Что такое подключение vpn с ad
Перейти к содержимому

Что такое подключение vpn с ad

  • автор:

Руководство по развертыванию AlwaysOn VPN — настройка шаблонов центра сертификации

В этой части руководства по развертыванию AlwaysOn VPN вы создадите шаблоны сертификатов и зарегистрируйте или проверьте сертификаты для групп Active Directory (AD), созданных в развертывании AlwaysOn VPN, — настройте среду:

Вы создадите следующие шаблоны:

  • Шаблон проверки подлинности пользователя. С помощью шаблона проверки подлинности пользователя можно улучшить безопасность сертификатов, выбрав обновленные уровни совместимости и выбрав поставщика шифрования Microsoft Platform. С помощью поставщика шифрования Microsoft Platform можно использовать доверенный модуль платформы (TPM) на клиентских компьютерах для защиты сертификата. Обзор доверенного платформенного модуля см. в разделе «Общие сведения о технологии доверенной платформы». Шаблон пользователя будет настроен для автоматической регистрации.
  • Шаблон проверки подлинности VPN-сервера. С помощью шаблона проверки подлинности VPN-сервера вы добавите политику промежуточного приложения IKE (IPsec). Политика промежуточного приложения IKE (IPsec) IKE определяет, как можно использовать сертификат, он может разрешить серверу фильтровать сертификаты, если доступно несколько сертификатов. Так как VPN-клиенты обращаются к этому серверу из общедоступного Интернета, субъекты и альтернативные имена отличаются от имени внутреннего сервера. В результате вы не настроите сертификат VPN-сервера для автоматической регистрации.
  • Шаблон проверки подлинности сервера NPS. С помощью шаблона проверки подлинности сервера NPS вы скопируете стандартный шаблон RAS и серверов IAS и область его для сервера NPS. Новый шаблон сервера NPS включает политику приложения проверки подлинности сервера.

Необходимые компоненты

  1. Завершение развертывания AlwaysOn VPN — настройка среды.

Создание шаблона проверки подлинности пользователя

  1. На сервере ЦС, который в этом руководстве является контроллером домена, откройте оснастку центра сертификации.
  2. В левой области щелкните правой кнопкой мыши шаблоны сертификатов и выберите пункт «Управление«.
  3. В консоли «Шаблоны сертификатов» щелкните правой кнопкой мыши «Пользователь» и выберите » Дублировать шаблон«.

Предупреждение Не нажимайте кнопку «Применить» или «ОК«, пока не завершите ввод сведений для всех вкладок. Некоторые варианты можно настроить только при создании шаблона, если вы выберете эти кнопки перед вводом всех параметров, их нельзя изменить. Например, на вкладке криптографии, если в поле «Категория поставщика» отображается устаревшая криптографическая служба хранилища, она становится отключенной, предотвращая дальнейшие изменения. Единственной альтернативой является удаление шаблона и его повторное создание.

  1. В отображаемом имени шаблона введите проверку подлинности ПОЛЬЗОВАТЕЛЯ VPN.
  2. Снимите сертификат публикации в проверка Active Directory.

Важно! Убедитесь, что выбрано проверка разрешение на чтение. Вам потребуются разрешения на чтение для регистрации.

  1. В центре сертификации выберите Windows Server 2016.
  2. В диалоговом окне «Полученные изменения» нажмите кнопку «ОК«.
  3. В получателе сертификата выберите Windows 10/Windows Server 2016.
  4. В диалоговом окне «Полученные изменения» нажмите кнопку «ОК«.
  1. В категории поставщика выберите «Ключ служба хранилища поставщик«.
  2. Выбор запросов должен использовать один из следующих поставщиков.
  3. Выберите поставщика шифрования платформы Майкрософт и служба хранилища поставщика программного обеспечения Майкрософт.

Создание шаблона проверки подлинности VPN-сервера

  1. В левой области оснастки центра сертификации щелкните правой кнопкой мыши шаблоны сертификатов и выберите «Управление«, чтобы открыть консоль «Шаблоны сертификатов».
  2. В консоли шаблонов сертификатов щелкните правой кнопкой мыши RAS и сервер IAS и выберите «Дублировать шаблон«.

Предупреждение Не нажимайте кнопку «Применить» или «ОК«, пока не завершите ввод сведений для всех вкладок. Некоторые варианты можно настроить только при создании шаблона, если вы выберете эти кнопки перед вводом всех параметров, их нельзя изменить. Например, на вкладке криптографии, если в поле «Категория поставщика» отображается устаревшая криптографическая служба хранилища, она становится отключенной, предотвращая дальнейшие изменения. Единственной альтернативой является удаление шаблона и его повторное создание.

  1. Выберите «Политики приложений», а затем нажмите кнопку «Изменить«.
  2. В диалоговом окне «Изменение расширений политик приложений» нажмите кнопку «Добавить«.
  3. В диалоговом окне «Добавление политики приложений» выберите промежуточный IKE ip-безопасности, а затем нажмите кнопку «ОК«.
  4. Нажмите кнопку «ОК «, чтобы вернуться в диалоговое окно «Свойства нового шаблона «.
  1. Выберите Добавить.
  2. В диалоговом окне выбора пользователей, компьютеров, учетных записей служб или групп введите VPN-серверы, а затем нажмите кнопку «ОК«.
  3. В группе или именах пользователей выберите VPN-серверы.
  4. В разделе «Разрешения для VPN-серверов» выберите «Регистрация » в столбце «Разрешить «.
  5. В группе или именах пользователей выберите RAS и серверы IAS, а затем нажмите кнопку «Удалить«.
  1. Выберите «Предоставить» в запросе.
  2. В диалоговом окне предупреждения «Шаблоны сертификатов» нажмите кнопку «ОК«.

Создание шаблона проверки подлинности сервера NPS

  1. В левой области оснастки центра сертификации щелкните правой кнопкой мыши шаблоны сертификатов и выберите «Управление«, чтобы открыть консоль «Шаблоны сертификатов».
  2. В консоли шаблонов сертификатов щелкните правой кнопкой мыши RAS и сервер IAS и выберите «Дублировать шаблон«.

Предупреждение Не нажимайте кнопку «Применить» или «ОК«, пока не завершите ввод сведений для всех вкладок. Некоторые варианты можно настроить только при создании шаблона, если вы выберете эти кнопки перед вводом всех параметров, их нельзя изменить. Например, на вкладке криптографии, если в поле «Категория поставщика» отображается устаревшая криптографическая служба хранилища, она становится отключенной, предотвращая дальнейшие изменения. Единственной альтернативой является удаление шаблона и его повторное создание.

  1. Выберите Добавить.
  2. В диалоговом окне выбора пользователей, компьютеров, учетных записей служб или групп введите серверы NPS, а затем нажмите кнопку «ОК«.
  3. В группе или именах пользователей выберите NPS-серверы.
  4. В разделе «Разрешения для серверов NPS» выберите «Регистрация » в столбце «Разрешить «.
  5. В группе или именах пользователей выберите RAS и серверы IAS, а затем нажмите кнопку «Удалить«.

Регистрация и проверка сертификата пользователя

Так как вы используете групповую политику для автоматической регистрации сертификатов пользователей, необходимо обновить политику, а Windows 10 автоматически зарегистрирует учетную запись пользователя для правильного сертификата. Затем вы можете проверить сертификат в консоли сертификатов.

Чтобы проверить сертификат пользователя, выполните следующие действия.

  1. Войдите в VPN-клиент Windows в качестве пользователя, созданного для группы «Пользователи VPN».
  2. Нажмите клавишу Windows + R, введите gpupdate /force и нажмите клавишу ВВОД.
  3. В меню введите certmgr.msc и нажмите клавишу ВВОД.
  4. В оснастке «Сертификаты» в разделе «Личные» выберите «Сертификаты«. Сертификаты отображаются в области сведений.
  5. Щелкните правой кнопкой мыши сертификат с текущим именем пользователя домена, а затем нажмите кнопку «Открыть«.
  6. На вкладке «Общие » убедитесь, что дата, указанная в разделе «Допустимый» с сегодняшней даты. Если это не так, возможно, вы выбрали неправильный сертификат.
  7. Нажмите кнопку «ОК» и закройте оснастку «Сертификаты».

Регистрация и проверка сертификата VPN-сервера

В отличие от сертификата пользователя, необходимо вручную зарегистрировать сертификат VPN-сервера.

Чтобы зарегистрировать сертификат VPN-сервера, выполните следующие действия.

  1. На меню VPN-сервера введите certlm.msc, чтобы открыть оснастку «Сертификаты» и нажмите клавишу ВВОД.
  2. Щелкните правой кнопкой мыши «Личная», выберите «Все задачи «, а затем выберите «Запросить новый сертификат «, чтобы запустить мастер регистрации сертификатов.
  3. На странице «Перед началом работы» нажмите кнопку «Далее«.
  4. На странице «Выбор политики регистрации сертификатов» нажмите кнопку «Далее«.
  5. На странице «Сертификаты запросов» выберите проверку подлинности VPN-сервера.
  6. В поле проверка VPN-сервера выберите дополнительные сведения, необходимые для открытия диалогового окна «Свойства сертификата».
  7. Выберите вкладку «Тема» и введите следующие сведения: В разделе «Имя субъекта»:
    1. В поле «Тип» выберите общее имя.
    2. В поле Value введите имя внешнего домена, который клиенты используют для подключения к VPN (например, vpn.contoso.com).
    3. Выберите Добавить.

    Чтобы проверить сертификат VPN-сервера, выполните следующие действия.

    1. В оснастке «Сертификаты» в разделе «Личные» выберите «Сертификаты«. Перечисленные сертификаты должны отображаться в области сведений.
    2. Щелкните правой кнопкой мыши сертификат с именем VPN-сервера и нажмите кнопку «Открыть«.
    3. На вкладке «Общие » убедитесь, что дата, указанная в разделе «Допустимый» с сегодняшней даты. Если это не так, возможно, вы выбрали неправильный сертификат.
    4. На вкладке «Сведения» выберите «Расширенное использование ключей» и убедитесь, что в списке отображается промежуточная проверка подлинности IKE для IP-адресов и серверной проверки подлинности .
    5. Нажмите кнопку «ОК» , чтобы закрыть сертификат.

    Регистрация и проверка сертификата NPS

    Так как вы используете групповую политику для автоматической регистрации сертификатов NPS, необходимо обновить политику, а Windows Server автоматически зарегистрирует сервер NPS для правильного сертификата. Затем вы можете проверить сертификат в консоли сертификатов.

    Чтобы зарегистрировать сертификат NPS, выполните следующие действия.

    1. На меню сервера NPS введите certlm.msc, чтобы открыть оснастку «Сертификаты» и нажмите клавишу ВВОД.
    2. Щелкните правой кнопкой мыши «Личная», выберите «Все задачи «, а затем выберите «Запросить новый сертификат «, чтобы запустить мастер регистрации сертификатов.
    3. На странице «Перед началом работы» нажмите кнопку «Далее«.
    4. На странице «Выбор политики регистрации сертификатов» нажмите кнопку «Далее«.
    5. На странице «Сертификаты запросов» выберите проверку подлинности сервера NPS.
    6. Выберите Зарегистрировать.
    7. Выберите Готово.

    Чтобы проверить сертификат NPS, выполните следующие действия.

    1. В оснастке «Сертификаты» в разделе «Личные» выберите «Сертификаты«. Перечисленные сертификаты должны отображаться в области сведений.
    2. Щелкните правой кнопкой мыши сертификат с именем сервера NPS и нажмите кнопку «Открыть«.
    3. На вкладке «Общие » убедитесь, что дата, указанная в разделе «Допустимый» с сегодняшней даты. Если это не так, возможно, вы выбрали неправильный сертификат.
    4. Нажмите кнопку «ОК» и закройте оснастку «Сертификаты».

    Следующие шаги

    • Руководство по развертыванию AlwaysOn VPN: настройка VPN-подключений клиента Windows AlwaysOn
    • Устранение неполадок постоянно подключенного VPN-профиля

    Как правильно подключить клиентские компьютеры через vpn к AD?

    На данный момент имею сеовер с AD (ad, dns, dhcp). Внутри сети все работает все отлично! Но есть необходимость подключить к AD несколько удаленных компьютеров. Шлюз микротик, сейчас на нем поднят l2tp+IPSec , на других концах тоже микротики, клиентами. По ip адресам доступ к компам есть , а вот по имени нет. Соответственно, без этого не получается подключить AD. Порты в firewall открыты (необходимые для AD).

    • Вопрос задан более трёх лет назад
    • 4396 просмотров

    Защита удаленного доступа к корпоративной сети с OpenVPN, ActiveDirectory и двухфакторной аутентификацией

    Любой удаленный доступ к конфиденциальным ресурсам должен быть защищен, а именно:

    • необходимо провести строгую аутентификацию пользователя при подключении;
    • необходимо создать зашифрованный канал доступа к сети.

    Для решения этих задач будем использовать связку из трех компонентов:

    1. OpenVPN — широко известный, бесплатный VPN сервер, который создает зашифрованный туннель между пользователем и сервером, что обеспечивает конфиденциальность дистанционной работы.
    2. Active Directory в качестве поставщика учетных записей, чтоб не пришлось дублировать пользователей на сервере OpenVPN и раздавать новые пароли.
    3. Мультифактор для двухфакторной аутентификации.

    Для настройки вам потребуется домен Active Directory, отдельный Linux сервер с установленным OpenVPN и подписка на сервис Мультифактор. Также необходимы минимальные навыки администрирования Linux и Windows серверов.

    Схема работы​

    1. Пользователь подключается к VPN, вводит логин и пароль учетной записи.
    2. OpenVPN по протоколу RADIUS подтверждает корректность логина и пароля в Active Directory.
    3. Мультифактор присылает на телефон пользователя запрос для подтверждения доступа: push в Телеграм или звонок на который необходимо ответить и нажать #.
    4. Пользователь подтверждает запрос и подключается к VPN.

    Настройка Мультифактора​

    Зайдите в систему управления Мультифактором, создайте новый ресурс «OpenVPN». После создания вам будут доступны два параметра: NAS Identifier и Shared Secret они понадобятся для дальнейшей настройки.

    Настройка Active Directory​

    Загрузите и установите компонент Multifactor Radius Adapter. Компонент работает в качестве RADIUS сервера, получает запросы от OpenVPN и проверяет логин и пароль пользователя в домене.

    Параметры компонента​

    Параметры работы компонента хранятся в файле MultiFactor.Radius.Adapter.exe.config в формате XML.

      add key="adapter-server-endpoint" value="192.168.0.1:1812"/>   add key="radius-shared-secret" value=""/>   add key="first-factor-authentication-source" value="ActiveDirectory"/>   add key="active-directory-domain" value="domain.local"/>   add key="active-directory-group" value="VPN Users"/>   add key="multifactor-api-url" value="https://api.multifactor.ru"/>   add key="multifactor-nas-identifier" value=""/>   add key="multifactor-shared-secret" value=""/>

    Запуск компонента​

    Компонент может работать в консольном режиме или в качестве службы Windows. Для запуска в консольном режиме достаточно запустить приложение.

    Для установки, как Windows Service, выполните с ключом /i от имени Администратора

    MultiFactor.Radius.Adapter.exe /i

    Что такое клиент VPN и как его настроить на роутере TP‑Link

    VPN (виртуальная частная сеть) обеспечивает удалённый безопасный доступ в интернет путём использования туннелей. VPN шифрует личные данные и скрывает IP-адрес от внешнего мира при использовании интернета, чтобы никто не знал, какие сайты вы посещаете и чем вы на них занимаетесь.

    Для чего нужен клиент VPN?

    Хотите посетить сайт так, чтобы об этом никто не знал? Боитесь, что интернет-провайдер тайно использует ваши данные в своих целях? Нужен домашний доступ к офисным сетевым ресурсам? VPN — ответ на все эти вопросы.

    Где можно скачать клиент VPN?

    Для подключения к серверу VPN на устройстве должен быть установлен клиент VPN. При поиске клиента VPN можно найти много разных программ: некоторые — платные, некоторые — бесплатные. Иногда на устройствах уже есть встроенный клиент VPN (например, компьютеры Windows оснащены клиентом VPN) — к таким устройствам относятся и новые роутеры TP-Link.

    Преимущества клиентов VPN на роутерах TP-Link

    Нет необходимости устанавливать ПО на каждом устройстве

    В отличие от обычных программ VPN, клиенты VPN на роутерах TP-Link позволяют подключённым к сети устройствам подключаться к серверам VPN без необходимости установки клиента VPN на каждом устройстве.

    Работают с большинством сторонних серверов VPN

    Клиент VPN на роутерах TP-Link работает с серверами VPN TP-Link и большинством сторонних серверов VPN, включая Surfshark, NordVPN, Mullvad VPN, ProtonVPN, ExpressVPN, PrivateTunnel, OVPN.com и PIA.

    При изменении вышеперечисленными сервисами VPN своих параметров или протоколов, для их дальнейшей работы может потребоваться обновление прошивки роутера.

    Нет ограничений

    У некоторых сервисов VPN могут быть ограничения — например, может быть ограничено максимальное число устройств, одновременно использующих VPN. С клиентом VPN на роутере TP-Link таких ограничений не будет — нужно лишь использовать одну учётную запись на всех устройствах.

    Обеспечивают защиту для устройств умного дома

    Многие устройства умного дома снижают уровень безопасности и повышают риск утечки личных данных, однако на новых роутерах TP-Link используется система безопасности HomeShield, обеспечивающая защиту устройств IoT в режиме реального времени. В дополнение к этому можно использовать подключение VPN, чтобы скрыть свои умные устройства от внешнего мира и создать дополнительный уровень защиты.

    Роутеры TP-Link, на которых есть клиент VPN

    Настройка клиента VPN на роутере позволит вам стать «невидимкой» в интернете и обеспечит полную анонимность: IP-адреса ваших устройств будут скрыты, а сеть — надёжно зашифрована. При использовании VPN отследить какие-либо ваши действия будет невозможно.

    Вот некоторые из роутеров TP-Link, на которых есть клиент VPN: Archer AX20, Archer AX55, Archer AX73 и Archer AX90.

    Как подключиться к серверу VPN на роутере TP-Link

    Выполните вход в веб-интерфейс роутера, настройте подключение VPN и выберите устройства, для которых нужно создать подключение VPN.

    Похожие публикации:
    1. Как на mac дублировать экран
    2. Как подключить флешку к смартфону xiaomi
    3. Как система 1с предприятие выполняет обращение к ссылочным данным
    4. Как убрать placeholder при фокусе

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *