В статье рассмотрено создание нативного VPN-подключения на ОС Windows 10, с помощью 2FA аутентификации Windows Password + Indeed Key (Push). Проверка Windows Password будет осуществляться через LDAP без использования сертификатов по порту 389.

Ссылки на скачивание приложения Indeed Key:

• App Store
• Google Play
• Huawei AppGallery
• RuStore

Предварительные требования

Со стороны Indeed Cloud:

• Установленный и настроенный LSA для синхронизации пользователей

Со стороны UserGate NGFW:

• Добавлена действующая лицензия;
• созданы и настроены необходимые порты.

1. Настройка FRA

1.1 Добавьте клиента UserGate в clients.conf указав ip адрес и секрет
sudo nano config.ini

client usergate {
ipaddr = <IP/DNS адрес UserGate>
secret = <Сложный секрет для Radius>
}

1.2 Внесите настройки в конфигурационный файл config.ini FRA
sudo nano config.ini

В блоке [connection] укажите адрес облака в параметре sas_address_1, включите strip_netbios_prefix и strip_realm_from_upn, чтобы при входе можно было указывать логин в разных форматах (логин пользователя, UPN и Netbios)

Включите использование блока [preauth] изменив параметр enable и укажите правило для входа по доменному паролю и push-уведомлению в приложении Indeed Key.
rule[] = ;;;p;2 

Включите проверку доменного пароля по LDAP изменив параметр ldap_enable, укажите данные для работы LDAP
ldap_server_1-2 = <DNS/IP домена>
ldap_ssl = no
ldap_port = 389
search_base = <Каталог AD для поиска пользователей>
login = <Сервисная УЗ в формате distinguishedName>
password = <Пароль от сервисной УЗ>

1.3 Запуск контейнера FRA
Если контейнер еще не был запущен, то выполните следующие команды:
docker load -i fra-<версия образа>.tar.gz

docker run -d --network host --name fra --restart always \
-e TZ=Europe/Moscow \
-v <путь до контейнера FRA>/fra/config.ini:/etc/fra/config.ini \
-v <путь до контейнера FRA>/fra/clients.conf:/etc/freeradius/3.0/clients.conf \
-v <путь до контейнера FRA>/fra/logs/radius.log:/var/log/freeradius/radius.log \
-t fra:1.13.110725

Если контейнер уже был запущен, то перезапустите его следующей командой для применения обновленной конфигурации:
docker restart fra

2. Настройка UserGate NGFW

Изменения будут проводиться в веб-консоли UserGate NGFW, во вкладке Настройки.

2.1 Добавление сервера аутентификации

Перейти во вкладку Пользователи и устройства > Серверы аутентификации > Добавить. Заполнить Имя сервера - в примере indeed-radius, хост и порт указывается FRA-сервера:

2.2 Добавление профиля аутентификации

Перейти во вкладку Пользователи и устройства - Профили аутентификации - Добавить. Во вкладке Общие заполнить Название, остальные параметры оставить по умолчанию. В примере профиль назван indeed_vpn:

Во вкладке Методы аутентификации добавить ранее созданный RADIUS-сервер:

2.3 Настройка сети VPN

Перейти во вкладку VPN - Сети VPN - Добавить. Написать произвольное название VPN-сети, например indeed-net:

Во вкладке Сеть написать Диапазон IP-адресов, которые будут выдаваться при подключении по VPN. Диапазон IP в примере 172.17.100.2-172.17.100.100, он был взят из RFC 1918. Машина с UserGate NGFW займёт адрес 172.17.100.1. Также лицензия была выдана на 100 подключений:

Во вкладке Маршруты VPN указан IP-адрес общей подсети, в которой находится развёрнутая система Indeed Cloud и UserGate. В примере это 192.168.137.0/24:

2.4 Настройка сетевой зоны

Перейти во вкладку Сеть - Зоны - Добавить. Создать зону с произвольным имененем, например indeed:

Перейти в Контроль доступа и выбрать сервисы - Ping, DNS, агент аутентификации, VPN, Подключение конечных устройств:

2.5 Настройка сетевых интерфейсов и VPN-туннеля

Перейти во вкладку Сеть - Интерфейсы и добавить в текущий узел кластера сетевой адаптер и VPN-туннель. В добавленном сетевом адаптере выбрать Тип интерфейса Layer 3, Зона - indeed:

Во вкладке Сеть выбрать режим DHCP или статический, если есть определенный адрес. В примере выбран режим DHCP и пункт Получать шлюз по умолчанию:

Для VPN-туннеля Выбрать статус Включено, Зона - indeed:

Во вкладке Сеть выбрать режим Статический, IP интерфейса добавить из диапазона, указанном в пункте 2.3. В примере указан 172.17.100.1:

2.6 Настройка серверного профиля безопасности VPN

Перейти во вкладку VPN - Серверные профили безопасности VPN - Добавить:

• произвольное название, например indeed;
• протокол - IPsec/L2TP;
• режим IKE - Основной;
• общий ключ - ввести ключ (секрет) от Radius-клиента из пункта 1.1;
• общий ключ (повтор) - ввести ключ ещё раз.

Фазы 1 и 2 оставить по умолчанию:

2.7 Настройка серверного правила

Перейти во вкладку VPN - Серверные правила - Добавить:

• выбрать параметр Включено;
• название - VPN-indeed-Auth;
• профиль безопасность VPN - indeed;
• Сеть VPN - indeed-net;
• Профиль аутентификации - indeed_vpn;
• Интерфейс - tunnel4. Здесь выбирается ранее созданный VPN-туннель в пункте 2.5.

Во вкладке Источник выбрать зону indeed:

Остальные вкладки оставить по умолчанию.

3. Создание VPN-профиля на Windows

На машине Windows 10 добавить новое VPN-подключение и заполнить поля:

• название - usergate;
• адресс UserGate NGFW - 192.168.137.188;
• тип VPN подключения - L2TP/IPSec с общим секретным ключом;
• секретный ключ - указать ключ Radius-клиента из пункта 1;
• выбрать Общий метод аутентификации.

4. Проверка работы

Перейти на машину Windows и подключиться к ранее добавленому VPN. Для подключения использовать имя пользователя в формате DOMAIN\username и пароль Windows:

После ввода учетных данных запросится второй фактор - нажать принять и VPN-соединение установится: