Настройка двухфакторной аутентификации Windows VPN с Routing and Remote Access Service (RRAS)

Общая информация

В статье описывается настройка службы Microsoft Routing and Remote Access Service (RRAS) для подключения к VPN c двухфакторной аутентификацией.

Применимо к версиям:

• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019

Возможные способы аутентификации:

• Мобильное приложение MultiFactor
• Telegram
• Звонок (нужно принять вызов и нажать #)

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

Схема работы

1. Клиент VPN подключается к RRAS серверу, указывает логин и пароль;
2. RRAS сервер переадресовывает запрос компоненту MultiFactor Radius Adapter;
3. Компонент проверяет логин и пароль пользователя в домене ActiveDirectory и отправляет на телефон пользователя запрос подтверждения входа;
4. Пользователь подтверждает запрос в телефоне и подключается к VPN.

Установка и настройка Routing and Remote Access Service (RRAS)

Установка службы

1. Откройте Server Manager, в меню Manage выберите "Add Roles and Features Wizard".
2. В разделе Server Roles отметьте "Remote Access" -> "Direct Access and VPN (RAS)"
3. Завершите установку.

Настройка службы

1. В Server Manager, в меню Tools выберите "Routing and Remote Access"
2. Правой кнопкой на имени сервера, далее "Configure and Enable Routing and Remote Access"

3. Выберите пункт "Custom Configuration"

4. Далее отметьте пункт "VPN"."

5. Завершите настройку.

Протокол подключения

RRAS предлагает несколько протоколов для VPN соединений: PPTP, L2TP/IPSec и SSTP:

• PPTP является устаревшим и небезопасным;
• L2TP/IPSec и IKEv2 безопасны, но используют нестандартные порты и ваши пользователи могут испытывать проблемы при подключении из домашних и публичных сетей;
• SSTP — безопасный протокол, который использует TCP порт 443 (TLS) и является наиболее удачным вариантом.

Для того, чтоб убрать ненужные протоколы, нажмите правой кнопкой на Ports и выберите Properties. Далее нажмите Configure для каждого типа порта кроме SSTP и снимите все флажки.

Настройка аутентификации

Нажмите правой кнопкой на имени сервера, выберите Properties. Далее на вкладке "Security" в качестве Authentication Provider укажите "RADIUS Authentication" и нажмите "Configure". В список RADIUS серверов добавьте новый сервер:

• Server name: IP адрес компонента MultiFactor Radius Adapter
• Shared Secret: общий секрет с компонентом
• Timout: 60 секунд
• Port: 1812
• Поставьте флажок "Always use message authenticator"

Сохраните и закройте.

Далее нажмите на кнопку "Authentication methods" и оставьте один вариант — "Unencrypted password (PAP)".

Сохраните и закройте.

примечание

По большому счету все предложенные варианты аутентификации в той или иной степени уязвимы, поэтому только использование безопасного протокола подключения (SSTP) защищает от перехвата пароля.

Выбор сертификата сервера

Для шифрования трафика между клиентом и севером, а также аутентификации сервера, необходим сертификат, выданный публичным удостоверяющем центром сертификации. Вы можете купить такой сертификат или получить бесплатно в Let's Encrypt. Как это сделать за 5 минут — читайте в нашей статье.

Выберите сертификат в разделе SSL Certificate Binding

Настройка клиента

Откройте Параметры -> Сеть и интернет -> VPN.

Добавьте новое VPN подключение:

• Поставщик услуг: Windows (встроенные);
• Имя подключения: произвольное;
• Имя или адрес сервера: адрес вашего сервера;
• Тип VPN: Протокол SSTP

Далее перейдите в настройки параметров адаптера, и откройте свойства подключения. На вкладке Безопасность выберите "Разрешить следующие протоколы": Незашифрованный пароль (PAP).

Сохраните и закройте.

Запустите соединение, введите логин и пароль. От Мультифактора придет запрос на телефон с подтверждением

Смотрите также:

• Портал для самостоятельно регистрации 2fa;
• Настройка двухфакторной аутентификации Remote Desktop;
• Настройка двухфакторной аутентификации на сервере CentOS.