背景介绍:
公司有一个域环境,路由器Wan地址为:a.b.c.d,Lan地址为:192.168.30.1,其余服务器地址如图所示,其中VPN服务器需要2块网卡,第2块网卡的地址为172.16.0.1使用NAT转换通过192.168.30.5访问外网,给使用VPN登陆的客户端指定IP地址为10.0.0.1—10.0.0.100,为了方便管理,实现账号的单一登陆,搭建了Radius服务器,下面就来介绍如何使用思科路由器配合域内Radius服务器完成VPN用户身份认证。
路由器设置:
登陆路由器,首先要允许192.168.30网段通过NAT转换访问外网,并且对域内VPN服务要使用的1723端口进行映射。
1.定义允许的访问列表
router(config)#access-list 1 permit192.168.30.0 0.0.0.255
2.创建1个名为realking的NAT地址池,因为只有1个公网地址,所以起始和结束地址一样
router(config)#ip nat pool realking a.b.c.d a.b.c.d netmask255.255.255.0
3.设置PAT,overload为过载,不加该命令公网的IP地址端口无法复用,
router(configif)#ip natinside source list 1 pool realking overload
如果只有一个公网IP地址的时候可以使用地址池名字也可以使用出接口,即:
router(configif)#ip nat inside source list 1 interface f0/1 overload
4.指定入站方向(内网接口)
router(config)#int f0/1
router(configif)#ip nat inside
5.指定出站方向(公网的接口)
router(config)#int f0/0
router(configif)#ip nat outside
6.在路由器上给VPN服务器开端口映射
router(config)# ip nat inside
source static tcp 192.168.30.5 1723 a.b.c.d 1723
VPN服务器设置:
1.在防火墙打开路由和远程访问端口
2.添加角色选择远程访问,在角色服务里要勾选路由,默认不勾选
3.从服务器管理面板的工具中找到路由远程和访问,选择VPN和NAT
4.指定远程VPN登陆用户的IP地址段
5.选择与Radius服务器一起工作
6.输入Radius服务器的FQDN或者IP地址及共享密钥(该密钥要与Radius服务器上的一致)
Radius服务器设置
1.从服务器角色里安装网络策略和访问服务
2.从服务器管理面板的工具中找到网络策略服务器,新建Radius客户端,将VPN服务器添加进来,此处的共享密钥和VPN服务器上设置的共享密钥保持一致
3.新建一个连接请求策略
4.按照各自的实际情况,选择时间为指定条件
5.选择在此服务器上验证身份
6.选择身份验证的方法,建议勾选CHAP身份验证,XP系统默认使用的是CHAP验证
7.保持空选项,下一步直到完成
客户端设置
1.创建1个新的VPN链接
2.输入公网的IP地址和域用户及密码(注意域用户又允许拨入的权限)
3.链接时选择跳过
4.找到VPN链接,将协议选成PPTP,再次链接就可以正常访问了
5.此时你在VPN服务器上会看到,通过域账户登陆进来的VPN用户了
