Настройка NetUP Radius, NAS и клиентов для работы с VPN.

Все права защищены (c) 2001-2011 NetUP (www.netup.ru)
Перепечатка материалов разрешается только с предварительного разрешения
компании NetUP (info@netup.ru)

Обращаем ваше внимание на то, что информация в данной статье может быть не актуальной.

Схема сетевого комплекса для работы с виртуальными частными сетями (VPN) с авторизацией по протоколу RADIUS. В приведённой модели сервер доступа (NAS) и сервер авторизации RADIUS являются разными машинами, однако, довольно часто встречаются варианты, когда они являются одним физическим сервером.


При этом предоставляться будет услуга типа «IP-трафик» со статическим IP-адресом. Для добавления этой услуги в интерфейсе администратора нужно выбрать раздел «Та­ри­фи­ка­ция, Услуги, Добавить».


Указывается стоимость трафика. Затем данную услугу можно подключить клиенту. При этом необходимо указать IP-адрес, который будет автоматически выдаваться клиенту при подключении по VPN.


Также необходимо добавить в систему сервер доступа, к которому будет осуществляться подключение. Для этого перейдите в раздел «Настройки, Список NAS, Добавить».


Если всё настроено корректно, то при старте utm5_radius на экране должна появиться надпись.

Fetched: 2 IP from 3Group

При успешной авторизации пользователя радиус-сервер должен отобразить текст.

Packet from vpn.test.ru
'a' connecting
CHAP
CHAP Challenge size: 16
Authorized
IP claimed: 0xac12bd13
Reply:
RPacket:
Code: 2; ID: 50
Vendor: 0; Attr: 6 [4]
Vendor: 0; Attr: 7 [4]
Vendor: 0; Attr: 8 [4]
Vendor: 0; Attr: 10 [4]
Vendor: 0; Attr: 12 [4]
Vendor: 0; Attr: 13 [4]
Vendor: 0; Attr: 27 [4]
Size send: 62
Next...
Size: 104; HDR.Size: 104
Acct: Recv...
RPacket:
Code: 4; ID: 112
Vendor: 0; Attr: 1 [1]
Vendor: 0; Attr: 6 [4]
Vendor: 0; Attr: 7 [4]
Vendor: 0; Attr: 8 [4]
Vendor: 0; Attr: 9 [4]
Vendor: 0; Attr: 32 [16]
Vendor: 0; Attr: 40 [4]
Vendor: 0; Attr: 41 [4]
Vendor: 0; Attr: 44 [17]
Vendor: 0; Attr: 50 [0]
Vendor: 0; Attr: 61 [4]

Acct: Packet from vpn.test.ru
Session ID: 23028-a1079623271
Acct: START
Acct: IP: 0xac12bd13
Acct: For user a
Bind: 0xac12bd13: 0xac12bd13
Acct: Reply:
RPacket:
Code: 5; ID: 112
Size send: 20
Acct: Next...

Настройка сервера доступа (NAS)

Настройка в среде FreeBSD

Установите сервер VPN (пакет PoPToP). Его можно установить из поставляемых с дистрибутивом FreeBSD портов. Создайте файл конфигурации /etc/pptpd.conf. Он имеет следующий формат.

option /etc/ppp/ppp.conf
localip 172.16.0.1
pidfile /var/run/pptpd.pid

Создайте файл конфигурации /etc/ppp/ppp.conf. Он имеет такой формат.

loop:
set timeout 0
set device /dev/ppp
local
# Server (local) IP address, Range for Clients, and Netmask
set ifaddr 172.16.0.1 172.16.0.2-254 255.255.255.255
set server /tmp/loop "" 0177
pptp:
load loop
enable chap
#enable mschapv2
#enable pap
set radius /etc/radius.conf

В данном случае включена авторизация CHAP. Строки, включающие авторизацию PAP, MSCHAP-v2 закомментированы. Создайте файл конфигурации /etc/radius.conf.
Он имеет следующий формат.

auth 127.0.0.1:1812 mysecret
acct 127.0.0.1:1813 mysecret

В данном случае указывается, что сервер NetUP RADIUS принимает соединения на адрес 127.0.0.1 (на локальной машине) на портах 1812 и 1813. Секретное слово для общения с сервером RADIUS – mysecret. Запустите сервер VPN:

pptpd

На этом конфигурация сервера доступа на базе FreeBSD закончена. Клиенты могут начать беспрепятственно авторизоваться.

Настройка в среде Linux (на примере RedHat 9.0)

Для обновления пакета ppp необходимо выполнить команды.

cvs -d :pserver:cvs@pserver.samba.org:/cvsroot login cvs
cvs -z5 -d :pserver:cvs@pserver.samba.org:/cvsroot co ppp
cd ppp/
./configure
make
make install

Если сервер CVS недоступен, то можно скачать исходный код программы по следующей ссылке ftp://ftp.samba.org/pub/ppp/ppp-2.4.2.tar.gz.
Далее необходимо выполнить команды:

tar xvfz ppp-2.4.2.tar.gz
cd ppp-2.4.2
./configure
make
make install

Установите сервер VPN (пакет PoPToP). Его можно взять из дистрибутива RedHat, либо загрузить с сервера http://www.poptop.org/.
Создайте файл конфигурации /etc/pptpd.conf. Он имеет следующий формат:

option /etc/ppp/options
localip 172.16.0.1

Создайте файл конфигурации /etc/ppp/options. Он имеет такой формат:

auth
#require-pap
require-chap
#require-mschap-v2
local
172.16.0.1:
plugin radius.so

В данном случае включена авторизация CHAP. Строки, включающие авторизацию PAP, MSCHAP-v2 закомментированы. Внесите корректировки в файл конфигурации /etc/radiusclient/radiusclient.conf. Необходимо внести информацию о вашем сервере RADIUS.

authserver localhost:1812
acctserver localhost:1813

В данном случае указывается, что сервер NetUP RADIUS находится по адресу 127.0.0.1 (на локальной машине) на портах 1812 и 1813. Секретное слово для общения с сервером RADIUS – mysecret указывается в другом конфигурационном файле /etc/radiusclient/servers.

localhost mysecret

Запустите сервер VPN.

pptpd

На этом конфигурация сервера доступа на базе Linux RedHat 9.0 закончена. Если всё выполнено без ошибок, то клиенты должны беспрепятственно авторизоваться.

Настройка в среде Windows

Для настройки VPN в среде Windows (Windows 2000 и Windows 2003) используется служба RRAS (Routing and Remote Access Service). Для ее настройки используется пункт меню (Control Panel | Administrative Tools | Routing and Remote Access service). Выбрав этот пункт, вы попадаете в консоль MMC администрирования данной службы. Вам необходимо нажать правой кнопкой на имя компьютера и выбрать “Configure and Enable Routing and Remote Access” и следовать шагам помощника. После окончания работы помощника будет настроена базовая конфигурация службы RRAS. Для настройки адреса Radius-сервера надо нажать правой кнопкой на имя компьютера, вызвать свойства объекта. На вкладке Security в поле Authentication provider выбрать RADIUS Authentication и нажать кнопку Configure. Далее внести адрес radius-сервера в список и нажать OK. То же самое повторить с полем Radius Accounting.
На этом базовая конфигурация сервера доступа закончена. Для получения более подробной информации пользуйтесь справочной системой консоли RRAS и документацией на сайте http://www.Microsoft.com.

Настройка на Cisco

Примерный вариант конфигурационного файла на маршрутизаторе Cisco, версия IOS - IOS 3600 Software (C3620-IS-M), Version 12.3(3a), RELEASE SOFTWARE (fc2):

!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!

interface Virtual-Template1
ip address 192.168.20.1 255.255.255.0
ip tcp header-compression
ip mroute-cache
no peer default ip address
ppp authentication ms-chap-v2 chap
!
radius-server host 10.0.0.1 auth-port 1812 acct-port 1813
radius-server key secret
!

При этом маршрутизатор будет принимать подключения от клиентов с авторизацией по MS CHAP версии 2 либо CHAP и авторизацией на сервере RADIUS 10.0.0.1.
Активные сессии на маршрутизаторе можно просмотреть, выполнив команду:

Router#show vpdn session
%No active L2TP tunnels
%No active L2F tunnels
PPTP Session Information Total tunnels 1 sessions 1
LocID RemID TunID Intf Username State Last Chg Uniq ID
10 32768 11 Vi3 vpn_netup estabd 00:00:23 9

Настройка компьютера клиента на работу с VPN

Пример приведён для операционной системы windows 2000.
Откройте раздел «Сетевые соединения» («Network Connections»).
Выберите создание нового соединения: «Добавить новое соединение» («Create a new connection»).

 

Выберите тип подключения: VPN.

 

Укажите IP-адрес или имя сервера VPN. Например, vpn.local.

 

Выберите, для кого будет создано соединение: для всех пользователей компьютера или только для текущего пользователя.

 

Выберите, будет ли соединение общим для всех пользователей локальной сети (если соединение устанавливается на сервере локальной сети).

 

Введите название соединения и нажмите кнопку «Finish» для завершения работы мастера.

 

После окончания работы мастера будет создано новое соединение VPN. Для того, чтобы его установить нужно в разделе «Сетевые соединения» дважды кликнуть на него мышкой, затем ввести корректные логин и пароль.