راه اندازی VPN server مایکروسافت در پشت VPN Mikrotik
با سلام و احترام
در یک سازمان که تعداد کاربران بیش از 4 هزار است برای دسترسی به ایمیل های سازمان از اکانت VPN Mikrotik استفاده می شود.
حال برای تعداد 300 نفر از این کاربران تصمیم داریم که به منابع داخلی قسمتی از زیرمجموعه سازمان دسترسی داشته باشند.
سناریو که من در ذهن دارم راه اندازی vpn server ویندوزی پشت vpn mikrotik است.... در این سازمان از اکانتینگ Radius استفاده می شود و سوال من اینست که چطور بدون راه اندازی Accounting جداگانه آیا راهی برای ایمپورت کردن یوزرها Radius در VPN مایکروسافت وجود دارد؟؟ و آیا می توان از 4 هزار یوزر موجود در Radisu فقط تعداد 300 نفر مورد نظر را در VPN مایکروسافت ایمپورت کرد؟
وآیا می توان بدون راه اندازی Domain به همین تعداد یوزر 300 نفری که از Radisu ایمپورت شده بر روی فولدر Permission داد؟ و در صورت ممکن چگونه می توان یوزرها را در Local user وارد کردن بدون اینکه بخواهیم دستی User ها را بسازیم چون از پسوردها خبری نداریم!!!!
شاید سوالاتی که من پرسیده باشم درست نباشه !! چون اطلاعات کاملی درباره Radisu ندارم
و هدف دسترسی به فولدر اشتراک گذاشته شده از طریق عبور از vpn mikrotik و دسترسی به vpn مایکروسافت است
ممنون
4 پاسخ
ببخشید ، بهتر نیست به جای درگیر کردن خودتون با RRAS و RADIUS یک FTP Server راه بندازید؟ هم دیگه نیازی به دامین ندارید و هم راحت می تونید Permission تنظیم کنید. پیشنهاد می کنم از Titan FTP Server استفاده کنید.
ممنون
ممنون از ارائه راه حل
من آشنایی با VPN Mikrotik ندارم...سازمان مورد نظر به من گفتن که کاربران 4 هزار کاربر ما با vpn به ایمیل ها دسترسی دارند
و ما می خواهیم به یکی از زیر ساخت های سازمان فقط 300 نفرشون دسترسی به منابع سرور ان زیر مجموعه بدیم....حال اگر vpn mikrotik به سرور FTP ریدایرکت بشه و برنامه ما بتونه فایل درون آن آپلود کنه مشکل حل میشه... و قرار نیست خود کاربران به سرور زیر مجموعه دسترسی داشته باشند قرار است برنامه ای که در اختیارشون است یه سری فایل ها رادر موقع ارسال روی سرور زیر مجموعه ارسال کند...می می خواهیم از بستر امن vpn سازمان که در اختیارشون است استفاده بشه ولی چون vpn سازمان باکسی و سخت افزاریست و مایکروسافتی نیست تصمیم به راه اندازی vpn سرور مایکروسافت بعد از vpn میکروتیک سازمان کردیم.. حال مسئله ایمپورت کردن یوزرها از RAdius سازمان است و ما همچنین بدنبال روشی برای ایمپورت اون 300 کاربر هستیم... و نمی دونیم پسورهاشون چیست که براش ادمین راه اندازی کنیم....به همین دلیل به فکر ایمپورت کردن یوزرها از Radius موجود سازمان کردیم...
من همچنین اطلاعات دقیقی در مورد Radius ندارم که آیا مث Active Directory یوزرها در جایی Store شده و ایا امکان ایمپورت کردن وجود داره؟
در رابطه با RADIUS Server باید بگم این سرور تنها وظیفه اهراز هویت رو بر عهده داره و صد البته یک سری Log های مهم مثل مدت زمان اتصال و ... می تونه بده به شما. در حقیقت وقتی که شما RADIUS را راه اندازی می کنید ، اون را ابتدا باید در Active Directory به اصطلاح Register کنید. در واقع خود این RADIUS از AD به عنوان یک سیستم Accounting استفاده می کنه.
شما که RRAS رو راه می اندازید دو تا اپشن دارید یکی اینکه خود RRAS عهده دار اهراز هویت هست که در این صورت شما باید در سرور RRAS تون اکانت ها رو بسازید.
در حالت دوم سرور RRAS به یک RADIUS Client تبدیل میشه و از RADIUS Server ( که با نصب Role به نام NPS قابل پیاده سازی هست)برای اهراز هویت و خود اون هم از AD استفاده میکنه.
نکته ای که در این جا وجود داره این هست که شما نمی تونید از دو VPN Connection به صورت همزمان استفاده کنیدو یعنی کاربران شما باید یا از VPN میکروتیک یا RRAS استفاده کنند( البته من دقیق سناریو شما رو متوجه نشدم).
بسته به این که از چه نوع VPN ای ( L2TP, PPTP و یا SSTP ) استفاده می کنید ، طراحی شما فرق می کنه و شما حتما باید Destenation Nat هاتون رو در میکروتیک متناسب با پورت های مورد استفاده از هر کدام از پروتکل های بالا بنویسید.
اگر می خواهید امنیت رو بالا ببرید از L2TP/IPsec استفاده کنید و حتما یک Digital Certificate برای اینکار استفاده کنید به جای PreShared Key ( درد سر داره ولی امنیت بالاتره).
امیدوارم تنسته باشم کمکتون کرده باشم.