Мои практически любимые роутеры серии DFL умеют авторизовать пользователей с помощью внешнего RADIUS’а. Это может быть удобным, когда есть необходимость впустить сотрудника в локалку при нахождении его где-то далеко-далеко. Особенная радость состоит в том, что при использовании для входа в ПК доменного имени и пароля, можно его еще раз не вводить для VPN-соединения до офиса. Но даже в случае, когда это домашний ПК (например) и пароль на VPN-соединение все же требуется, человек использует свои известные ему данные. И даже при смене доменного пароля, администратору не нужно бегать с большими глазами и переписывать его во всех базах этих самых паролей.
Настройка RADIUS в качестве базы пользователей для DFL до безобразия проста. Картинок будет много, но проблем с настройкой возникнуть не должно. Я исхожу из предположения, что домен у нас уже поднят и VPN-сервер на DFL уже настроен на использование локальной базы данных. Настройка VPN-сервера – это отдельная небольшая тема, поэтому ее я здесь не затрагиваю
Итак, приступим. Для начала, нужно запустить настроить сам RADIUS. Для этого запускаем консоль управления сервером, выбираем в дереве слева пункт “Роли” и нажимаем пункт “Добавить роли” в правой части окна.
Нам понадобится роль “Службы политики сети и доступа”. Отмечаем ее галочкой и идем дальше.
Читаем (если хочется) какие радости нам сулит эта роль и идем дальше.
Нам понадобится только одна служба роли – “Сервер политики сети”. Остальное – по вкусу и необходимости. В моем случае остальное не нужно, поэтому обходимся только первым пунктом и идем далее.
Работа мастера почти завершена, здесь можно проверить все ли выбрано и не забыто ли чего. Нас все устраивает, давим “далее”.
Быстрая подготовка, установка и запуск.
Все успешно установилось, проблем не вылезло. Даже перезагрузка не потребовалась. Закрываем мастер добавления роли и переходим к настройке.
Для того, чтобы наш роутер мог запрашивать у RADIUS’а разрешения пускать пользователей в сеть, нужно связать RADIUS и роутер между собой. Для этого на RADIUS’е нужно создать и настроить RADIUS-клиента, а на роутере указать у кого спрашивать разрешения.
Из панели управления, из группы Администрирования запускаем консоль управления сервером сетевых политик.В левой части окна выбираем раздел “Клиенты и серверы RADIUS”, а в нем подраздел “RADIUS-клиенты”.
Щелкаем по нему правой кнопкой мыши и говорим, что хотим создать нового клиента.
В мастере создания нового клиента потребуется указать какое-нибудь понятное имя для данного конкретного клиента.
Указать его IP-адрес или доменное имя.
И сотворить секретную фразу, которая подтвердит, что клиент и сервер те, за кого себя выдают 🙂 Можно ввести “секрет” вручную, а можно создать его случайно. Я предпочитаю создавать его случайно. Переключаем тумблер в состояние “Создать” и нажимаем одноименную кнопку. “Секрет” создан. Скопируем куда-нибудь полученное значение, оно понадобится при настройке роутера.
Гут, роутер и сервер друг друга будут способны узнать, но надо же еще и разрешить доступ нужным клиентам. В той же консоли выбираем раздел “Политики”, там подраздел “Сетевые политики”, по которому надо снова щелкнуть правой кнопкой мыши и создать новую политику.
Указываем понятное нам имя политики.
Далее, есть смысл создать область действия данной политики. Для добавления условий, давим кнопку “добавить”.
Я решил, что разрешено будет подключаться к роутеру только одной группе пользователей. Выбираем соответствующий пункт и нажимаем “Добавить”.
Говорим “Добавить группы”
Открывается стандартное окно выбора групп. Пишем или выбираем руками нужную группу и говорим “ОК”
Олично! Нужные группы добавились. Снова давим “ОК”.
Добавлю еще и ограничение на того клиента, который пытается запросить авторизацию для пользователя. Снова в окне условий нажимаем добавить и выбираем еще одно условие.
Указываем “понятное имя клиента”, которое было придумано на шаге добавления клиента в RADIUS. Можно использовать IP-адрес (такое условие тоже есть).
Проверяем список условий, при которых сработает данная политика сети и, если все устраивает, идем далее.
Оставляем все как есть. Нам действительно нужно разрешить доступ клиентам по данной политике и переопределять политику доступа клиентов мы не будем, стандартная нас вполне устраивает.
Далее, можно подкрутить настройку методов проверки подлинности пользователя, который пытается подключиться. Расставляем все по вкусу, можно оставить все по умолчанию.
Ограничения, типа тайм-аута простоя, выставляем также по вкусу, здесь все тоже можно оставить как есть.
Параметры тоже можно оставить как есть.
И, наконец, политика почти создана. Можно посмотреть чего мы там накрутили и, если все путем, нажать “Готово” для завершения работы мастера.
Надо еще не забыть перетащить политику в самое начало порядка обработки, иначе все застопорится на запрещающих политиках и никто никуда подключиться не сможет. Щелкаем по политике правой кнопкой мыши и говорим “Вверх” нужное количество раз.
Уф… Маленько осталось – прописать настройки на роутере. Логинимся на него и заходим в раздел “Аутентификация пользователей” -> “Базы данных внешнего пользователя”. Перевод корявый, но понятно, что нам нужно просто использовать не встроенную БД пользователей, а что-то извне. Говорим “Добавить” базу и указываем, что добавить мы хотим RADIUS-сервер.
Называем его как-нибудь понятно, указываем где этот RADIUS есть и “секрет”, который мы запомнили в процессе создания клиента на сервере. Ведь запомнили же? Или хотя бы записали? Разумеется, в адресной книге роутера надо заранее добавить запись об IP-адресе сервера.
Нажимаем ОК и видим, что все создано.
Переходим к правилам аутентификации и в правиле, которое уже пускает людей по локальной базе данных, просто меняем источник аутентификации с LOCAL на RADIUS.
В опциях аутентификации нужно выбрать наш только что добавленный сервер (1), нажать кнопку добавления его в список выбранных (2) и удостовериться, что все добавилось (3).
Нажимаем ОК, не забываем сохранить конфигурацию роутера и перезагрузить его. Все. Можно аутентифицироваться под доменной учетной записью. Жаль только, что управление роутером доступно только пользователям из локально БД и нельзя туда прикрутить тот же RADIUS. Ну да и ладно.
Итого, за какие-нибудь 15 минут мы скотчем примотали домен к роутеру и уже начали его использовать 🙂 Если VPN-сервер на роутере не поднят, это еще пара минут хлопот. Скриншоты надерганы из DFL-210, но все это верно и для остальных роутеров данной серии.
DFL 260E умеет брать учетки напрямую из AD – чем этот способ хуже?
Во-первых, не совсем “напрямую из AD”. Оно берет данные из LDAP.
Во-вторых, мой способ не лучше и не хуже любого другого. Лично мне кажется, что разрешения на доступ должен выдавать RADIUS. Но можно использовать хоть локальную БД – дело хозяйское.
А в ip-rules что должно стоять? Настроил подобным образом, пускает и под локальным админом и под доменной учеткой, без разницы…
Не очень понятно кого куда пускает. И должно ли вообще их туда пускать… IP-rules – правила для пакетов. Настраиваются по вкусу, если подробнее опишете задачи – попробуем придумать как быть и что делать
Да была проблема с Radius, вроде разобрался, щас все авторизуется, и в АД тоже авторизуется, но похоже для моих задач это девайс не подходит, печалька 700 баксов в трубу (((
Идея была одной группе в АД разрешить доступ в инет, другой запретить и что бы работало с одной компа/ip, например в сценарии “терминальный сервер”. В итоге, если авторизоваться в АД, то пускает любых доменный пользователей, если через радиус то тех кого нужно, но стоит зайти под другим юзером, тоже пускает, поскольку девайс авторизует по ip, а группы он игнорит. Прописывал в тестовой сети в которую входит требуемый комп, на роутере параметр “user authentication” указывая группу в которую входит пользвоатель как просто group и как domain\group и убирал галочку No define credentials и прописывал на радиусе специальный праметр соответствующий этой группе (прописывал vendor code), но все безуспешно.
Почерпнул много полезного в следующих руководствах:
https://forums.clavister.com/viewtopic.php?f=8&t=4005
Кстати окромя этого, заметил еще одну особенность, если в искомой политике на радиус сервере выставить Denied Access то изменения вступают в силу минут через 15, если после выставления запрета попытаться войти, разлогинится и снова залогинится, то роутер спокойно пустит в инет, а в журналах на NPS будет запись об успешном входе.
Мои правила – https://www.dropbox.com/s/it8fdufv9c5gqbd/DFL.png
Навскидку могу ошибаться, но вроде можно было к одному pptp-интерфейсу несколько сервисов авторизации прикрутить… Надо попробовать будет. Если окажется, что можно, проблема решится 🙂
Добрый день. Пытаюсь настроить DFL 860E и Radius но ничего не выходит. Можете помочь готов заплатить.
В чем именно проблема? На всякий случай, продублирую ответ в почту.