本篇文章介绍了 ROS 路由器的 OpenVPN 服务,使用 RADIUS 对用户进行集中身份验证。
服务器环境使用的是 Windows Server 2019 搭建的 RADIUS 服务,并且已搭建好 AD 域相关服务。路由器型号为 MikroTik RB1100AHx4,操作前请确保 ROS 路由器和 RADIUS 服务器的通信正常。
目录
配置 RADUIS 服务
1、在 Windows Server 服务器上安装 NPS 认证服务,服务搭建过程可前往 https://blog.kobin.cn/blog/system/s1/2032.html 的「搭建 NPS 认证服务器」章节进行查看。
2、搭建完 NPS 服务后,在开始菜单中找到「Windows 管理工具」>「网络策略服务器」。
3、鼠标右击「NPS」打开菜单,选择「在 Active Directory 中注册服务器」。
4、依次找到「RADIUS 客户端和服务器」> 「RADIUS 客户端」,鼠标右击选择「新建」。
5、输入路由器的设备名称和 IP 地址,并设置一个 RADIUS 共享密码。
6、接着找到「策略」>「网络策略」,鼠标右击选择「新建」。
7、设置策略名称,网络访问服务的类型选择「未指定」。
8、添加条件,选择「Windows 组」,点击「添加」。
9、此处的用户组根据实际情况进行选择,我添加的是系统默认的 Domain Users 用户组。
10、添加完成后点击「下一步」。
11、访问权限默认选择「已授予访问权限」。
12、身份验证方法勾选「加密的身份验证 CHAP」和「未加密的身份验证 PAP,SPAP」。
13、此处系统会提示所选的身份验证方法不安全,选择「否」忽略并进行后续步骤。
13、约束参数和策略参数保持默认,点击「下一步」。
14、确认配置信息后,点击「完成」。
放行防火墙端口
1、依次打开「控制面板」>「系统和安全」>「Windows Defender 防火墙」,选择「高级设置」。
2、鼠标右击「入站规则」,选择「新建规则」。
3、创建一条「自定义」规则,该规则适用于「所有程序」。
4、协议类型选择「UDP」,本地端口选择「特定端口」,端口范围为「1645-1646, 1812-1813」。
5、在「远程 IP 地址」中添加 ROS 路由器的 IP 地址。
6、连接条件选择「允许连接」,规则应用保持默认。
7、为防火墙规则设置一个名称,点击「完成」。
配置 RADIUS 认证
1、打开 WinBox 客户端,完成路由器上的 OpenVPN 服务搭建,具体操作步骤可前往 https://blog.kobin.cn/blog/network/n1/1087.html 进行查看。
此处需要注意在 ROS 路由器上创建的 VPN 本地用户名,不要和 RADIUS 服务器上的相同重复。
2、在确保 OpenVPN 服务可以正常使用后,选择路由器上的「RADIUS」选项,新建一条客户端配置。
3、服务类型勾选「PPP」,输入服务器的 IP 地址和 RADIUS 共享密钥。
4、接着依次找到「PPP」>「Secrets」,选择「PPP Authentication & Accounting」,勾选「Use Radius」。
5、在 OpenVPN 客户端测试使用 AD 账户进行登录。
ROS 路由器 OpenVPN 服务配置 RADIUS 认证
https://blog.kobin.cn/blog/network/n1/2861.html
