Что такое подключение vpn с ad
Перейти к содержимому

Что такое подключение vpn с ad

  • автор:

Руководство. Развертывание AlwaysOn VPN — настройка инфраструктуры для AlwaysOn VPN

В этом руководстве описано, как развернуть VPN-подключения AlwaysOn для клиентских компьютеров Windows, присоединенных к удаленному домену. Вы создадите пример инфраструктуры, которая показывает, как реализовать процесс VPN-подключения AlwaysOn. Процесс состоит из следующих шагов:

  1. VPN-клиент Windows использует общедоступный DNS-сервер для выполнения запроса разрешения имен для IP-адреса VPN-шлюза.
  2. VPN-клиент использует IP-адрес, возвращенный DNS, для отправки запроса на подключение к VPN-шлюзу.
  3. VPN-сервер также настроен как клиент службы пользователей удаленной проверки подлинности (RADIUS); КЛИЕНТ VPN RADIUS отправляет запрос подключения на сервер NPS для обработки запросов на подключение.
  4. Сервер NPS обрабатывает запрос на подключение, включая авторизацию и проверку подлинности, и определяет, следует ли разрешить или запретить запрос на подключение.
  5. Сервер NPS перенаправит ответ Access-Accept или Access-Deny на VPN-сервер.
  6. Подключение инициируется или завершается на основе ответа, полученного VPN-сервером от сервера NPS.

Необходимые компоненты

Чтобы выполнить действия, описанные в этом руководстве, выполните следующие действия.

  • Вам потребуется доступ к четырем физическим компьютерам или виртуальным машинам (виртуальным машинам).
  • Убедитесь, что учетная запись пользователя на всех компьютерах является членом Администратор istrator или эквивалентна.

Использование удаленного доступа в Microsoft Azure не поддерживается, включая VPN удаленного доступа и DirectAccess. Дополнительные сведения см. в статье о поддержке программного обеспечения сервера Майкрософт для виртуальных машин Microsoft Azure.

Создание контроллера домена

  1. Установите Windows Server на компьютере, на котором будет запускаться контроллер домена.
  2. Установите службы домен Active Directory (AD DS). Подробные сведения о том, как установить AD DS, см. в разделе «Установка служб домен Active Directory».
  3. Повышение уровня windows Server до контроллера домена. В этом руководстве вы создадите новый лес и домен в этом новом лесу. Подробные сведения об установке контроллера домена см. в разделе «Установка AD DS».
  4. Установите и настройте центр сертификации (ЦС) на контроллере домена. Подробные сведения об установке ЦС см. в разделе «Установка центра сертификации».

Создание групповой политики Active Directory

В этом разделе описано, как создать групповую политику на контроллере домена, чтобы члены домена автоматически запрашивали сертификаты пользователей и компьютеров. Эта конфигурация позволяет VPN-пользователям запрашивать и получать сертификаты пользователей, которые автоматически проходят проверку подлинности VPN-подключений. Эта политика также позволяет серверу NPS автоматически запрашивать сертификаты проверки подлинности сервера.

  1. На контроллере домена откройте раздел «Управление групповой политикой».
  2. В области слева щелкните правой кнопкой мыши домен (например, corp.contoso.com). Выберите » Создать объект групповой политики» в этом домене и свяжите его здесь.
  3. В диалоговом окне «Создать объект групповой политики» введите «Имя» введите политику автоматической регистрации. Нажмите ОК.
  4. В левой области щелкните правой кнопкой мыши политику автоматической регистрации. Выберите «Изменить», чтобы открыть редактор управления групповыми политиками.
  5. В редакторе управления групповыми политиками выполните следующие действия, чтобы настроить автоматическую регистрацию сертификата компьютера:
    1. В левой области перейдите к политикам>конфигурации>компьютера Windows Параметры Security Параметры>>Public Key Policies.
    2. В области сведений щелкните правой кнопкой мыши клиент служб сертификатов — автоматическая регистрация. Выберите Свойства.
    3. В диалоговом окне «Свойства автоматической регистрации» в клиенте служб сертификатов выберите «Включена модель конфигурации».
    4. Выберите параметры Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты и Обновлять сертификаты, использующие шаблоны сертификатов.
    5. Нажмите ОК.
    1. В левой области перейдите к политикам>конфигурации>пользователей Windows Параметры Security Параметры>>Public Key Policies.
    2. В области сведений щелкните правой кнопкой мыши клиент служб сертификатов — автоматическая регистрация и выберите свойства.
    3. В диалоговом окне «Свойства автоматической регистрации» в модели конфигурации выберите «Включена» в клиенте служб сертификатов.
    4. Выберите параметры Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты и Обновлять сертификаты, использующие шаблоны сертификатов.
    5. Нажмите ОК.
    6. Закройте редактор управления групповыми политиками.

    Создание сервера NPS

    1. Установите Windows Server на компьютере, на котором будет запускаться сервер NPS.
    2. На сервере NPS установите роль политики сети и службы Access (NPS). Подробные сведения об установке NSP см. в разделе «Установка сервера политики сети».
    3. Зарегистрируйте сервер NPS в Active Directory. Сведения о регистрации сервера NPS в Active Directory см. в разделе «Регистрация NPS» в домен Active Directory.
    4. Убедитесь, что брандмауэры разрешают трафик, необходимый для правильной работы подключений VPN и RADIUS. Дополнительные сведения см. в разделе «Настройка брандмауэров для трафика RADIUS».
    5. Создайте группу серверов NPS:
      1. На контроллере домена откройте Пользователи и компьютеры Active Directory.
      2. В домене щелкните правой кнопкой мыши компьютеры. Выберите «Создать«, а затем выберите «Группа«.
      3. В имени группы введите NPS-серверы, а затем нажмите кнопку «ОК«.
      4. Щелкните правой кнопкой мыши NPS-серверы и выберите пункт «Свойства«.
      5. На вкладке «Члены» диалогового окна «Свойства серверов NPS» нажмите кнопку «Добавить«.
      6. Выберите «Типы объектов», нажмите кнопку «Компьютеры» проверка, а затем нажмите кнопку «ОК«.
      7. Введите имена объектов, которые нужно выбрать, введите имя компьютера сервера NPS. Нажмите ОК.
      8. Закройте окно «Пользователи и компьютеры Active Directory».

      Создание VPN-сервера

      1. Установите Windows Server на компьютере, на котором будет запущен VPN-сервер. Убедитесь, что на компьютере установлены два физических сетевых адаптера: один для подключения к Интернету, а один — для подключения к сети, в которой находится контроллер домена.
      2. Определите, какой сетевой адаптер подключается к Интернету и какой сетевой адаптер подключается к домену. Настройте сетевой адаптер, подключенный к Интернету, с общедоступным IP-адресом, а адаптер, который сталкивается с интрасетью, может использовать IP-адрес из локальной сети.
      3. Для сетевого адаптера, подключающегося к домену, задайте предпочтительный IP-адрес DNS для IP-адреса контроллера домена.
      4. Присоединение VPN-сервера к домену. Сведения о присоединении сервера к домену см. в статье «Присоединение сервера к домену».
      5. Откройте правила брандмауэра, чтобы разрешить UDP-портам 500 и 4500 входящий трафик во внешний IP-адрес, примененный к общедоступному интерфейсу на VPN-сервере.
      6. В сетевом адаптере, подключаемом к домену, включите следующие порты: UDP1812, UDP1813, UDP1645 и UDP1646.
      7. Создайте группу VPN-серверов:
        1. На контроллере домена откройте Пользователи и компьютеры Active Directory.
        2. В домене щелкните правой кнопкой мыши компьютеры. Выберите «Создать«, а затем выберите «Группа«.
        3. В имени группы введите VPN-серверы, а затем нажмите кнопку «ОК«.
        4. Щелкните правой кнопкой мыши VPN-серверы и выберите «Свойства«.
        5. На вкладке «Члены» диалогового окна «Свойства VPN-серверов» нажмите кнопку «Добавить«.
        6. Выберите «Типы объектов», нажмите кнопку «Компьютеры» проверка, а затем нажмите кнопку «ОК«.
        7. Введите имена объектов, которые нужно выбрать, введите имя компьютера VPN-сервера. Нажмите ОК.
        8. Закройте окно «Пользователи и компьютеры Active Directory».
        1. Выберите поставщик проверки подлинности и выберите RADIUS Authentication.
        2. Выберите «Настроить», чтобы открыть диалоговое окно проверки подлинности RADIUS.
        3. Нажмите кнопку «Добавить», чтобы открыть диалоговое окно «Добавить сервер RADIUS».
          1. В поле «Имя сервера» введите полное доменное имя сервера NPS. В этом руководстве сервер NPS является сервером контроллера домена. Например, если имя NetBIOS сервера NPS и сервера контроллера домена — dc1, а доменное имя — corp.contoso.com, введите dc1.corp.contoso.com.
          2. В общем секрете выберите «Изменить», чтобы открыть диалоговое окно «Изменить секрет«.
          3. В поле «Новый секрет» введите текстовую строку.
          4. В поле «Подтверждение нового секрета» введите ту же текстовую строку, а затем нажмите кнопку «ОК«.
          5. Сохраните этот секрет. Это потребуется при добавлении этого VPN-сервера в качестве клиента RADIUS далее в этом руководстве.

          Создание VPN-клиента Windows

          1. Установите Windows 10 или более поздней версии на компьютере, который будет vpn-клиентом.
          2. Присоединение VPN-клиента к домену. Сведения о присоединении компьютера к домену см. в статье «Присоединение компьютера к домену».

          Создание пользователя и группы VPN

          1. Создайте VPN-пользователя, выполнив следующие действия.
            1. На контроллере домена откройте Пользователи и компьютеры Active Directory.
            2. В домене щелкните правой кнопкой мыши «Пользователи«. Выберите Создать. В поле «Имя входа пользователя» введите любое имя входа. Выберите Далее.
            3. Выберите пароль для пользователя.
            4. При следующем входе пользователь должен изменить пароль. установлен флажок Срок действия пароля не ограничен.
            5. Выберите Готово. Оставайтесь открытыми Пользователи и компьютеры Active Directory.
            1. В домене щелкните правой кнопкой мыши «Пользователи«. Выберите «Создать«, а затем выберите «Группа«.
            2. В имени группы введите VPN-пользователей, а затем нажмите кнопку «ОК«.
            3. Щелкните правой кнопкой мыши VPN-пользователей и выберите «Свойства«.
            4. На вкладке «Члены» диалогового окна «Свойства пользователей VPN» нажмите кнопку «Добавить«.
            5. В диалоговом окне «Выбор пользователей» добавьте созданного VPN-пользователя и нажмите кнопку «ОК«.

            Настройка VPN-сервера в качестве клиента RADIUS

            1. На сервере NPS откройте правила брандмауэра, чтобы разрешить входящий трафик портов UDP 1812, 1813, 1645 и 1646.
            2. В консоли NPS дважды щелкните radius-клиенты и серверы.
            3. Щелкните правой кнопкой мыши «Клиенты RADIUS» и выберите «Создать «, чтобы открыть диалоговое окно «Новый клиент RADIUS».
            4. Убедитесь, что выбрано поле «Включить этот клиент RADIUS» проверка.
            5. В понятном имени введите отображаемое имя VPN-сервера.
            6. В поле Address (IP или DNS) введите IP-адрес или полное доменное имя VPN-сервера. Если ввести полное доменное имя, выберите «Проверить , правильно ли имя» и сопоставляется с допустимым IP-адресом.
            7. В общем секрете:
              1. Убедитесь, что выбрано руководство .
              2. Введите секрет, созданный в разделе «Создание VPN-сервера».
              3. Для подтверждения общего секрета повторно введите общий секрет.

              Настройка NPS-сервера в качестве сервера RADIUS

              В этом руководстве сервер NPS устанавливается на контроллере домена с ролью ЦС; и нам не нужно регистрировать отдельный сертификат сервера NPS. Однако в среде, в которой сервер NPS установлен на отдельном сервере, необходимо зарегистрировать сертификат сервера NPS, прежде чем можно будет выполнить эти действия.

              1. В консоли NPS выберите NPS(Local).
              2. В стандартной конфигурации убедитесь, что выбран сервер RADIUS для Подключение подключения или VPN.
              3. Выберите «Настроить VPN» или «Телефонный подключение», чтобы открыть мастер настройки VPN или телефонного подключения.
              4. Выберите Подключение виртуальных частных сетей (VPN) и нажмите кнопку «Далее«.
              5. В поле «Указать телефонный или VPN-сервер» в клиентах RADIUS выберите имя VPN-сервера.
              6. Выберите Далее.
              7. В разделе «Настройка методов проверки подлинности» выполните следующие действия.
                1. Снимите флажок Microsoft Encrypted Authentication версии 2 (MS-CHAPv2).
                2. Выберите расширяемый протокол проверки подлинности.
                3. Для типа выберите Microsoft: Protected EAP (PEAP) (PEAP). Затем нажмите кнопку «Настроить», чтобы открыть диалоговое окно «Свойства защищенного EAP».
                4. Выберите «Удалить «, чтобы удалить защищенный пароль (EAP-MSCHAP версии 2) EAP.
                5. Выберите Добавить. Откроется диалоговое окно «Добавить EAP».
                6. Нажмите кнопку «Смарт-карта» или другой сертификат, а затем нажмите кнопку «ОК«.
                7. Нажмите кнопку «ОК», чтобы закрыть свойства защищенного EAP.
                1. Выберите Добавить. Откроется диалоговое окно выбора пользователей, компьютеров, учетных записей служб или групп.
                2. Введите VPN-пользователей, а затем нажмите кнопку «ОК«.
                3. Выберите Далее.

                Следующие шаги

                Теперь вы создали образец инфраструктуры, которую вы готовы настроить центр сертификации.

                • Руководство по развертыванию AlwaysOn VPN: настройка шаблонов центра сертификации
                • Устранение неполадок постоянно подключенного VPN-профиля

                Запуск VPN соединения до входа в Windows

                date

                10.11.2023

                user

                itpro

                directory

                PowerShell, Windows 10, Windows 11, Windows Server 2019

                comments

                комментариев 18

                По умолчанию встроенный VPN клиент Windows позволяет подключиться к VPN серверу только после входу пользователя в систему. Это создает проблемы для компьютеров/ноутбуков, которые состоят в домене Active Directory и подключаются к доменной сети через VPN. Конечно, пользователь может войти на свой компьютер под кэшированными учетными данными домена (cached credentials) и после этого запустить VPN. Но у такого пользователей постоянно будут появляться проблемы с доступом к общим сетевым папкам и другим доменным ресурсам (особенно после смены пароля в домене).

                �� Онлайн-курс по устройству компьютерных сетей
                На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

                Windows позволяет установить подключение с VPN серверу до входа пользователя в систему. В этом случае пользователь после установления VPN подключения выполнит полноценную аутентификацию на контроллере домена AD.

                В предыдущих версиях Windows это можно было реализовать с помощью опции “Allow other people to use this connection” в настройках VPN подключения. Но в современных версиях Windows 10 и 11 эта опция отсутствует.

                VPN подключение - опция Allow other people to use this connection

                В новых версиях Windows можно создать общее VPN подключения из командной строки PowerShell. Например, для L2TP VPN подключения с общим ключом используется команда:

                Add-VpnConnection -Name WorkVPN_L2TP -ServerAddress x.x.x.x -TunnelType L2TP -L2tpPsk «str0ngSharedKey2» -EncryptionLevel Required -AuthenticationMethod MSChapv2 -RememberCredential -AllUserConnection $true –PassThru

                Особенности использования L2TP/IPsec VPN подключений в Windows.

                В данном случае опция -AllUserConnection $true позволяет создать VPN подключение, которое доступно всем пользователям Windows, в том числе на экране входа.

                Чтобы создать другие типы VPN подключений (PPTP, SSTP, IKEv2), обратитесь к примерам использования командлета Add-VpnConnection в статье “Управление VPN подключениями в Windows из PowerShell”.

                В дальнейшем вы можете изменить настройки общего VPN подключения из графического интерфейса панели управления (ncpa.cpl).

                Если VPN подключение уже создано в вашем профиле, вы можете сделать его общим, скопировав файл rasphone.pbk из каталога %userprofile%\AppData\Roaming\Microsoft\Network\Connections\PBK в C:\ProgramData\Microsoft\Network\Connections\PBK .

                rasphone.pbk скопировать VPN подключение для всех пользователей

                Теперь на экране входа в Windows нужно нажать значок сетевого подключения в правом нижнем углу.

                VPN подключение на экране входа в Windows

                Введите имя и пароль пользователя для VPN подключения.

                Имя и пароль пользователя для L2TP подключения до входа в Windows

                После этого ваш компьютер должен установить подключение, и вы можете войти в Windows под своей доменной учетной записью.

                Подключиться к VPN до входа пользователя в Windows

                Если VPN подключение прервется, пользователь может самостоятельно переподключиться из панели управления (или настроить автоматическое переподключение к VPN).

                �� Онлайн-курс по устройству компьютерных сетей
                На углубленном курсе «Архитектура современных компьютерных сетей» вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

                Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

                Читайте далее в разделе PowerShell Windows 10 Windows 11 Windows Server 2019

                page

                page

                page

                Ищем источник блокировки учетной записи пользователя в Active Directory

                Настройка проброса сетевых портов (порт форвардинг) в Windows

                Установка и настройка сервера обновлений WSUS на Windows Server

                Быстрая настройка FTP-сервера на Windows Server и Windows 10/11

                Что такое подключение vpn с ad

                • Автоматическая настройка VPN соединения
                • Типовые ошибки VPN
                • Настройка VPN соединения MacOS
                • Настройка VPN соединения Windows 7 (SSTP)
                • Настройка VPN соединения Windows 10 (SSTP)
                • Настройка VPN соединения Windows 11 (SSTP)
                • Настройка VPN соединения Windows 11 (L2TP)
                • Настройка VPN соединения Windows 11 (PPTP)
                • Настройка VPN соединения Windows 10 (PPTP, вариант 1)
                • Настройка VPN соединения Windows 10 (PPTP, вариант 2)
                • Настройка VPN соединения Windows 10 (L2TP)
                • Настройка VPN соединения Windows 7
                • Настройка VPN соединения Linux (Ubuntu, PPTP)
                • Настройка VPN соединения Linux (Astra, PPTP))
                • Настройка DNS для VPN на Windows 8/10
                • Настройка VPN соединения Windows XP
                • Настройка VPN соединения на Android (L2TP)
                • Настройка VPN соединения на Android (SSTP)

                Настройка PPTP-подключения к RAS.URFU.RU на устройствах с Windows 10

                1. Откройте «Параметры сети и Интернет»

                2. В открывшемся окне, в центре, внизу выберите пункт «Центр управления сетями и общим доступом»

                3. В окне «Центр управления сетями и общим доступом», нажмите кнопку «Создание или настройка нового подключения к сети»

                4. В окне «Настройка подключения или сети» выберите вариант «Подключение к рабочему месту» и нажмите далее

                4.1 Если у вас уже имеются другие, ранее созданные, VPN-Подключения, то в окне «Подключение к рабочему месту» выберите пункт «Нет, создать новое подключение» и нажмите далее

                4.2 В окне «Подключение к рабочему месту» выберите пункт «Использовать моё подключение к Интернету (VPN)»

                4.3 В строке «Адрес в Интернете» указать RAS.URFU.RU. Имя объекта назначения можно оставить без изменения или изменить на любое удобное для вас. После нажмите кнопку «Создать»

                5. Перейдите в ранее открытое окно «Центр управления сетями и общим доступом» и в левом верхнем углу перейдите в пункт меню «Изменение параметров адаптера»

                6. В открывшемся окне найдите ваше вновь созданное VPN-подключение. Щёлкните по нему правой кнопкой мыши и выберите «свойства».

                7. В открывшемся окне перейдите на вкладку «безопасность»

                7.1 Тип VPN: выберите «Туннельный протокол точка-точка (PPTP)»

                7.2 Шифрование данных: выберите «необязательное (подключиться даже без шифрования)»

                7.3 В пункте «Разрешить следующие протоколы» отметьте только «Протокол Microsoft CHAP версии 2». Сохраните изменения, нажав «ОК».

                Новое подключение создано, вход осуществляется с помощью корпоративной учётной записи. Вызвать подключение вы можете двойным щелчком по его значку.

                Создано / Изменено: 4 декабря 2019 / 15 апреля 2021

                © ФГАОУ ВО «УрФУ имени первого Президента России Б.Н. Ельцина»

                Увидели ошибку?
                выделите фрагмент и нажмите:
                Ctrl + Enter

                Первая линия технической поддержки УрФУ:

                Мы в социальных сетях:

                Первая линия технической поддержки УрФУ

                227-20-70 – заявки на обслуживание.

                Отдел операционного обеспечения Дирекции ИТ

                374-07-42 – счета, оплата, оргвопросы.

                Аутентификация удаленных VPN-клиентов с коммутируемым доступом с помощью сервера AD/LDAP

                Vigor Router поддерживает аутентификацию PPTP/L2TP/SSL Remote Dial-In VPN-подключений с помощью локальной базы данных или внешних серверов аутентификации, включая RADIUS, LDAP/AD и TACACS+. В этой статье объясняется настройка использования внешнего сервера LDAP/AD для проверки подлинности VPN.

                1. Перейдите в Applications >> Active Directory /LDAP . Установите флажок « Enable » и выберите « Bind Type» . Доступны три типа:

                Simple Mode. Обычно это вариант, когда все пользователи находятся в одной папке/уровне на сервере AD/LDAP. Маршрутизатор выполняет только аутентификацию привязки, но не выполняет поиск.

                Anonymous Mode — сначала выполните действие поиска с анонимной учетной записью, а затем выполните аутентификацию привязки. Он используется редко. На самом деле сервер Windows AD по умолчанию отказывается аутентифицировать анонимную учетную запись.

                Regular Mode. Обычно это вариант, когда пользователи находятся в разных подпапках. В основном это то же самое с анонимным режимом, но сервер сначала проверит, есть ли у вас полномочия поиска с аутентификацией по обычному DN и
                обычному паролю. В этом режиме маршрутизатор отправит запрос на привязку с этим обычным DN и обычным паролем на сервер LDAP/AD. После прохождения аутентификации маршрутизатор выполнит поиск, после чего сервер LDAP найдет точное DN пользователя в разных подпапках.

                В этом примере мы будем использовать обычный режим. Предположим, что сервер Draytek LDAP имеет OU People и OU RD1, RD2, RD3 в OU People, а пользователям в OU RD1, RD2, RD3 разрешен доступ к VPN.

                скриншот настройки AD/LDAP на DrayOS

                2. Введите IP-адрес сервера LDAP/AD в Server Address и введите Regular DN и Regular Password . Нажмите OK , после чего Vigor запросит перезагрузку системы .
                Примечание . Если ваш сервер LDAP является сервером Windows AD, всегда используйте cn= для запуска обычное DN.

                скриншот настройки AD/LDAP на DrayOS

                3. Создайте профили сервера LDAP. Перейдите на вкладку Active Directory/LDAP , щелкните номер индекса, чтобы изменить профиль.

                скриншот списка профилей AD/LDAP

                4. Введите имя профиля. И как только сервер аутентифицирует обычное DN/пароль, который использует маршрутизатор, мы можем использовать значок поиска для быстрого ввода Base Distinguished Name . В этом примере мы хотим разрешить пользователям OU RD1, RD2 и RD3 доступ к VPN, поэтому мы выбираем сотрудников OU, которые содержат OU RD1, RD2 и RD3, для Base Distinguished Name. Затем нажмите ОК .

                скриншот настройки AD/LDAP

                5. (Необязательно) DN группы для дополнительной фильтрации. Если указаны и базовое DN, и групповое DN, только пользователи, доступные в обоих путях, могут пройти аутентификацию.

                скриншот настройки AD/LDAP

                6. Настройте маршрутизатор для аутентификации Host-to-LAN VPN с внешним сервером: Перейдите в раздел VPN and Remote Access >> PPP General Setup, в разделе Методы аутентификации PPP включите AD/LDAP и профиль, созданный на предыдущих шагах, и выберите PAP Only как метод аутентификации PPP Dial In.

                скриншот общей настройки DrayOS PPP

                С приведенной выше конфигурацией удаленные клиенты VPN смогут устанавливать VPN с учетными записями пользователей на сервере LDAP.

                1. Существует 4 метода аутентификации PPP: удаленный пользователь с коммутируемым доступом (локальная база данных), RADIUS, AD/LDAP, TACACS+. Когда все они включены, маршрутизатор сначала проверит локальную базу данных, и если она не соответствует ни одной, он перешлет информацию для аутентификации на сервер RADIUS. Затем сервер LDAP/AD, если аутентификация на сервере RADIUS также не удалась.
                2. При использовании сервера LDAP для аутентификации, в качестве ограничения аутентификации LDAP, мы должны выбрать PAP в качестве протокола безопасности при дозвоне через Smart VPN Client, что приведет к установлению PPTP VPN без шифрования; поэтому для большей безопасности рекомендуется использовать аутентификацию RADIUS.
                Исправление проблем

                При использовании сервера Windows AD для аутентификации мы можем проверить привязку учетной записи «vpn-user», запустив ldp.exe. для подключения к контроллеру домена сервера Windows AD, затем выполните простую привязку на сервере AD. Если Simple Bind на сервере AD работает, но VPN по-прежнему не может пройти аутентификацию AD, свяжитесь с нами по адресу support@digitalangel.ru и предоставьте информацию ниже.

                • пакеты wireshark на сервере LDAP/AD
                • скриншоты учетной записи пользователя на сервере AD/LDAP
                • скриншоты конфигураций LDAP/AD на маршрутизаторе
                • Информация об удаленном управлении маршрутизатором
                • Учетная запись/пароль на сервере LDAP/AD для тестирования

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *