На cisco.com достаточно много материалов для связки VPN client - ACS - AD, но дорогостоящий ACS частично может быть заменен MS IAS. Основная сложность заключается в расширенном методе аутентификации (x-auth), когда сначала аутентифицируется группа, потом она же авторизуется и только после этого проверяются расширенные параметры (логин / пароль из группы). Для наших целей подойдет схема с использованием динамической криптокарты.
Базовую настройку не рассматриваем.
Настройка isakmp / ipsec:
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp client configuration address-pool local VPNpool
# пул адресов можно и не определять (они будут выдаваться из профиля пользователя AD после аутентификации)
crypto isakmp client configuration group VPNclients
key ***
dns 192.168.221.212 192.168.221.105
domain fax.test
firewall are-u-there
include-local-lan
netmask 255.255.255.0
crypto isakmp profile Remote-VPN
match identity group VPNclients
# определяем группу - она авторизуется локально
crypto ipsec transform-set For_VPNclients esp-3des esp-md5-hmac
crypto dynamic-map DYN-KARTA 10
set transform-set For_VPNclients
set isakmp-profile Remote-VPN
reverse-route
# настраиваем параметры ipsec и динамическую карту
Теперь определим, как будет аутентифицироваться каждое подключение:
aaa authentication login IAS-AUTH group radius
aaa authorization network LOCAL-AUTHOR local
Свяжем эти параметры с криптокартой:
crypto map VPN client authentication list IAS-AUTH
crypto map VPN isakmp authorization list LOCAL-AUTHOR
crypto map VPN client configuration address respond
crypto map VPN 10 ipsec-isakmp dynamic DYN-KARTA
Для маршрутизации настроим интерфейс и пул адресов:
interface Loopback0
ip address 172.30.1.254 255.255.255.0
ip local pool VPNpool 172.30.1.2 172.30.1.253
ip route 172.30.1.0 255.255.255.0 Loopback0
# пул и маршрут по-идее не обязательны, но с ними точно работает...
Настроим соединение к IAS'у:
radius-server configure-nas
radius-server host 192.168.221.212 auth-port 1645 acct-port 1646 timeout 20 key 7 ***
Исключим ответы внутренней сети подключившимся клиентам из NAT:
ip access-list extended NAT
deny ip 192.168.221.0 0.0.0.255 172.30.1.0 0.0.0.255
permit ip 192.168.221.0 0.0.0.255 any
Осталось прикрутить карту к интерфейсу:
interface FastEthernet0/1
crypto map VPN
Циска теперь готова к подключению клиентов, а нам нужно настроить IAS и доменые записи.
Для теста был настроен MS Windows Server 2003 Std SP2, несущий функции PDC + DNS + IAS с адресом 192.168.221.212.
Для целей назначения адресов из профиля пользователя повышаем режим работы домена до native 2003, тогда у нас появляются активные поля во вкладке Dial-in профилей доменных пользователей. Создаем группу, которой будет разрешен доступ (например, VPN-clients), включаем нужных пользователей в эту группу, задаем им адреса и указываем, что доступ контролируется политикой.
В IAS настраиваем такую политику:
атрибут Windows Group = VPN-clients
политика "Grant" (Разрешить удаленный доступ)
в профиле изменяем следующие вкладки:
Authentication (оставляем только PAP, SPAP)
Advanced убираем значения по-умолчанию, добавляем свои: Service-Type (6) = Login
Vendor Specific (26) = Cisco (Confirms) = attribute number = 1 (String = shell:priv-lvl=0)
Применяем все изменения.
Подключаем нашу Циску к IAS'у в качестве клиента (Client-Vendor = RADIUS Standart с ключем)
Теперь подключаемся VPN клиентом извне - заранее в поле группы вводим VPNclients / *** (пароль на группу), должно появиться приглашение на вводи имени пользователя и пароля. Далее успешная аутентификация.
P.S. Благодарю ребят с blindhog.net и Аллу Булавину (Cisco TAC) за помощь.
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий