Сетевая схема:

Оглавление

1. Предварительные требования
2. Установка и конфигурация RRAS сервера
3. Настройка на стороне RRAS сервера
4. Настройка на стороне Indeed AM сервера
5. Настройка аутентификации по EAP-MSCHAPv2
   1. Настройка на стороне NPS сервера
   2. Настройка на стороне RRAS клиента
   3. Проверка подключения
6. Настройка аутентификации по PEAP
   1. Настройка шаблонов сертификатов
      1. Настройка шаблона для NPS сервера
      2. Настройка шаблона для RRAS сервера
      3. Настройка шаблона для пользователя
   2. Распространение сертификатов
      1. Распространение сертификата NPS сервера
      2. Распространение сертификата RRAS сервера
      3. Распространение сертификата пользователя
   3. Настройка на стороне NPS сервера
   4. Настройка на стороне RRAS клиента
   5. Проверка подключения

Предварительные требования

• Установленный и настроенный Indeed AM 8.2.2 и выше для EAP-MSCHAPv2 или Indeed AM 8.2.5 и выше для PEAP.
• Установленный и настроенный Indeed AM NPS RADIUS Extension, на внешнем NPS сервере, отдельном от RRAS.
• Установленный и настроенный Indeed Key сервер и Indeed Key провайдер.
• Установленные провайдер Indeed AM Radius Providers.
• Установленный и настроенный RRAS сервер.
• Установленный и настроенный локальный CA (в рамках инструкции используется Windows CA).

Примечание:

1. В данной статье рассматриваются два сценария аутентификации: 
   1. По логину и паролю пользователя (протокол EAP-MSCHAPv2)
   2. По сертификату пользователя (протокол PEAP). 
2. Так как RRAS не поддерживает Challenge/Response, то в качестве второго фактора будет использоваться Push - аутентификатор (Indeed Key провайдер).

Установка и конфигурация RRAS сервера

Пример установки и базовой настройки RRAS сервера приведен для ознакомления с архитектурой решения 2fa при VPN подключении через RRAS сервер и не предназначен для полноценного использования в продуктовой системе.

1. На сервере, где планируется установка роли RRAS, в Server Manager нажмите на Add roles and features.
   
2. В мастере дойдите до этапа Server Roles и в списке поставьте галочку перед Remote Access.
   
3. Дойдите до этапа Role Services и поставьте галочку перед DirectAccess and VPN (RAS) и, при необходимости, перед Routing.
   
4. Во всех последующих этапах оставьте значения по умолчанию. На последнем этапе нажмите Install, дождитесь установки RRAS роли и выйдите из мастера.
5. После завершения установки в оснастке Server Manager нажмите на флажок с уведомлением, а затем Open the Getting Started Wizard.
   
6. В открывшемся окне выберите Deploy VPN Only.
   
7. В оснастке Routing and Remote Access нажмите правой кнопкой по <Название сервера> (local), а затем Configure and Enable Routing and Remote Access.
   
8. В мастере выберите Custom configuration, а затем на следующем этапе поставьте галочку перед VPN access.
   
   
9. На завершающем этапе нажмите OK в окне с предупреждением и Start service в следующем. После завершения запуска службы нажмите Finish и завершите работу мастера.
   
   
10. В оснастке Routing and Remote Access нажмите правой кнопкой по Ports и откройте Properties.
    
11. Отдельно откройте конфигурацию каждого устройства SSTP, L2TP, PPTP, PPPOE, GRE, нажав на Configure…, и уберите галочку перед Remote access connections (inbound and outbound).
    
    
12. В конфигурации устройства IKEv2 поставьте галочки перед Remote access connections (inbound and outbound) и Demand-dial routing connections (inbound and outbound).
    
13. Базовая конфигурация RRAS сервера завершена. По итогу в окне Ports Properties должно получиться следующее:
    

Настройка на стороне RRAS сервера

Данный этап подразумевает, что на Вашем RRAS сервере уже выполнена базовая настройка. Здесь будет рассматриваться настройка конфигурации на проверку подлинности по RADIUS протоколу - аутентификация будет происходить на стороне NPS сервера с расширением Indeed AM NPS RADIUS Extension. В данной схеме RRAS сервер будет считаться RADIUS клиентом.

1. На RRAS сервере, в оснастке Routing and Remote Access нажмите правой кнопкой на <Имя сервера> (local) и далее на Properties.
   
   
2. Переключитесь на вкладку Security и выберите RADIUS Authentication в Authentication provider/Accounting provider (каждый пункт конфигурируется отдельно по примеру ниже), затем нажмите на Configure… .
   
3. Нажмите на Add… и введите параметры RADIUS сервера:
   1. Server name: 192.168.7.2 (IP - адрес RADIUS сервера)
   2. Shared secret: 12345Qwert! (Общий секрет с RADIUS сервером)
   3. Time-out (seconds): 60 (Рекомендуем поставить значение в 60 секунд)
   4. Initial score: 30
   5. Port: 1812 (для поля Accounting provider будет значение 1813)
      После ввода параметров нажмите OK в окнах с конфигурацией RADIUS сервера.
      
4. Нажмите на Authentication Methods… и в новом окне оставьте выбранным только значение Extensible authentication protocol (EAP), после чего нажмите OK.
   
5. Ниже приведён пример итоговой настройки.
   Примечание:
   Удостоверьтесь, что в поле SSL Certificate Binding добавлен сертификат (на скриншоте Web сертификат на внешнее DNS имя сервера  - rras2.indeed6.local), которому будут доверять RRAS клиенты, иначе при подключении будет возникать ошибка. Здесь также можно указать сертификат, который будет рассматриваться в дальнейшем при сценарии с PEAP.
   
6. Нажмите Apply и OK на всех последующих окнах.

Настройка на стороне Indeed AM сервера

1. Создайте новое приложение в MC консоли. Во вкладке Приложения нажмите кнопку Добавить приложение, в открывшемся окне выберите модуль интеграции NPS RADIUS Extension и задайте название. После чего, нажмите кнопку Создать:
   
   
2. Откройте созданное приложение, укажите IP-адрес RADIUS клиента (тот же самый IP-адрес, что мы указывали в оснастке NPS) и нажмите Сохранить:
   
3. Далее откройте в MC консоли вкладку Политики, выберите политику (либо, если её нет, то создайте, а затем выберите), нажмите кнопку Добавить приложение и выберите созданное ранее приложение:
   
   
4. Откройте добавленное приложение, для поля Метод аутентификации выберите значение из списка Indeed Key и нажмите Сохранить.
   
5. Во вкладке Область действия добавьте пользователей/группу из AD/каталог, которые в дальнейшем будут аутентифицироваться через Indeed AM:
   

Настройка аутентификации по EAP-MSCHAPv2

При данном сценарии пользователь будет входить по доменному логину и паролю.

Настройка на стороне NPS сервера

Настройка политик NPS сервера для работы по EAP-MSCHAPv2 будет осуществляться через мастер конфигурации VPN или Dial-Up в оснастке Network Policy Server.

1. В оснастке Network Policy Server нажмите на NPS (Local), после чего на Configure VPN or Dial-Up.
   
2. Выберите Virtual Private Network (VPN) Connections и задайте имя в поле Name, после чего нажмите Next.
   
3. Нажмите на Add… и задайте параметры для RADIUS клиента:
   1. Friendly name: rras (Имя RADIUS клиента на NPS)
   2. Address (IP or DNS): 192.168.7.13 (IP адрес RRAS сервера)
   3. Shared secret: 12345Qwert! (Общий секрет с RADIUS клиентом)
      После чего нажмите OK и Next.
      
4. Сделайте отмеченным только пункт Extensible Authentication Protocol и выберите из списка Microsoft: Secured password (EAP-MSCHAP v2), после чего нажмите Next.
   
5. Нажмите Add… и выберите пользователей/группу пользователей, которые ранее указывались в MC консоли при настройке на стороне Indeed AM сервера в Области действия, после чего нажмите OK и Next.
   
6. На оставшихся этапах оставьте значения по умолчанию или выполните настройки на Ваше усмотрение. В конце нажмите Finish и перезагрузите NPS сервер.
   

Настройка на стороне RRAS клиента

На стороне RRAS клиента необходимо создать и сконфигурировать VPN соединение.

1. На RRAS клиенте зайдите в настройки Network & Internet во вкладку VPN и нажмите Add a VPN connection.
   
2. Заполните поля и выберите параметры VPN соединения по примеру ниже:
   1. VPN provider: Windows (built-in)
   2. Connection name: RRAS (EAP-MSCHAPv2)
   3. Server name or address: rras2.indeed6.local
   4. VPN type: IKEv2 (В рамках данной инструкции, на стороне RRAS сервера сконфигурирован тип VPN - IKEv2)
   5. Type of sign-in info: User name and password
   6. User name (optional): Admin-indeed
   7. Password (optional): 12345Qwert!
      
      Примечание: при необходимости, на локальной машине добавьте в файл hosts (или AAA-запись на DNS сервере) привязку внешнего DNS имени RRAS к его внешнему IP адресу.
3. В оснастке Network Connections откройте свойства созданного VPN соединения, перейдите во вкладку Security и проверьте поля Type of VPN: IKEv2 и Authentication: Microsoft: Secured password (EAP-MSCHAP v2) (encryption enabled). После чего нажмите OK.
   

Проверка подключения

1. На RRAS клиенте нажмите Connect на настроенном VPN соединении по MSCHAPv2.
   
2. На устройстве в приложении Indeed Key подтвердите Push - уведомление.
   
3. Успешное подключение. В журнале MC консоли и на NPS сервере в оснастке EventViewer должны появиться соответствующие события.
   
   
   

Настройка аутентификации по PEAP

 В данном сценарии пользователь будет входить по персонально выданному сертификату из CA.

Настройка шаблонов сертификатов

Для настройки аутентификации по PEAP понадобятся следующие сертификаты: 

1. Для NPS сервера.
2. Для RRAS сервера.
3. Для пользователя, который будет проходить аутентификацию.

Конфигурация шаблонов для выдачи сертификатов будет выполняться на Windows CA сервере в оснастке Certificate Templates Console.

В рамках данной инструкции сертификаты будут распространяться вручную, но если необходимо, то можно настроить их распространение через GPO.

Настройка шаблона для NPS сервера

1. В оснастке Certificate Templates Console нажмите правой кнопкой на RAS and IAS Server и в списке выберите Dublicate Template.
   
2. Во вкладке Compatibility в списках выберите Windows Server 2016 и Windows 10 / Windows Server 2016.
   
3. Во вкладке General задайте имя шаблона и при необходимости укажите сроки действия сертификатов.
   
4. Во вкладке Security добавьте NPS сервер/группу NPS серверов из AD и выдайте им разрешения Enroll.
   
5. Во вкладке Request Handling поставьте галочку на пункте Allow private key to be exported. После чего нажмите Apply и OK.
   

Настройка шаблона для RRAS сервера

1. В оснастке Certificate Templates Console нажмите правой кнопкой на RAS and IAS Server и в списке выберите Duplicate Template.
   
2. Во вкладке Compatibility в списках выберите Windows Server 2016 и Windows 10 / Windows Server 2016.
   
3. Во вкладке General задайте имя шаблона и при необходимости укажите сроки действия сертификатов.
   
4. Во вкладке Extensions нажмите на Edit…. В последующих окнах нажмите на Add  и выберите IP security IKE intermediate, после чего нажмите OK в текущем и предыдущем окне.
   
5. Во вкладке Security добавьте RRAS сервер/группу RRAS серверов из AD и выдайте им разрешения Enroll.
   
6. Во вкладке Subject Name выберите Supply in the request и в окне с предупреждением нажмите OK.
   
7. Во вкладке Request Handling поставьте галочку на пункте Allow private key to be exported. После чего нажмите Apply и OK.
   

Настройка шаблона для пользователя

1. В оснастке Certificate Templates Console нажмите правой кнопкой на User и в списке выберите Duplicate Template.
   
2. Во вкладке Compatibility в списках выберите Windows Server 2016 и Windows 10 / Windows Server 2016.
   
3. Во вкладке General задайте имя шаблона и при необходимости укажите сроки действия сертификата.
   
4. Во вкладке Cryptography в поле Provider Category выберите из списка Key Storage Provider, ниже выберите Requests must use one of the following providers и поставьте галочку на Microsoft Software Key Storage Provider.
   
5. Во вкладке Security добавьте VPN пользователя/группу VPN пользователей из AD и выдайте им разрешения Enroll и Autoenroll.
   
6. Во вкладке Subject Name уберите галочки с пунктов Include e-mail name in subject name и E-mail name.
   
7. Во вкладке Request Handling поставьте галочку на пункте Allow private key to be exported. После чего нажмите Apply и OK.
   

Распространение сертификатов

Для распространения сертификатов нужно подготовить шаблоны к их выдаче. Для этого на сервере CA в оснастке certsrv.msc нажмите правой кнопкой на Certificate Templates, из списка выберите New, а затем Certificate Template to Issue. Выберите настроенные ранее шаблоны (NPS Server, RRAS Server, VPN User) и нажмите OK.

Распространение сертификата NPS сервера

1. На NPS сервере откройте оснастку certlm.msc. В Personal нажмите правой кнопкой на Certificates, затем на All Tasks и Request New Certificate… .
   
   
2. Дойдите до этапа выбора шаблона и поставьте галочку на шаблоне сертификата для NPS сервера. После чего нажмите на Enroll.
   
3. После выполненных действий сертификат должен появиться в оснастке certlm.msc по пути Personal -> Certificates.

Распространение сертификата RRAS сервера

1. На RRAS сервере откройте оснастку certlm.msc. В Personal нажмите правой кнопкой на Certificates, затем на All Tasks и Request New Certificate… .
   
   
2. Дойдите до этапа выбора шаблона и поставьте галочку на шаблоне сертификата для RRAS сервера и нажмите на More information is required to enroll for this certificate. Click here to configure settings. .
   
   
3. В Subject name выберите из списка Common name, в Alternative name выберите из списка DNS. В обоих полях введите полное внешнее DNS имя RRAS сервера, по которому будут подключаться RRAS клиенты, и нажмите на Add >, после чего на Apply, OK и Enroll.
   
   
4. Если у Вас нет внешнего сертификата, которому RRAS клиент доверял бы по умолчанию, то сертификат изданный на текущем этапе из локального центра сертификации может использоваться на этапе настройки на стороне RRAS сервера. Также для обеспечения доверия нужно предварительно установить корневой сертификат в доверенные центры сертификации на RRAS клиенте.
   

Распространение сертификата пользователя

Перезагрузите любую машину и зайдите в неё под пользователем, который будет RRAS клиентом. В оснастке certmgr.msc по пути Personal->Certificates должен появиться сертификат текущего пользователя. Если сертификат не появился, то выпустите его вручную в оснастке certmgr.msc по примеру выпуска сертификата для NPS сервера.

В рамках данной инструкции необходимо экспортировать сертификат пользователя с закрытым ключом, поскольку машина с которой будет осуществляться подключение находится во внешней сети.

1. Зайдите на любую машину под пользователем, от имени которого будет осуществляться подключение с RRAS клиента, и откройте оснастку certmgr.msc. По пути Personal->Certificates найдите сертификат пользователя.
2. Экспортируйте сертификат пользователя с закрытым ключом в формате, выбрав пункт Yes, export the private key.
   
   
3. На одном из следующих этапов задайте пароль.
   
4. На последующих этапах оставьте все настройки по умолчанию.
5. На RRAS клиенте установите экспортированный ранее сертификат в хранилище Current User, в Personal.
   
   
6. Для обеспечения доверия между RRAS клиентом и RRAS сервером, удостоверьтесь, что на RRAS клиенте в доверенных корневых центрах сертификации установлен корневой сертификат, который указан в пути сертификата пользователя.
   
   

Настройка на стороне NPS сервера

Настройка политик NPS сервера для работы по EAP-MSCHAPv2 будет осуществляться через мастер конфигурации VPN или Dial-Up в оснастке Network Policy Server.

1. В оснастке Network Policy Server нажмите на NPS (Local), после чего на Configure VPN or Dial-Up.
   
2. Выберите Virtual Private Network (VPN) Connections и задайте имя в поле Name, после чего нажмите Next.
   
3. Нажмите на Add… и задайте параметры для RADIUS-клиента:
   1. Friendly name: rras (Имя RADIUS-клиента на NPS)
   2. Address (IP or DNS): 192.168.7.13 (IP адрес RRAS сервера)
   3. Shared secret: 12345Qwert! (Общий секрет с RADIUS клиентом)
      После чего нажмите OK и Next
      
      
4. Сделайте отмеченным только пункт Extensible Authentication Protocol и выберите из списка Microsoft: Protected EAP (PEAP), после чего нажмите Configure… .
   
5. Выберите изданный ранее сертификат для NPS сервера из списка, удалите Secured password (EAP-MSCHAPv2) из поля Eap Types и нажмите Add.
   
6. Выберите Smart Card or other certificate и нажмите OK.
   
7. Нажмите на Smart Card or other certificate, а затем на Edit. В новом окне должен быть указан сертификат для NPS сервера. После чего нажмите OK во всех предыдущих окнах.
   
8. На следующем этапе нажмите Add… и выберите пользователей/группу пользователей, которые ранее указывались в MC консоли при настройке на стороне Indeed AM сервера в Области действия, после чего нажмите OK и Next.
   
9. На оставшихся этапах оставьте значения по умолчанию или выполните настройки на Ваше усмотрение. В конце нажмите Finish и перезагрузите NPS сервер.

Настройка на стороне RRAS клиента

На стороне RRAS клиента необходимо создать и сконфигурировать VPN соединение.

1. На RRAS клиенте зайдите в настройки Network & Internet во вкладку VPN и нажмите Add a VPN connection.
   
2. Заполните поля и выберите параметры VPN соединения по примеру ниже:
   1. VPN provider: Windows (built-in)
   2. Connection name: RRAS (PEAP)
   3. Server name or address: rras2.indeed6.local
   4. VPN type: IKEv2 (В рамках данной инструкции, на стороне RRAS сервера сконфигурирован тип VPN - IKEv2)
      
      Примечание: при необходимости, на локальной машине добавьте в файл hosts (или AAA-запись на DNS сервере) привязку внешнего DNS имени RRAS к его внешнему IP адресу.
      
3. В оснастке Network Connections откройте свойства созданного VPN соединения, перейдите во вкладку Security, проверьте поле Type of VPN: IKEv2 и выберите из списка Authentication: Microsoft: Protected EAP (PEAP) (encryption enabled). После чего нажмите Properties.
   
4. Укажите в пустом поле внутреннее DNS имя NPS сервера, в Trusted Root Certification Authorities выберите корневой сертификат пользователя, в Notifications before connecting выберите из списка Don’t ask user to authorize new servers or trusted CAs, в Select Authentication Method выберите из списка Smart Card or other certificate и нажмите Configure… .
   
5. В новом окне выберите Use a certificate on this computer, в пустом поле укажите внутреннее DNS имя NPS сервера, в Trusted Root Certification Authorities выберите корневой сертификат пользователя, поставьте галочку на Don’t prompt user to authorize new servers or trusted certification authorities. На всех предыдущих окнах нажмите OK.
   

Проверка подключения

1. На RRAS клиенте нажмите Connect на настроенном VPN соединении по PEAP.
   
2. На устройстве в приложении Indeed Key подтвердите Push - уведомление.
   
3. Успешное подключение. В журнале MC консоли и на NPS сервере в оснастке EventViewer должны появиться соответствующие события.