Налаштування аутентифікації VPN з використанням сервера SoftPI RADIUS

Налаштування SoftPI RADIUS сервера

Сервер SoftPI RADIUS (далі RADIUS сервер) виконує перевірку користувачів, що підключаються до точки доступу (аутентифікація), перевіряє, чи має право даний користувач підключатися до точки доступу в поточний момент (авторизація), і веде облік усіх сесій користувачів (аккаунтинга).

Насамперед потрібно в програмі "Консоль управління RADIUS" сервера налаштувати параметри сервера доступу, в якості якого буде виступати VPN сервер. Необхідно ввести його IP адресу і загальний секрет. Загальний секрет - це пароль, який використовується при обміні даними між сервером RADIUS і VPN сервером. Використання цього пароля виключає можливість появи неавторизованого VPN сервера. RADIUS-сервер буде ігнорувати всі запити від сервера доступу, якщо йому невідомий IP адрес або загальний секрет сервера. Приклад додавання сервера доступу наведено на Малюнку 1.

1 

Далі необхідно ввести параметри користувачів, які матимуть право підключатися до VPN сервера. Щоб додати користувача слід використовувати режим "Консолі налаштування RADIUS-сервера": "Користувачі / Групи" → "Користувачі". Для користувача обов'язково слід вказати ім'я користувача та пароль. Також можна вказати групу атрибутів, дозволений час входу, і ряд інших параметрів. Вікно додавання користувача приведено на Малюнку 2.

Після створення користувача при необхідності слід поставити йому атрибути. Для відправки атрибутів авторизованому користувачеві, необхідно в параметрі "Тип" вибрати значення: "Відправляти в Access-Accept".

2

Для завдання видається користувачеві IP адреси можна додати користувачеві атрибут Framed-IP-Address і як значення вказати необхідний IP адресу (Малюнок 3).

3 

Для обмеження часу сесії користувача засобами сервера доступу (якщо така можливість є), можна скористатися атрибутом Session-Timeout (або іншим, який підтримується конкретним сервером доступу), який задає максимальну тривалість сесії в секундах.

Аналогічним чином можна створити потрібну кількість логінів користувачів.

Крім ручного створення користувачів, SoftPI Radius підтримує також імпорт даних з Active Directory або іншого каталогу, що підтримує протокол LDAP.

Сервер доступу (VPN сервер) може підтримувати й інші атрибути, які можна задати для користувача та / або групи користувачів.

Налаштування мережевого сервера доступу (Network Access Server - NAS)

Залежно від типу VPN сервера настройка може мати відмінності. Для налаштування аутентифікації та авторизації за протоколом RADIUS необхідно вказати:

  • IP адреса сервера аутентифікації RADIUS.
  • Номер порту аутентифікації (за замовчуванням – 1812).
  • Загальний секрет, введений раніше в налаштуваннях RADIUS сервера. 4. При необхідності ведення обліку наданих послуг слід вказати IP адресу біллінгового сервера.

Налаштування комп'ютера клієнта VPN (Приклад налаштування для Windows XP)

1. Створення нового підключення.

  1.1 Відкрийте вікно «Мережеві підключення» і виберіть пункт «Створення нового підключення».

  1.2 Створіть нове підключення для підключення з використанням VPN (Малюнки 4 - 7).

  4

 

 5

 6

7 

  1.3 Вкажіть IP адреса VPN сервера (Малюнок 8).

 8

 

  2. Налаштування VPN підключення.

 2.1 Відкрийте створене підключення, введіть ім'я користувача та пароль, а потім виберіть «Властивості» (Малюнок 9).

9

  2.2 У вкладці "Безпека" виберіть опцію "Додаткові" і клацніть по кнопці "Параметри" (Малюнок 10).

10

 

  2.3 У вікні "Додаткові параметри безпеки" виберіть протокол(и) для перевірки автентичності (Малюнок 11).

11

 

Найбільш захищений протокол з представлених - EAP. Додаткові налаштування для протоколу PEAP описані далі у відповідному розділі. Для використання в локальній мережі може бути досить протоколу MS-CHAPv2. Не рекомендується використовувати протоколи PAP / CHAP через їх слабкої захищеності.

Налаштування для протоколу PEAP

При виборі опції «Протокол розширеної перевірки автентичності (EAP)» стає доступним список протоколів, з якого необхідно вибрати протокол PEAP. Після натискання кнопки «Властивості» відобразиться діалог «Додаткові параметри безпеки» для завдання налаштувань PEAP. У діалозі слід вибрати опції перевірки сертифіката RADIUS сервера або відключити перевірку сертифікатів. При включеній опції «Перевіряти сертифікат сервера» на комп'ютері клієнта, в сховище сертифікатів, повинен бути встановлений кореневий сертифікат SoftPI RADIUS сервера. Цей сертифікат повинен бути обраний у списку «Довірені кореневі центри сертифікації». Інші опції слід поставити, як показано на Малюнку 12.

 

12

 

На Малюнку 13 показаний вигляд вікна властивостей методу перевірки автентичності EAP-MSCHAP v2.

 

13

 

Приклад налаштування для Windows Vista / Windows 7

Порядок дій по створенню та налагодженню підключення через VPN канал для операційних систем Windows Vista і Windows 7 аналогічний інструкціям для Windows XP. На малюнках, наведених нижче, показані основні кроки налаштування для Windows 7. Відкрийте режим "Панелі управління" Windows, що дозволяє створити VPN підключення (Малюнки 14, 15).

  

14

 

15

 

Далі необхідно відкрити майстер створення підключення, як показано на Малюнку 15.

 

16

 

Виберете тип підключення «Підключення до робочого місця» (VPN) (Малюнок 17).

 

17

 

Для створення нового підключення вибираємо тип підключення «Підключення до мережі за допомогою віртуальної приватної мережі (VPN)» (Малюнки 18 - 19).

  

18

 19

 

Далі слід вибрати параметр «Відкласти настройку підключення до Інтернету», тому не всі параметри ще встановлені (Малюнок 20).

20

 

Введіть адресу або доменне ім'я сервера VPN, і довільне ім'я створюваного підключення (Малюнок 21).

 

21 

 

Введіть логін і пароль (Малюнок 22).

 22

 23

Після створення підключення слід перейти до його властивостей і налаштувати параметри безпеки. Налаштування аналогічна настройці для Windows XP.