Watchguard VPN-Authentication via Microsoft NPS

Active Directory vorbereiten

1. Eine AD-Gruppe “PPTP-Users” anlegen. (Die Gruppe muss exakt so heißen!)
2. Benutzer welche VPN-Zugang erhalten sollen der eben angelegten Gruppe zuordnen und im Reiter “Dial-In” den Remotezugriff erlauben.

Konfigurieren des NPS

1. Unter Template Management > Shared Secrets ein “Shared Secret” generieren und dieses dokumentieren(!).
2. Unter RADIUS Clients and Servers > RADIUS Clients die Watchguard Firewall anlegen und das im letzten Schritt generierte “Shared Secret” hinterlegen.
3. Unter Policies > Connection Request Policies eine neue Richtlinie mit folgenden Einstellungen erstellen:
   • Type of network access server: “Remote Access Server (VPN-Dial up)”
   • Conditions: NAS Port Type = Virtual (VPN)
   • Authentication Provider: Local Computer
4. Unter Policies > Network Policies eine neue Richtlinie mit folgenden Einstellungen erstellen:
   • Type of network access server: “Remote Access Server (VPN-Dial up)”
   • Grant access if the connection request matches this policy.
   • Conditions: NAS Port Type = Virtual (VPN) UND Windows Groups = DOMAIN\PPTP-Users
   • Constraints: Authentication Methods je nach Anforderung setzen.
   • Settings: Framed-Protocol = PPP und Service-Type = Framed
   • Settings: Encryption nach Anforderung setzen. (“No encryption” sollte natürlich nicht gesetzt sein!)

Konfigurieren der Firewall

1. Policy Manager starten.
2. Das Menu Setup > Authentication aufrufen.
3. Im Tab RADIUS folgende Einstellungen treffen:
   • “Enable RADIUS Server” aktivieren
   • IP-Adresse und Port des NPS eintragen
   • das in Schritt 2 generierte Shared Secret eintragen
4. Im Menu VPN > Mobile VPN > PPTP die Option “Use RADIUS Authentication” aktivieren.