Авторизация клиента L2TP+IPsec на Mikrotik через Active Directory возможна только по имя+пароль?

Question

[shaytan]

Имеется настроенная и успешно работающая система из PPTP клиентов, которые авторизуются на Mikrotik в домене Active Directory через Radius.
Подскажите, можно-ли сделать настроить автризацию L2TP+IPsec клиентов на МТ в AD только по имя-пароль?

Answer 1

[Ziptar]

Только по имени+паролю нельзя, для IPsec нужен либо сертификат, либо pre-shared key
И с помощью виндового CMAK "зашить" pre-shared key в "инсталлятор" l2tp-подключения для винды проблем не представляет.

Answer 2

[Клёвый Админ]

Возможна.

1. Поднимаем сервер с ролью NPS, настраиваем на нём политики авторизации
2. Настраиваем связку между этим сервером и микротиком (это радиус)
3. Настраиваем авторизацию PPTP с использованием радиуса.

Ну и гугл же есть

Comments

[shaytan]

PPTP уже работает. Интересует l2tp по имя+пароль.

[Клёвый Админ]

@shaytan а в чём там сложность?

может быть сложность в реализации l2tp на виндовых клиентах (так как в виндовс нет чистого l2tp, есть только l2tp+ipsec) или что то именно с ААА?

[shaytan]

Пока пытаюсь обойтись без preshared key, чтобы только логин+пароль. Да, l2tp в связке с ipsec.

[Клёвый Админ]

support.microsoft.com/kb/310109/ru отключайте IPSec

[Клёвый Админ]

или генерируйте сертификат.