Настройка Mikrotik VPN с шифрованием MS‑CHAPv2

Для правильной работы двухфакторной аутентификации RADIUS-адаптера в данном случае нужно настроить схему с внешним радиусом. Шаги, необходимые для настройки Mikrotik VPN с использованием протокола шифрования MS-CHAPv2:

Двухфакторная аутентификация для бизнеса Контур.ID

Попробовать бесплатно

Создание конфигурации ресурса

1. Зайдите в кабинет администратора.
2. Перейдите в «Ресурсы» и выберите Mikrotik.
3. Добавьте новую конфигурацию.

4. Заполните настройки:

   • Название конфигурации: укажите любое имя, например, Kontur.ID.

   • Платформа: укажите операционную систему, на которой будет развернут серверный компонент RADIUS.

   • Порт Radius Adapter: укажите порт адреса машины, на которой будет развернут серверный компонент RADIUS.
   • Shared Secret: скопируйте и сохраните секрет — он понадобится для настройки Mikrotik.
   • Основной фактор: укажите Radius.
     • IP-адрес внешнего Radius сервера: укажите IP-адрес, на котором развернут Network Policy Server.
     • Порт внешнего Radius сервера: укажите номер порта, на котором развернут Network Policy Server.
   • Второй фактор: выберите второй фактор Push/звонок. 
   • Запрос второго фактора: укажите «У всех» или настройте ограничения по группам пользователей.
   • Саморегистрация пользователей: включите или отключите саморегистрацию.

   • Домен: укажите домен, в котором серверный компонент RADIUS будет проверять логин и пароль.

5. Нажмите на кнопку «Сохранить и скачать».

В результате вы получите zip-архив, в котором содержится папка с настройками двухфакторной аутентификации.

Файлы конфигурации уже настроены и готовы к использованию для защиты на второй фактор.

Настройка Network Policy Server

1. В NPS добавьте RADIUS-адаптер в качестве RADIUS-клиента. У VPN, RADIUS-адаптер и NPS должен быть один и тот же SharedSecret. Откройте «Network Policy Server» → «Radius Clients and Servers» → «Radius Clients» → «New».

   

2. Заполните настройки в RADIUS-адаптера:

   • Friendly Name: Kontur.ID.

   • Shared Secret: скопируйте Shared Secret из кабинета администратора Контур.ID или из файла appsettings.json.

     

3. Создайте или дополните текущую Сетевую политику (Network Policies).

   При добавлении Client Friendly Name в политику необходимо убедиться, что он присутствует только в одном экземпляре. Наличие двух различных Client Friendly Name, которые ссылаются на разные RADIUS-клиенты, приведёт к неработоспособности схемы.

   
   
   Для этого:
   • Conditions: выберите «Client Friendly Name».

   • Radius Clients: укажите имя, которое ранее создавали.
     ​

     

Настройка MikroTik

Настройка RADIUS-сервера

1. Зайдите в средство управления RouterOS, например, с помощью утилиты WinBox.
2. В боковом меню выберите вкладку «RADIUS».
   ​

   

3. Добавьте новый RADIUS-сервер. Для этого нажмите кнопку «Add New».
   ​

   

4. Заполните настройки:

   • Service: ppp, ipsec, login.

   • Address: укажите IP сервера, на котором установлен RADIUS-адаптер.

   • Protocol: udp.

   • Secret: скопируйте Shared Secret из кабинета администратора Контур.ID или из файла appsettings.json.

   • Authentication Port: укажите порт, на котором работает RADIUS-адаптер или оставьте настройки порта по умолчанию: 1812.

   • Timeout: укажите 60000 ms или выше.

5. Нажмите «OK».

Настройка аутентификации

1. В WinBox в боковом меню перейдите на вкладку «PPP».
   ​

   

2. Выберите вкладку «Interface».
3. Перейдите на вкладку с сервером, в зависимости от того, какой вы используете.

4. В разделе «Authentication» убедитесь, что отмечены галочки с протоколами «mschapv1», «mschapv2».
   ​

   

5. Нажмите «OK».

Настройка секрета

1. На вкладке «PPP» выберите вкладку «Secrets» и откройте «PPP Authentication & Accounting».
2. Отметьте «Use Radius» и нажмите «OK».
   ​

   

Настройка двухфакторной аутентификации в Mikrotik VPN с шифрованием по протоколу MS-CHAPv2 завершена.