1. Эгида: ID
  2. Настройка ресурсов
  3. Настройка VPN
Настройка VPN
Настройка Check Point Настройка Cisco VPN Настройка Cisco ISE Настройка Cisco FTD Настройка Open VPN Настройка Open VPN Access Настройка VMware Horizon Настройка FortiGate Настройка Palo Alto Настройка WatchGuard Настройка Windows VPN с RRAS Настройка UserGate Настройка Ideco VPN Настройка Континент 4 Настройка Mikrotik VPN Настройка Huawei SSL VPN

Настройка Windows VPN с RRAS (Routing and Remote Access Service)

Шаги, необходимые для настройки двухфакторной аутентификации в Windows VPN с RRAS:

Двухфакторная аутентификация для бизнеса Контур.ID

Попробовать бесплатно

Шаг 1

Создание конфигурации ресурса

  1. Зайдите в кабинет администратора.
  2. Перейдите в «Ресурсы» и выберите Windows VPN с RRAS.
  3. Добавьте новую конфигурацию.

  4. Заполните настройки:

    • Название конфигурации: укажите любое имя, например, Kontur.ID.

    • : укажите операционную систему, на которой будет развернут серверный компонент RADIUS.

    • Порт Radius Adapter: укажите порт адреса машины, на которой будет развернут серверный компонент RADIUS.
    • Shared Secret: скопируйте и сохраните секрет  он понадобится для настройки Windows VPN с RRAS.
    • Основной фактор: укажите Active Directory, OTP-код или Radius.
    • Второй фактор: выберите второй фактор  OTP-код или Push/звонок
    • Запрос второго фактора: укажите «У всех» или настройте ограничения по группам пользователей.
    • Саморегистрация пользователей: включите или отключите саморегистрацию.

    • Домен: укажите домен, в котором серверный компонент RADIUS будет проверять логин и пароль.

  5. Нажмите на кнопку «Сохранить и скачать».

В результате вы получите zip-архив, в котором содержится папка с настройками двухфакторной аутентификации.

Файлы конфигурации уже настроены и готовы к использованию для защиты на второй фактор.

Шаг 2

Установка и настройка RRAS

Установка службы

  1. Откройте приложение «Server Manager».

  2. В меню «Manage» выберите «Add Roles and Features Wizard».

  3. В разделе «Server Roles» отметьте «Remote Access» → «Direct Access and VPN (RAS)».

  4. Завершите установку.​

Настройка службы

  1. В «Server Manager», в меню «Tools» выберите «Routing and Remote Access».
  2. Правой кнопкой нажмите на имя сервера, в выпадающем меню выберите «Configure and Enable Routing and Remote Access».
  3. В открывшемся окне выберите пункт «Custom Configuration».
  4. Отметьте пункт «VPN access».

  5. Завершите настройку.

Шаг 3

Настройка протокола подключения

RRAS предлагает несколько протоколов для VPN соединений:

  • PPTP — является устаревшим и небезопасным;
  • L2TP/IPSec и IKEv2 — безопасны, но используют нестандартные порты и ваши пользователи могут испытывать проблемы при подключении из домашних и публичных сетей;
  • SSTP — безопасный протокол, который использует TCP порт 443 (TLS) и является наиболее удачным вариантом. 

В «Server Manager» уберите неиспользуемые протоколы:

  1. В «Server Manager», в меню «Tools» в «Routing and Remote Access» нажмите правой кнопкой на «Ports» и выберите «Properties».
  2. Нажмите «Configure» для каждого типа порта, кроме «SSTP».
  3. Cнимите все флажки.
Шаг 4

Настройка аутентификации

  1. В «Server Manager», в меню «Tools» в «Routing and Remote Access» нажмите правой кнопкой на имени сервера и выберите «Properties».
  2. На вкладке «Security» в качестве Authentication Provider укажите «RADIUS Authentication» и нажмите «Configure».
     
  3. В список RADIUS серверов добавьте новый сервер.

  4. Заполните настройки:

    • Server name: укажите IP-адрес сервера, на котором установлен RADIUS-адаптер.
    • Shared Secret: скопируйте Shared Secret из панели управления Контур.ID или из файла appsettings.json.
    • Timeout: 60 секунд.
    • Port: укажите номер порта, на котором работает RADIUS-адаптер или оставьте по умолчанию: 1812.
    • Always use message authenticator: поставьте флажок.
  5. Сохраните и закройте.
  6. Нажмите на кнопку «Authentication methods» и оставьте один вариант — «Unencrypted password (PAP)».
  7. Нажмите «OK».
Шаг 5

Выбор SSL-сертификата

Для аутентификации сервера и шифрования трафика между клиентом и сервером требуется сертификат. Сертификат выдаётся публичным удостоверяющем центром сертификации. Вы можете купить такой сертификат или получить бесплатно в Let's Encrypt.

  1. В «Server Manager», в меню «Tools» в «Routing and Remote Access» нажмите правой кнопкой на имени сервера и выберите «Properties».
  2. На вкладке «Security» выберите сертификат в разделе «SSL Certificate Binding».
Шаг 6

Настройка клиента

  1. Откройте панель управления Windows.
  2. Перейдите к «Settings» → «Network & Internet» → «VPN» и выберите «Add a VPN connection».
     

  3. Заполните настройки:

    • VPN provider: Windows (in-built).
    • Connection name: произвольное.
    • Server name or address: введите вашего сервера.
    • VPN type: выберите Протокол SSTP.
  4. Перейдите из панели управления к «Network and Sharing Center» и выберите «Change adapter».
  5. Нажмите правой кнопкой мыши на только что созданное соединение и выберите «Properties».
  6. Перейдите на вкладку «Security».
  7. Активируйте «Allow these protocols», затем «Unencrypted password (PAP)».
  8. Нажмите «OK».

Настройка двухфакторной аутентификации в Windows VPN с RRAS завершена.

Двухфакторная аутентификация на ваши ресурсы

Протестируй функциональность бесплатно в течении 2х недель

Попробовать бесплатно

База знаний