 Or V2,
   -  На вкладке Settings выставляем в стандартных параметрах Framed-Protocol PPP, Service-type Framed








3 комментария:

Unknown комментирует...

Где в NPS указывается ключ для связи с CISOC

Nikita комментирует...

Вы создаете клиента NPS, указываете его ip адрес смотрящий в сторону NPS и вводите ключ. В расширенных свойствах, указываете имя вендора.

NPS->Radius Clients and Servers->Radius Clients

Unknown комментирует...
Этот комментарий был удален автором.