透過「Asus-AC68U」建置「Windows Server 2012 R2」Radius VPN 用戶身份認證。
部署示意圖
1. 伺服器「VPN」配置
PS
建置「VPN」需要使用「雙網卡」達成「NAT」
設定「網路卡」(外部)
設定「網路卡」(內部)
設定「防火牆」
加入「預先定義」路由及遠端存取
選擇「VPN」協定「防火牆」,基本上「全部勾選」即可
選擇「允許連線」
設定完畢,就會看到「Windows」防火牆規則「啟用」
~~~~ 1.1 新增「遠端存取」加入「Direct Access 與 VPN」、「路由」功能 ~~~~
點選「新增角色及功能」
1. 選擇「從伺服器集區選取伺服器」
2. 選擇「VPN」伺服器
選擇「遠端存取」
保持預設值,不做任何「勾選」
選擇「下一步」
新增「DirectAccess 與 VPN (RAS)」、「路由」服務
採用預設值,點選「下一步」
PS
「新增 IIS」功能
採用預設值,點選「下一步」
檢視一下清單,若無誤「安裝」GO
新增「功能」完畢,點選「關閉」
~~~~ 1.2 設定「路由及遠端存取」 ~~~~
新增完畢,在「系統管理工具」點選「路由及遠端存取」
點選「設定和啟用路由及遠端存取」
選擇「虛擬私人網路 (VPN) 存取 和 NAT (V)」
這裡是要選擇「外部」存取介面
點選「從指定範圍的位址」
PS
指定「DHCP」配發範圍
新增「10.0.0.1」網段
設定「10.0.0.1」~「10.0.0.50」範圍
設定完成,點選「下一步」
選擇「啟用基本的名稱及位址服務」
確認一下「設定清單」,點選「下一步」
接下來就是設定「重點」
選擇「是,設定這台伺服器與RADIUS伺服器一起工作」
1. 指向「RADIUS」伺服器,需要使用「FQDN」
2. 輸入「共用密碼」(任意輸入)
確認一下清單
點選「確定」,啟用「DHCP」轉送代理
看到此畫面,就表示「設定」完成
2. 伺服器「Radius」配置
點選「新增角色及功能」
新增「網路原則與存取服務」功能
新增「網路原則伺服器」
新增完畢,在「系統管理工具」找到「網路原則伺服器」
點選「RADIUS 用戶端」新增「VPN」伺服器
1. 輸入「名稱」(任意輸入)
2. 選擇「VPN」位址,請輸入「FQDN」
3. 輸入「共用密碼」就是剛剛在「VPN」伺服器的「共用密碼」
設定完成以後,就會連接成功
接下來,點選「NPS(本機)」
PS
開始設定「Radius」存取規則
點選「虛擬私人網路 (VPN) 連線」
選擇「VPN_Server」
選擇「VPN」加密方式「MS-CHAPV2」、「MS-CHAP」都勾選
設定「允許」VPN 撥號,網域「群組」
採用預設值「下一步」
採用預設值「下一步」
採用預設值「下一步」
採用預設值「下一步」
設定完成,檢視「連線要求原則」就會看到「啟用」規則
檢視「網路原則」就會看到「啟用」規則
3.用戶端「Windows 7」配置
進入「網路共用中心」,選擇「設定新的連線或網路」
點選「連線到工作地點」
選擇「使用我的網際網路連線 (VPN)」
進行「VPN」撥號
輸入「連線」相關「資訊」
連線成功,透過「CMD」輸入「Ipconfig」檢查「是/否」取得「VPN」網段「IP」,大功告成
PS
使用「路由器」記得設定「Public IP」對應「Private IP」轉「Port」設定。
使用「路由器」記得設定「Public IP」對應「Private IP」轉「Port」設定。
參考資料
「51CTO博客」-「思科路由器 配合 域内 Radius 服务器完成VPN 用户身份认证」
「傲笑紅塵」-「架設 RADIUS 伺服器實務」
「MIS的背影」-「Windows 2008 R2 Radius 無線AD整合驗證」
「傲笑紅塵」-「架設 RADIUS 伺服器實務」
「MIS的背影」-「Windows 2008 R2 Radius 無線AD整合驗證」