Die VPN-Authentifizierung auf Watchguard Firewalls lässt sich sehr einfach zu einem Windows NPS (Network Policy Server) durchreichen.

Watchguard VPN-Authentication via Microsoft NPS


Active Directory vorbereiten

  1. Eine AD-Gruppe “PPTP-Users” anlegen. (Die Gruppe muss exakt so heißen!)
  2. Benutzer welche VPN-Zugang erhalten sollen der eben angelegten Gruppe zuordnen und im Reiter “Dial-In” den Remotezugriff erlauben.

Konfigurieren des NPS

  1. Unter Template Management > Shared Secrets ein “Shared Secret” generieren und dieses dokumentieren(!).
  2. Unter RADIUS Clients and Servers > RADIUS Clients die Watchguard Firewall anlegen und das im letzten Schritt generierte “Shared Secret” hinterlegen.
  3. Unter Policies > Connection Request Policies eine neue Richtlinie mit folgenden Einstellungen erstellen:
    • Type of network access server: “Remote Access Server (VPN-Dial up)”
    • Conditions: NAS Port Type = Virtual (VPN)
    • Authentication Provider: Local Computer
  4. Unter Policies > Network Policies eine neue Richtlinie mit folgenden Einstellungen erstellen:
    • Type of network access server: “Remote Access Server (VPN-Dial up)”
    • Grant access if the connection request matches this policy.
    • Conditions: NAS Port Type = Virtual (VPN) UND Windows Groups = DOMAIN\PPTP-Users
    • Constraints: Authentication Methods je nach Anforderung setzen.
    • Settings: Framed-Protocol = PPP und Service-Type = Framed
    • Settings: Encryption nach Anforderung setzen. (“No encryption” sollte natürlich nicht gesetzt sein!)

Konfigurieren der Firewall

  1. Policy Manager starten.
  2. Das Menu Setup > Authentication aufrufen.
  3. Im Tab RADIUS folgende Einstellungen treffen:
    • “Enable RADIUS Server” aktivieren
    • IP-Adresse und Port des NPS eintragen
    • das in Schritt 2 generierte Shared Secret eintragen
  4. Im Menu VPN > Mobile VPN > PPTP die Option “Use RADIUS Authentication” aktivieren.