Настройка 2FA для Mikrotik VPN

Общие сведения

Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение при помощи стандартного VPN-клиента операционной системы (например, Microsoft Windows VPN) к VPN-серверу на базе Mikrotik, в частности в текущей инструкции – с использованием протокола PPTP. В инструкции описывается настройка 2FA для Mikrotik VPN с использованием RADIUS-сервера Avanpost FAM и различные сценарии использования 2FA для Mikrotik VPN.

Сценарий взаимодействия Mikrotik VPN с Avanpost FAM для аутентификации:

1. Пользователь подключается к VPN, вводит логин и пароль в стандартный VPN-клиент операционной системы. VPN-клиент подключается к VPN-серверу на базе Mikrotik.
2. Mikrotik по протоколу RADIUS подключается к службе RADIUS Avanpost FAM, выполняет проверку логина и пароля по одному из настроенных методов аутентификации RADIUS-протокола.
3. Если для Mikrotik на стороне Avanpost FAM настроена проверка дополнительных факторов аутентификации, то Mikrotik запрашивает у пользователя проверку этих факторов в фоновом режиме.
4. После успешной проверки аутентификаторов в соответствии с настроенным сценарием аутентификации пользователь успешно подключен к VPN.

Для Mikrotik VPN в качестве второго фактора (2FA) возможно использование следующих методов аутентификации:

• Мобильное приложение Avanpost Authenticator;
• Мессенджер Telegram.

Для выполнения настройки 2FA в Mikrotik VPN в соответствии с настоящей инструкцией должны быть выполнены следующие предварительные условия:

1. Установлен в сети Mikrotik, настроен VPN-сервер.
2. Установлен АРМ с VPN-клиентом, который может выполнить подключение по VPN к Mikrotik VPN.
3. Установлен в сети компонент Avanpost FAM Server.

Если необходима аутентификация через:

1. Мобильное приложение Avanpost Authenticator, то требуется установить компонент Avanpost FAM Mobile Authenticator Service;
2. Telegram, то требуется настроить подключение к Telegram Bot API;
3. Мобильное приложение SafeTech PayControl, то требуется установить сервер SafeTech PayControl.

Настройка

Настройка подключения Mikrotik к RADIUS-серверу Avanpost FAM

На стороне Mikrotik необходимо выполнить следующие настройки:

1. Создать пул адресов для VPN подключений (IP-Pool).
   
   
   
   
2. Создать профиль PPTP подключения (PPP-Profiles).
   
   
   
   
3. Включить PPTP сервер (PPTP, вкладка Interface, кнопка PPTP server).

4. Активировать флаг «Enabled».

5. Указать параметры:

   - Default Profile – PPTP;
   - Authentication – флаг CHAP:

   
   
   
   

   
   

6. В IP-Firewall создать правила.
   
   - первое разрешает входящие подключения по протоколу TCP на порту 1723:
   
   
   
   - второе правило разрешает GRE:
   
   
   

7. Настроить подключение к RADIUS-серверу системы Avanpost FAM:

   1. На вкладке RADIUS добавить RADIUS server:
      - сервис - указать «ppp»;
      - заполнить поля адреса RADIUS сервера;
      - протокол оставить UDP;
      - указать секрет;
      - порты стандартные;
      - увеличить  время таймаута сервера (от 30 секунд и более).

Настройка на стороне Avanpost FAM

На стороне административной консоли Avanpost FAM необходимо выполнить следующие настройки:

1. Создать и настроить приложение с типом RADIUS, указав для него в карточке приложения на вкладке «Настройки»:
   1. Флаг IP-адрес как идентификатор – выключен.
   2. NAS IP (Source IP)– IP-адрес сервера Mikrotik.
   3. Протокол аутентификации – CHAP.
   4. Флаг Поддержка Access-Challenge – выключен.
2. В разделе «Разделяемые секреты RADIUS» создать RADIUS-секрет, указав для него в IP-адрес с маской подсети сервера Mikrotik VPN либо подсеть (диапазон IP-адресов), из которой обращается Mikrotik VPN.
3. Создать и настроить группу доступа, добавив в неё созданное приложение и пользователей, которые должны иметь доступ к приложению.

Проверка настройки

1. Запустить системный VPN-клиент, в котором заданы параметры подключения к VPN на базе Mikrotik.
2. Указать логин и пароль.

3. Если требуется - выполнить дополнительную аутентификацию в соответствии с настроенным сценарием аутентификации.

В результате пользователь должен быть успешно подключен к VPN на базе Mikrotik.

Сценарии использования

Загрузка пользователей Mikrotik VPN из домена (LDAP)

Чтобы пользователи из домена проходили 2FA/MFA при аутентификации в Mikrotik VPN, необходимо использовать встроенную в Avanpost FAM функцию интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, openldap, Avanpost DS и т.д.). В рамках этой функции можно настроить LDAP-фильтры, которые обеспечат загрузку в Avanpost FAM только тех пользователей, которые будут использовать 2FA/MFA/SSO в Mikrotik VPN. Таким образом можно подключить несколько доменов.

Контроль попыток аутентификации пользователей к Mikrotik VPN через Avanpost FAM

Для контроля попыток аутентификации в Mikrotik VPN необходимо использовать журнал событий безопасности, доступный в административном интерфейсе системы и посредством syslog.

Управление доступом пользователей к Mikrotik VPN через Avanpost FAM

Для предоставления доступа пользователю его необходимо включить в группу, которая имеет доступ к созданному приложению. Также можно реализовать автоматическое включение/исключение пользователя из группы в рамках синхронизации с LDAP-каталогом.

Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.

Аутентификация в Mikrotik VPN с 2FA при помощи push-подтверждения в мобильном приложении-аутентификаторе Avanpost Authenticator

Для Mikrotik VPN доступно использование push-аутентификации через мобильное приложение Avanpost Authenticator.

Управление доступом пользователей к Mikrotik VPN через домен (LDAP)

Avanpost FAM в рамках интеграции с LDAP-каталогом (Microsoft Active Directory, FreeIPA, openldap, Avanpost DS и т.д.) обеспечивает автоматизацию управления членством пользователей Mikrotik VPN в группах Avanpost FAM путём синхронизации членства пользователей в группах Avanpost FAM на основе членства пользователей домена в доменных группах.

Управление вторым фактором (2FA) для Mikrotik VPN через Avanpost FAM

Для настройки второго фактора, который будет использоваться для приложения Mikrotik VPN, необходимо перейти в административной консоли в карточку приложения на вкладку «MFA». В качестве первого шага аутентификации необходимо указать метод – Password. В качестве второго шага можно выбрать один из следующих факторов:

• Мобильное приложение Avanpost Authenticator;
• Мессенджер Telegram.

Управление вторым фактором (2FA) для отдельных групп сотрудников, подключающихся к Mikrotik VPN, через Avanpost FAM

Необходимо в административной консоли Avanpost FAM перейти в карточку группы на вкладку «MFA» и настроить дополнительный сценарий аутентификации. Пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на указанной вкладке. Таким образом можно определить специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к OpenVPN.

Аутентификация в Mikrotik VPN пользователя без настроенного второго фактора (2FA)

Если у пользователя не привязан аутентификатор, обязательный для подключения к OpenVPN, то система не сможет выполнить привязку аутентификатора в режиме диалога, так как Mikrotik VPN не поддерживает Access-Challenge. В этом случае следует планировать привязку аутентификаторов пользователей другими средствами.

Изменение метода проверки пароля в рамках RADIUS для Mikrotik VPN

Mikrotik VPN поддерживает следующие RADIUS-методы проверки пароля RADIUS-сервера Avanpost FAM:

• PAP;
• CHAP.