В статье рассмотрено создание нативного VPN-подключения на ОС Windows 10, с помощью 2FA аутентификации Windows Password + Indeed Key (Push).

Оглавление:

• Предварительные требования
• 1 Добавление RADIUS-клиента и политики NPS
• 2 Создание политики NPS
• 3 Настройка UserGate NGFW
• 3.1 Добавление сервера аутентификации
• 3.2 Добавление профиля аутентификации
• 3.3 Настройка сети VPN
• 3.4 Настройка сетевой зоны
• 3.5 Настройка сетевых интерфейсов и VPN-туннеля
• 3.6 Настройка серверного профиля безопасности VPN
• 3.7 Настройка серверного правила
• 4 Создание VPN-профиля на Windows
• 5 Добавление Radius-приложения в Indeed AM Management Console
• 6 Проверка работы

Предварительные требования:

Установлены и настроены продукты Indeed AM:

• сервер Indeed AM 8.2+;
• сервер с ролью "Сервер политики сети" (NPS);
• модуль Indeed AM NPS RADIUS Extension;
• установлены и настроены необходимые провайдеры для используемых средств аутентификации.

Установлен и настроен продукт UserGate NGFW:

• активная лицензия;
• созданы и настроены необходимые порты.

1 Добавление RADIUS-клиента и политики NPS

На NPS-сервере добавить Radius-клиент - заполнить поля IP/DNS машины UserGate NGFW и секрет, его нужно запомнить для дальнейшей настройки:

2 Создание политики NPS

Добавить новую политику с произвольным названием:

Во вкладке Conditions добавить группу пользователей, на которых будет распространятся подключение через UserGate NGFW:

Во вкладке Constraints - Authentication Methods выбрать протокол PAP. Остальные протоколы отключить:

3 Настройка UserGate NGFW

Изменения будут проводиться в веб-консоли UserGate NGFW, во вкладке Настройки.

3.1 Добавление сервера аутентификации

Перейти во вкладку Пользователи и устройства > Серверы аутентификации > Добавить. Заполнить Имя сервера - в примере indeed-radius, хост и порт указывается NPS-сервера:

3.2 Добавление профиля аутентификации

Перейти во вкладку Пользователи и устройства - Профили аутентификации - Добавить. Во вкладке Общие заполнить Название, остальные параметры оставить по умолчанию. В примере профиль назван indeed_vpn:

Во вкладке Методы аутентификации добавить ранее созданный RADIUS-сервер:

3.3 Настройка сети VPN

Перейти во вкладку VPN - Сети VPN - Добавить. Написать произвольное название VPN-сети, например indeed-net:

Во вкладке Сеть написать Диапазон IP-адресов, которые будут выдаваться при подключении по VPN. Диапазон IP в примере 172.17.100.2-172.17.100.100, он был взят из RFC 1918. Машина с UserGate NGFW займёт адрес 172.17.100.1. Также лицензия была выдана на 100 подключений:

Во вкладке Маршруты VPN указан IP-адрес общей подсети, в которой находится развёрнутая система Indeed AM и UserGate. В примере это 192.168.137.0/24:

3.4 Настройка сетевой зоны

Перейти во вкладку Сеть - Зоны - Добавить. Создать зону с произвольным имененем, например indeed:

Перейти в Контроль доступа и выбрать сервисы - Ping, DNS, агент аутентификации, VPN, Подключение конечных устройств:

3.5 Настройка сетевых интерфейсов и VPN-туннеля

Перейти во вкладку Сеть - Интерфейсы и добавить в текущий узел кластера сетевой адаптер и VPN-туннель. В добавленном сетевом адаптере выбрать Тип интерфейса Layer 3, Зона - indeed:

Во вкладке Сеть выбрать режим DHCP или статический, если есть определенный адрес. В примере выбран режим DHCP и пункт Получать шлюз по умолчанию:

Для VPN-туннеля Выбрать статус Включено, Зона - indeed:

Во вкладке Сеть выбрать режим Статический, IP интерфейса добавить из диапазона, указанном в пункте 3.3. В примере указан 172.17.100.1:

3.6 Настройка серверного профиля безопасности VPN

Перейти во вкладку VPN - Серверные профили безопасности VPN - Добавить:

• произвольное название, например indeed;
• протокол - IPsec/L2TP;
• режим IKE - Основной;
• общий ключ - ввести ключ от Radius-клиента из пункта 1;
• общий ключ (повтор) - ввести ключ ещё раз.

Фазы 1 и 2 оставить по умолчанию:

3.7 Настройка серверного правила

Перейти во вкладку VPN - Серверные правила - Добавить:

• выбрать параметр Включено;
• название - VPN-indeed-Auth;
• профиль безопасность VPN - indeed;
• Сеть VPN - indeed-net;
• Профиль аутентификации - indeed_vpn;
• Интерфейс - tunnel4. Здесь выбирается ранее созданный VPN-туннель в пункте 3.5.

Во вкладке Источник выбрать зону indeed:

Остальные вкладки оставить по умолчанию.

4 Создание VPN-профиля на Windows

На машине Windows 10 добавить новое VPN-подключение и заполнить поля:

• название - usergate;
• адресс UserGate NGFW - 192.168.137.188;
• тип VPN подключения - L2TP/IPSec с общим секретным ключом;
• секретный ключ - указать ключ Radius-клиента из пункта 1;
• выбрать Общий метод аутентификации.

5 Добавление Radius-приложения в Indeed AM Management Console

Перейти в MC - Приложения - Добавить - NPS Radius Extension. Указать IP-адрес UserGate NGFW:

Добавить приложение в действущую политику MC:

В методах аутентификации выбрать 2FA:Windows password + Indeed Key (Push):

6 Проверка работы

Перейти на машину Windows и подключиться к ранее добавленому VPN. Для подключения использовать имя пользователя в формате DOMAIN\username и пароль Windows:

После ввода учетных данных запросится второй фактор - нажать принять и VPN-соединение установится: