記事の目的
定義
コンポーネント
一般的な概念
適用範囲
- ログインする
-VPN(ppp *)
- Wi-Fi
--dot1x
診断
結論
ゴール
この記事の目的は、例で半径の論理を説明し、使用の複雑さの恐れと幻想を取り除くことです。
定義、目的、一般情報
RADIUSは、承認、認証、およびアカウンティング(AAA)のプロトコルです。
ネットワークセキュリティを向上させ、アクセスを一元管理できます。
RADIUS ( mysql) , Active Directory.
AAA () , vendor-specific attributes (VSA). Mikrotik , .
, : freeRADIUS NPS (Network Policy Server) Windows Server. .
- .
- , RADIUS . NB! -.
RADIUS ( , ).
- " ", IP (... ""), (mikrotik )
, . ( ) . .
. , . , \ . {.is-warning}
:
aaa
vpn (pptp\l2tp)
wifi
rj45 - dot802.1x
, + . mikrotik
/radius add address=10.10.11.100 comment="PVE AD" secret=STRONG_SECRET_PASSWORD service=ppp,logi
n,hotspot,wireless,dhcp,ipsec,dot1x timeout=600ms
address - secret - , service - mikrotik, .
timeout=600ms
, , .
.
1.
/user aaa
set accounting=yes default-group=read use-radius=yes
default-group
, .
NPS:
… , , . , . , , c c , .
Wiki mikrotik, RADIUS , RADIUS. *Mikrotik-Group - Router local user group name (defines in /user group) for local users; HotSpot default profile for HotSpot users; PPP default profile name for PPP users. *
'
, vpn hostspot. . , .
, … System -> users -> group , , full
read
.
, NPS.
admins-network
admins-junior
. net-junior
net-admin
, .
, . NPS mikrotik-login-junior
mikrotik-admin-network
, :
, .
read
:
mikrotik-admin-network
admins-network
MIKROTIK_GROUP
full
, :
/user active print detail
Flags: R - RADIUS, M - by-romon
0 R when=jan/05/2021 10:36:52 name="net-admin" address=10.10.15.7 via=winbox
group=full
1 R when=jan/05/2021 10:37:04 name="net-admin" address=10.10.15.7 via=telnet
group=full
, .
, . management vlan , 1c, RDP, etc..
. , l2tp\ipsec/ PPP -> profile
/ip pool add name=pool_l2tp_admin ranges=10.10.21.10-10.10.21.250
/ip pool add name=pool_l2tp_users ranges=10.10.22.10-10.10.22.250
/ppp profile add dns-server=10.10.21.1 local-address=10.10.21.1 name=l2tp-vpn-admin remote-address=pool_l2tp_admin use-compression=no use-encryption=yes
/ppp profile add dns-server=10.10.22.1 local-address=10.10.22.1 name=l2tp-vpn-users remote-address=pool_l2tp_users use-compression=no use-encryption=yes
, . () , . 10.10.21.0/24 management 10.10.22.0/24 , .
NPS.
2 vpn-admins
vpn-users
, net-admin
1 , net-buh
. . . , NAS
.
. VPN .
: Mikrotik-Rate-Limit - vpn
IP .
:
- ip
Wifi Dot1x
, , , , mac .. , . :
Windows ,
-
GPO docs.microsoft
-
-
, .
wifi
WiFi . , CapsMan, AP . Security Profile/Security Cfg.
: NAS = - IEEE 802.11
.
)? - . .
:
Framed-Pool - ip
Filter-Id -
Mikrotik-Wireless-VLANID - vlan (, ,
/
, , :)
dot1x
dot1X .. , . wiki
dot1x , . ( ), ( ) Reject VLAN ID
, ( ) .
:
:
:
:
:
, , . :
mikrotik
system logging add topics=radius,debug action=memory disabled=no
,log print
. -
, - ,
windows
Get-NetFirewallRule -DisplayGroup " " | where DisplayName -like "*RADIUS*" | Set-NetFirewallRule -Service Any
:
Get-NetFirewallRule -DisplayGroup "Network Policy Server" | where DisplayName -like "*RADIUS*" | Set-NetFirewallRule -Service Any
radclient freeradius-utils. , vpn
:
echo "User-Name = USER,User-Password=PASSWORD,NAS-Port-Type=Virtual" | radclient -s 10.10.11.100:1812 auth SHARE_NPS_SECRET -x
:
Sent Access-Request Id 177 from 0.0.0.0:42354 to 10.10.11.100:1812 length 56
User-Name = "USER"
User-Password = "PASSWORD"
NAS-Port-Type = Virtual
Framed-Protocol = PPP
Cleartext-Password = "PASSWORD"
Received Access-Accept Id 177 from 10.10.11.100:1812 to 10.10.15.7:42354 length 94
Mikrotik-Group = "pptp-nps"
Framed-Protocol = PPP
Service-Type = Framed-User
Class = 0xa1cd098c00000137000102000a0a0b6400000000ec967e14be8346ce01d6d63b3e2ca9d70000000000000092
Packet summary:
Accepted : 1
Rejected : 0
Lost : 0
Passed filter : 1
Failed filter : 0
ネットワーク環境でのRADIUSは、セキュリティの観点から非常に便利であり、集中管理の観点からも便利です。設定はそれほど難しくありません。主なことは、ドキュメントとログを読んで理解することです。
不明な点がある場合は、ご記入ください。私はそれを示したり、理解するのを手伝ったりしようとします。
記事に誤りや不正確さを見つけた場合、またはそれをより良くする方法を知っている場合は、それも書いてください。
謝辞:
手紙を新しく見てくれた@aslancherkesovに感謝します。