База знаний
6С чего начать? 31Indeed Privileged Access Manager 71Indeed Certificate Manager 175Indeed Access Manager 8 46Indeed Access Manager 7 234Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 1Документация по продуктам
База знаний: Indeed Access Manager 8 > Примеры настройки Indeed AM с различными системами
Настройка Mikrotik (OVPN) 2FA + Push
Автор Maksim Efanov, Last modified by Mariya Vorozhba на 23 февраля 2024 03:04 AM

Схема:

Предусловие

  • Установленный и настроенный Indeed AM 8.2.0 или Indeed AM 8.1.8
  • Установленный и настроенный Indeed Key: Сервер и провайдер
  • Установленный и настроенный NPS RADIUS Extension
  • Установленный Mikrotik

В данный момент, в качестве способа аутентификации поддерживается только Push.

Настройка Mikrotik

Настройка через WinBox. Будем настраивать OVPN сервер.

Настройка RADIUS

  1. Откройте WinBox и подключитесь к Mikrotik.
  2. На левой панели нажмите “RADIUS”
  3. Нажмите + в левом верхнем углу, открывшегося окна.
  4. Service: ppp
    Address: Адрес вашего NPS сервера
    Prorocol: udp
    Secret: Секрет, совпадающий с секретом на NPS.
    Timeout: Минимум 6000 ms
  5. Нажимаем “Apply”, “Disable”, “Enable”, “OK”.

    Создание пула адресов

    1. Переходим в IP -> Pool и нажимаем + в левом верхнем углу.
    2. Задаем имя и пул адресов для подключения к VPN.
    3. Нажимаем ОК.

    Создание корневого (CA) сертификата

    1. Переходим System -> Certificates и нажимаем + в левом верхнем углу.
    2. Name: Имя сертификата
      Common Name: Имя Mikrotik
      Subject Alt. Name: DNS: Имя Mikrotik
      Остальные параметры по необходимости
    3. Переходим на вкладку “Key Usage” и выбираем параметры как на скриншоте:

    4. Нажимаем “Apply”, “Sign”
    5. В окне, в поле Certificate, выбираем наш сертификат и жмем “Start”.

    Создание серверного сертификата

    1. Снова жмем +.
    2. В Common Name и SAN указываем те же данные, что и для сертификата CA, только в SAN также можно указать IP адрес.
    3. На вкладке “Key Usage” выбираем как на скриншоте:
    4. Жмем “Apply”, “Sign”
    5. В открывшемся окне выбираем на сертификат и сертификат CA.

    6. Жмем “Start”

    Экспорт созданных сертификатов

    1. Переходим System -> Certificates.
    2. Нажимаем правой кнопкой по CA сертификату -> Export
    3. Указываем имя, выбираем type: PEM и нажимаем “Export”
    4. То же самое проделываем с серверным сертификатом, только указав Passphrase.
    5. Сертификаты будут лежать в Files на левой панели.
      6. Выбираем сертификат и нажимаем “Download”
      1. Сохраняем куда удобно.
      2. С серверным сертификатом, сохранится его ключ. Ключ нужно конвертировать в RSA, используя Passphrase, используя, например, OpenSSL:
        openssl rsa -in ServerCertificate.key -out ServerCertificate-descr.key

      Настройка OVPN сервера

      1. Нажимаем на PPP на левой панели.
      2. Переходим во вкладку Profiles и нажимаем + в левом верхнем углу.
      3. Local Address: Локальный IP микротика.
        Remote Address: Задаем созданный ранее пул.
        DNS Server: Локальный IP микротика.
      4. Нажимаем ОК.
      5. Во вкладке Interface нажимаем OVPN Server.

      6. Port: любой удобный.
        Default Profile: Ранее созданный профиль.
        Certificate: Ранее созданный серверный сертификат.
        Auth и Cipher sha1 и aes256. Остальные по желанию.
      7. “Apply”, “OK”

      Настройка OpenVPN Connect

      Настройка файла .ovpn для подключения:

      dev tun
proto tcp
remote mikrotik.indeed.local 1194 #DNS Mikrotik и порт, указанный при создании сервера.
cipher AES-256-CBC
auth SHA1
resolv-retry infinite
nobind
persist-key
persist-tun
client
verb 3
user nobody
group nogroup
auth-user-pass
remote-cert-tls server
tls-client
keepalive 10 30
route 192.168.1.0 255.255.255.0 192.168.130.1 #Проброс во внутреннюю сеть
verb 6
# Наш ca сертификат, созданный и экспортированный ранее (CACert)
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>
<cert> # Серверный сертификат, созданный и экспортированный ранее (ServerCertificate)
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
</key>

      Далее импортируем этот профиль в OpenVPN Connect.

      Результат

      (3 голос(а))
      Эта статья полезна
      Эта статья бесполезна
      Комментарии (0)
      Портал технической поддержки компании Индид