Radius сервер и MikroTik: настройка подключения VPN через AD

Настройка клиентского пакета через CMAK

учтите если требуется создание пакета для 32-bit систем, то потребуется установить CMAK на машинке 32bit и на ней проделать те же самые манипуляции

Далее пошаговые скриншоты по созданию пакета

указываем более позднюю windows
указываем более позднюю windows

заходим в настройки

интернет мы через себя раздавать не будем, поэтому галочку снимаем
интернет мы через себя раздавать не будем, поэтому галочку снимаем

Указываем IPsec ключ в раздел и “общий ключ” тот что из раздела настройки Mikrotik (см.выше)

Придумываем ПИН-код для запуска данного приложения, этот пин мы будем сообщать пользователю вместо длинного пароля IPsec. У меня пин это что-то не сложное например:

#You2021Company!, где YouCompany название вашей компании.

И вот тут как раз та заковырочка, здесь мы указываем “батничек” с маршрутом, что бы пользователь прозрачно попадал и работал с той сетью, которую мы хотим ему предоставить.

Вот что указано в нашем route.bat

Если хотите, то можно забрендировать, под стиль компании, указать логитип

Указываем файл-соглашение для пользователя (что-то пугающее, что бы свои пароли никому не разглашали!)

По данному пути у нас создаётся рабочий пакет, запаковываем его в zip и закидываем к себе на сайт, и всех пользователей направляем туда, а так же на сайте можно сделать инструкцию, что бы пользователь мог определить нужен ему 32 или 64битный пакет.

89 вопросов по настройке mikrotik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдёте для себя полезную информацию в курсе «Настройка оборудования MikroTik».

Part 1: enabling mac authentication from radius server in mikrotik wifi ap

MikroTik Wireless Router configuration as WiFi AP was discussed in another article. The default authentication scheme in MikroTik WiFi AP is anyone can connect just knowing SSID and Password. This scheme is obviously not prefer for secure network. So, MAC authentication is the best choice for any wireless network.

MikroTik WiFi AP is now MAC authenticated WiFi AP and the MAC authentication will be checked from RADIUS Server. So, if RADIUS Server allows any MAC address, the device will be allowed to connect to WiFi AP otherwise the device will be rejected.

Похожее:  Не удается установить соединение с сайтом, почему Яндекс.браузер выдает ошибку подключения

Now we have to configure RADIUS client in MikroTik RouterOS so that RouterOS can communicate to RADIUS Server to send and receive authentication, authorization and accounting data.  The following steps will show how to configure RADIUS client in MikroTik RouterOS.

  • From Winbox, click on RADIUS menu item. Radius window will appear.
  • Click on PLUS SIGN ( ) to add a RADIUS Server. New Radius Server window will appear now.
  • Click on wireless checkbox from Service panel.
  • Put RADIUS Server IP address (in this article: 192.168.70.3) in Address input field.
  • Put Shared secret (in this article: 123) in Secret input field and remember it because you have to provide this secret in RADIUS Server Routers configuration.
  • Click Apply and OK button.
  • From RADIUS window, click on Incoming button. RADIUS Incoming window will appear.
  • Click on Accept checkbox and the default port will be 3799. So, nothing to do. Click Apply and OK button.

RADIUS Client configuration in MikroTik RouterOS has been completed. Now MikroTik RouterOS will be able to communicate with the assigned RADIUS Server.

Radius server на базе winsrv 2022 для mikrotik

Mikrotik
Mikrotik logo

В данной статье опишу конфигурацию Радиус сервера, для подключения к нему Mikrotik в качестве клиента.

Данная функция полезна, если у вас есть собственный домен на базе Active Directory, и вы не хотите каждый раз заводить VPN пользователей в ручную. Так же с помощью RADIUS сервера, можно настроить аутентификацию непосредственно на сам Mikrotik с помощью доменных учеток или аутентификацию на Wi-Fi

В общем, штука полезная.

Во время написания статьи все указанные настройки проводил на Windows Server 2022, но думаю она так же актуальна и для Windows Server 2022

Похожее:  Передать показания счетчиков газа - ООО Газпром межрегионгаз в Шумерле (Чувашия): личный кабинет, через интернет-сайт, по телефону

Первое что нам нужно — сам Windows Server, в данной статье не описываю его установку. Думаю, раз вы дошли до этого материала, то развернуть WinSrv и выполнить базовую настройку Mikrotik вы в состоянии.

К делу.

Переходим к добавлению компонентов

  • Диспетчер серверов — Добавить роли и компоненты
  • Далее — Установка Ролей и Компонентов — Выбрать целевой сервер — Службы политики сети и доступы — (Копмпоненты) Далее — Установить
Роли
Выбираем Службы политики сети и доступа

После установки переходим к настройке:

  • Средства — сервер политики сети
  • ПКМ на NPS — Зарегистрировать сервер в Active Directory
Настройка NPS
Зарегистрировать сервер в Active Directory
  • ПКМ на RADIUS-клиенты — Новый документ
    • Устанавливаем флаг «Включит этот RADIUS-клиент»
    • Понятное имя — Указываем понятное имя
    • Адрес (IP или DNS) — указываем IP адрес или DNS имя Mikrotik.
    • Общий секрет — Генерируем и сохраняем себе секретный ключ для обмена Mikrotik и RADIUS-сервера. Или используйте свой вариант ключа.
Свойства RADIUS клиента
Свойства нового клиента Radius
  • Развернуть политики — пкм на «Сетевые политики» — Создать новый документ
    Задаем имя политики
Настройка политики сети
Указываем имя сетевой политики
Настройка методов проверки подлинности
Отключаем не безопасные протоколы
  • Далее — Тип порта NAS — Асинхронная (модем)
Настройка ограничений
Указываем тип порта NAS
  • Далее — Оставляем только Service-Type = Login
Service-type
Service-Type = Login
  • На последнем окошке проверяем что указали правильные параметры и нигде не ошиблись. Клацаем Готово
  • Настраиваем Брандмауэр
    • Правила для входящих подключений — Предопределенные — Сервер политики сети
Настройки Firewall
Сервер политики сети
  • Выбираем правила с портами 1813/udp и 1812/udp
Настройки Firewall
  • Далее — Разрешить подключение.

Переходим к настройке Mikrotik

  • PPP — Secrets — PPP Authentication & Accounting – Use Radius
PPP Authentication & Accounting
  • Переходим в меню Radius и устанавливаем адрес сервера и секретный ключ
Radius client config

На этом настройка завершена. Теперь для подключения VPN можно использовать доменную учётку.

Другие стати по теме:

Настройка firewall

Создаём правило в Микротике

Исключение из NAT L2TP клиентов через ipsec:out не требуется, это актуально только для транзитного трафика и чистого IPsec. Поскольку XFRM lookup выполняется после SNAT, для L2TP клиентов RD выполняется раньше чем SNAT, а после инкапсуляции L2TP в ESP, трафик порождается локально и в SNAT не попадает.”

Похожее:  Мультикарта Привилегия для пенсионеров ВТБ: дебетовая карта банка ВТБ

В основном правиле  s-nat или маскарадинга (у кого настроен частный случай) указываем что  мы "НЕ НАТИМ"!
В основном правиле s-nat или маскарадинга (у кого настроен частный случай) указываем что мы “НЕ НАТИМ”!

Запрещаем взаимодействие сете между собой ip->firewall->вкладка rules, ставим значение действий “drop”.

Вот и всё, теперь можно проверять, закидываем пользователя в доменную группу, скачиваем zip пакет, устанавливаем и пробуем авторизоваться.

Использовал следующие публикации:

Настройка mikrotik radius client

Описывать настройку VPN Server не буду, вы можете воспользоваться уже написанными, причём не важно какой будет туннель PPTP, L2TP, SSTP или OpenVPN (кликнув на ссылку можете посмотреть их настройку).

Обращаю ваше внимание, если вы захотите использовать 2 или более типов туннеля, то нужно внести изменения не только на стороне Mikrotik, но и на стороне сервера политик.

Следующий этап, это настройка роутера в качестве клиента RADIUS. Открываем соответствующее меню слева, и добавляем правило.

  • Нас интересует сервис ppp;
  • Address – адрес сервера аутентификации;
  • Secret – тот самый общий ключ;
  • Src. Address – IP с которого Mikrotik Будет отправлять пакеты на NPS.

Не забываем про правила фаервола

Напоследок включаем заветную галочку в PPP, без которой Mikrotik не побежит на NPS сервер.

У вас может возникнуть вопрос:

Что если у меня уже есть учетки в Secrets по которым уже есть соединения от клиентов?

Тут вы можете пойти по пути переноса их в AD, хотя бы по причине того, что она более стойкая, по отношению к конфигу микротика. Единственное, я бы не делал этого для учеток Site-toSite VPN.

Развёртывание и настройка nps

Для начала его нужно установить. Проще всего это сделать через PowerShell. Откроем оболочку с админ правами и впишем команду

Install-WindowsFeature -Name NPAS -IncludeManagementTools

Ключ IncludeManagementTools означает, что мы устанавливаем инструменты управления тоже.

После установки проверим что роль установилась:

Проверить так же можно через графический интерфейс, открыв диспетчер серверов.

В целях демонстрации я устанавливаю данную роль на домен контроллер, в реальной жизни этого делать не стоит. Лучше выделите под NPAS отдельную ВМ, а ещё лучше кластерную.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector