Avanpost FAM/MFA+ : Подключение VPN через Microsoft RRAS к Avanpost FAM по протоколу RADIUS

Подключение VPN через Microsoft RRAS к Avanpost FAM по протоколу RADIUS

Перед началом настройки подключения VPN через Microsoft RRAS необходимо настроить инфраструктура в виде:

  1. Сервер Windows Server 2016/2019 с ролью RRAS и NPS.
  2. Опционально: Сервер Windows Server 2016/2019 с ролью внешнего NPS.
  3. В сети установлена и настроена система Avanpost FAM.

Внимание

Не рекомендуется устанавливать RRAS на сервере с отдельным центральным NPS. Это может привести к перехвату сторонних RADIUS-сообщений.

2.5.1. Схема работы

Размещения компонентов зависит от специфики развёртывания окружения. В общем виде возможны два варианта:

  1. На сервере RRAS размещён локальный сервер NPS, который настраивается на подключение к RADIUS-серверу FAM (NPS функционирует в режиме RADIUS Proxy). В режиме не используется сторонний NPS. Для настройки схемы развёртывания необходимо выполнить этапы 1-3, указанные ниже. 

  2. На сервере RRAS размещён локальный сервер NPS, который настраивается на подключение к внешнему NPS-серверу (в этом случае локальный NPS, размещённый на RRAS, функционирует в режиме NPS Proxy). Внешний NPS-сервер настраивается на подключение к RADIUS-серверу FAM (внешний NPS функционирует в режиме RADIUS Proxy). Для настройки схемы развёртывания необходимо выполнить этапы 1-3.



2.5.2. Вариант 1. Этап 1.

Настройка шлюза RRAS

  1.  Установить роли RRAS вместе с NPS.
  2. На Сервере RRAS настроить методы проверки подлинности. 

    Примечание

    Поддержка шифрованной проверки CHAP и MS-CHAPv2 опциональна.


Настройка поставщика проверки подлинности

  1. Выбрать RADIUS-проверку подлинности.
  2. Добавить FAM RADIUS-сервер.

  3. Вписать общий секрет.

    Внимание

    Общий секрет должен совпадать с секретом конфигурации FAM.


  4. Таймаут – 30 секунд.


    

        

Примечание

Сервер автоматически будет добавлен на локальном NPS.


5. В локальном NPS проверить политику запросов на подключение, созданную по умолчанию при установки роли RRAS.

6. Дальнейшая настройка опциональна (см. скриншоты дальше).




Вариант 2. Настройка c внешним NPS. Этап 1. 

  1. Конфигурация повторяет все этапы, но вместо RADIUS сервера следует внести IP-адрес центрального NPS сервера.
  2. На центральном NPS создать RADIUS-клиента.



  3. Добавить FAM RADIUS сервер.
  4. Установить таймаут в 30 секунд.
  5. Повторить настройку политики запросов на подключение как в первом варианте (Вариант 1), в параметрах выбрав FAM Radius сервер.


Этап 2. Настройка приложения на стороне сервера FAM

На стороне сервера FAM необходимо выполнить следующие настройки:

  1. Настроить приложение с типом RADIUS, в Настройках которого:
    1. NAS Identifier – название RRAS сервера;
    2. NAS IP Address – ip адрес RRAS сервера;
    3. протокол аутентификации – PAP/CHAP/MS CHAPv2;
    4. метод доставки фактора – встроенный транспорт.
  2. Пользователь, для которого производится подключение, должен иметь доступ к приложению через группы FAM.
  3. Логин пользователей должен соответствовать тому логину, который передаёт VPN клиент (чаще всего используется формат DOMAIN\LOGIN).

Пример корректно выполненной настройки приложения:


Этап 3. Настройка рабочего места пользователя (АРМ пользователя) на примере Windows 10

Указать параметры:

1. Параметры подключения:

  • имя сервера;
  • логин и пароль;
  • тип VPN;
  • общий ключ (в случае необходимости);
  • тип данных;
  • имя пользователя;
  • пароль.

2. Параметры безопасности в зависимости от настроек на сервере RRAS

  • тип VPN;
  • шифрование;
  • проверка подлинности;

Пример корректно настроенных параметров рабочего места пользователя представлен на рисунке .


Обсуждение