Mikrotik server radius: MikroTik RADIUS Server (User Manager) Installation

Содержание

Авторизация через Radius на Mikrotik с подстановкой локальной группы / Хабр

Всем доброго дня! Я работаю начинающим сетевым администратором в крупной федеральной компании со смешанной сетью, cisco, mikrotik, juniper.
И вот однажды появилась следующая задача.

Исходные данные:

1. Есть региональный системный администратор, у которого в подчинении несколько системных администраторов. У каждого системного администратора есть РУ — региональный узел, где головными устройствами стоят 2 Mikrotik 1100ahx2 и cisco c3550, по магазинам — MikroTik RB751G-2HnD.
2. На каждом Микротике заведена локальная группа с именем, совпадающем с городом: Омск — OMS, Кемерово — KMR, с полными правами на Микротик.

Задача:

Сделать авторизацию регионального администратора через Radius только в пределах своей зоны ответственности, допустим OMS и KMR.

Задача есть, пробуем выполнять.
Настраиваем Radius на Микротике:

/radius add service=login address=10.0.x.10 secret=xxx disabled=no
/user aaa set use-radius=yes

Устанавливаем FreeRadius на Linux, у меня был Debian: apt-get install freeradius
У меня подсеть на Микротиках 172.16.0.0/12,

пишем в /etc/freeradius/clients.conf

client 172.16.0.0/12 {
secret = xxx
shortname = Network_Devices
}

Затем, не забываем /etc/freeradius/dictionary

VENDOR Mikrotik 14988

BEGIN-VENDOR Mikrotik

ATTRIBUTE Mikrotik-Recv-Limit 1 integer
ATTRIBUTE Mikrotik-Xmit-Limit 2 integer
ATTRIBUTE Mikrotik-Group 3 string
ATTRIBUTE Mikrotik-Wireless-Forward 4 integer
ATTRIBUTE Mikrotik-Wireless-Skip-Dot1x 5 integer
ATTRIBUTE Mikrotik-Wireless-Enc-Algo 6 integer
ATTRIBUTE Mikrotik-Wireless-Enc-Key 7 string
ATTRIBUTE Mikrotik-Rate-Limit 8 string
ATTRIBUTE Mikrotik-Realm 9 string
ATTRIBUTE Mikrotik-Host-IP 10 ipaddr
ATTRIBUTE Mikrotik-Mark-Id 11 string
ATTRIBUTE Mikrotik-Advertise-URL 12 string
ATTRIBUTE Mikrotik-Advertise-Interval 13 integer

ATTRIBUTE Mikrotik-Recv-Limit-Gigawords 14 integer
ATTRIBUTE Mikrotik-Xmit-Limit-Gigawords 15 integer
ATTRIBUTE Mikrotik-Wireless-PSK 16 string
ATTRIBUTE Mikrotik-Total-Limit 17 integer
ATTRIBUTE Mikrotik-Total-Limit-Gigawords 18 integer
ATTRIBUTE Mikrotik-Address-List 19 string
ATTRIBUTE Mikrotik-Wireless-MPKey 20 string
ATTRIBUTE Mikrotik-Wireless-Comment 21 string
ATTRIBUTE Mikrotik-Delegated-IPv6-Pool 22 string

# MikroTik Values

VALUE Mikrotik-Wireless-Enc-Algo No-encryption 0
VALUE Mikrotik-Wireless-Enc-Algo 40-bit-WEP 1
VALUE Mikrotik-Wireless-Enc-Algo 104-bit-WEP 2
VALUE Mikrotik-Wireless-Enc-Algo AES-CCM 3
VALUE Mikrotik-Wireless-Enc-Algo TKIP 4

END-VENDOR Mikrotik

Все, теперь нам нужно создать пользователя в /etc/freeradius/users:

regSA User-password :=12345

Auth-Type = CHAP,
Mikrotik-Group := OMS

Перезапускаем FreeRadius и пробуем зайти на омские Микротики. Все работает.

Но теперь пробуем зайти на кемеровские. Получаем группу read, с правами только на чтение. В чем дело? Смотрим лог на Микротике и видим:

В активных пользователях:

Ты забыл прописать группу для Кемерова, скажете вы. Прописываем:

regSA User-password :=12345
Auth-Type = CHAP,
Mikrotik-Group := OMS, KMR

Рестартим freeradius. Пробуем, получаем тоже самое. Получается, что для одного пользователя мы можем указать только одну группу. Потому что при авторизации всегда берется первая указанная. Тупик? Нет, пара часов гугла, исследование FreeRadius и нахожу выход.
В radiusd.conf есть обработчик post-auth, решаю попробовать использовать его.

Пишем:

post-auth {
if (User-Name == «regSA») { проверяем имя пользователя
if (NAS-IP-Address =~ /172\.22\.(2(2[4-9]|[3-4][0-9]|5[0-5]))\.([0-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-5]))/) { и проверяем IP
update reply {
Mikrotik-Group := «OMS» если все сошлось, то выдаем микротику группу, которая на нем есть
}
}
if (NAS-IP-Address =~ /172\.20\.(6[4-9]|[7-8][0-9]|9[0-5])\.([0-9]|[1-9][0-9]|1([0-9][0-9])|2([0-4][0-9]|5[0-5]))/) {
update reply {
Mikrotik-Group := «KMR»
}
}
}

} закрываем весь post-auth

NAS-IP-Address — это IP адрес с которого прилетает запрос на авторизацию. Используется регулярка, но так как я с ними на ВЫ, то использовал для генерации сайт www.analyticsmarket.com/freetools/ipregex
Теперь в /etc/freeradius/users: убираем группу, как абсолютно лишний для нас атрибут

regSA User-password :=12345
Auth-Type = CHAP

После рестарта FreeRadius понимаем, что у нас все работает, что на омские микротики регионал попадает с группой OMS, на кемеровские — с KMR.

Почему нельзя было в users поставить Mikrotik-Group := «full»? Можно было, но тогда региональный сисадмин получил доступ ко всем Микротикам по всей России, что конечно же нехорошо. Такие права есть только у избранных.

Авторизация через RADIUS для MikroTik на Server 2016

Прочитано: 8 022

В связи с новым местом работы, мой непосредственный начальник (Теперь работаю в местном провайдере) поставил вот такую вот задачу: проработать шаги, как настроить авторизацию через Radius сервис для всех Mikrotik, но с учетом что в роли Active Directory выступает система

Windows Server 2016 Standard. Ранее я уже сталкивался с такой задачей когда работал в конторе где был руководителем IT-отдела. И текущее внедрении показало себя с лучшей стороны. Это удобно когда авторизацией на оборудовании Mikrotik я использую свою доменную учетную запись, по такому же принципу мог выдавать доступ только для «чтения» и для людей которые только приходят ко мне в отдел, а полный доступ я им по всем понятным причинам выдать увы не дам. Если до этого места работы сотрудник никогда не сталкивался с Mikrotik, пусть сперва посмотрит, а по всем вопросам обращается ко мне. Его задача сперва самостоятельно на тестовом поднять самые банальные вещи: настроить на первоначальное использование, сделать бекап, восстановить из бекапа, настроить Wi-Fi с разграничение доступа, объяснить как он это делал. И только тогда можно выдавать. Также пусть сперва пройдет испытательный срок.

За основу беру заметку:

Исходные данные:

  • svr-ad1.polygon.local (Windows Server 2016 Standard) 10.9.9.2 (eth2)

Роли: AD, DHCP, DNS

  • srv-gw.polygon.local (Mikrotik x86) 10.9.9.1 (eth2) + WAN (eth3)

На домен контроллере создаю две доменные группы:

  • MikrotikRead — такие права только на чтение будет у тех кто пытается авторизоваться на Mikrotik (в ней учетная запись alektest1)
  • MikrotikWrite — такие полные (чтение+запись) права будут у тех кто пытается авторизоваться на Mikrotik (в ней учетная запись alektest2)

Шаг №1: Я роль Network Policy Server (Службы политики сети и доступа) буду ставить на контроллер домена, т. к. у меня только один сервер и пока никакой инфраструктуры нет.

Win + X — Командная строка (администратор)

C:\Windows\system32>cd /d c:\Windows\System32\WindowsPowerShell\v1.0\

c:\Windows\System32\WindowsPowerShell\v1.0>powershell
-Command Set-ExecutionPolicy RemoteSigned

c:\Windows\System32\WindowsPowerShell\v1.0>powershell

PS c:\Windows\System32\WindowsPowerShell\v1.0> Install-WindowsFeature NPAS -IncludeManagementTools

PS c:\Windows\System32\WindowsPowerShell\v1.0> exit

c:\Windows\System32\WindowsPowerShell\v1.0>
exit

Шаг №2: Регистрирую текущий сервер

NPS (Network Policy Server) в домене:

Win + X — Командная строка (администратор)

C:\Windows\System32>netsh ras add registeredserver

Регистрация успешно завершена:

RAS-сервер: SRV-AD1

Домен: polygon.local

Шаг №3: Для того, чтобы сервер знал с какими устройствами налаживать общение нужно добавить их в RADIUS Clients.

Win + X — Панель управления — Администрирование — Сервер политики сети (Network Policy Server) NPS (Локально) → Radius-клиенты и серверы и через правый клик мышью на RADIUS-клиенты вызываю меню «Новый документ», здесь создаю клиента:

вкладка «Настройки» окна «Новый RADIUS-клиент»

  • «Включить этот RADIUS-клиент»:
    отмечаю галочкой
  • Понятное имя: mikrotik
  • Адрес (IP или DNS): 0.0.0.0/0
  • Тип ключа: выбираю «Создать»
  • Shared secret: либо указываю свой собственный ключ (к примеру в рамках этой заметки ключ будет: [email protected]!), либо нажимаю кнопку «Создать»

вкладка «Дополнительно» окна «Новый RADIUS-клиент»

  • Имя поставщика: RADIUS Standard

а после нажимаю кнопку OK окна «Новый RADIUS-клиент»

Шаг №4: Создаю политику подключения (Политики — Политики запросов на подключение)

Win + X — Панель управления — Администрирование — Сервер политики сети — NPS (Локально) — Политики — и через правый клик мышью по «

Политики запросов на подключение» вызываю меню «Новый документ»

  • «Имя политики»: mikrotik
  • «Тип сервера доступа к сети»: «Не указано»

и нажимаю «Далее», затем «Добавить» → «Ограничения по дням недели и времени суток» (отмечаю настройку «Разрешено»)

а после нажимаю кнопку OK и «Далее» окна «Новая политика запросов на подключение». Теперь нужно указать тип используемой аутентификации

«Проверка подлинности» отмечаю «Проверять подлинность запросов на этом сервере» и нажимаю кнопку «Далее», затем указываю метод:

  • «Переопределить параметры проверки подлинности на уровне сети»: отмечаю галочкой
  • «Шифрованная проверка подлинности (CHAP)»:
    отмечаю галочкой
  • «Проверка открытым текстом (PAP, SPAP)»: отмечаю галочкой
  • «Шифрованная проверка подлинности Майкрософт (MS-CHAP): отмечаю галочкой

а после нажимаю кнопку «Далее», «Нет», «Далее», «Готово».

Для справки:

  • Шифрование PAP → это для SSH
  • Шифрование CHAP → это для winbox
  • Шифрование MS-CHAPv2 → это для Web

Шаг №5: Создаю сетевую политику (Политики — Сетевые политики)

Win + X — Панель управления — Администрирование — Сервер сетевых политик

NPS (Локально) — Политики — и через правый клик мышью по «Сетевые политики» вызываю меню «Новый документ»

  • «Имя политики»: MikrotikRead
  • «Тип сервера доступа к сети»: «Не указано»

и нажимаю «Далее», затем «Добавить» → выбираю «Группы Windows» и нажимаю «Добавить» → «Добавить группы» где поиск осуществляется в текущем домене, моя группа называется: MikrotikRead после нажимаю «Проверить имена» (должна стать подчеркнутой) затем OK окна «Выбор: Группа», OK окна «Группы Windows» и «Далее» окна мастера «Новая политика сети». А вот теперь следует определить какое правило будет попадать под выше указанные настройки, но раз я хочу через доменную учетную запись авторизоваться на Mikrotik то выбираю: «Доступ разрешен» и нажимаю кнопку «Далее». Но это еще не все, Способ аутентификации выбираем аналогичный прошлой политике.

  • «Шифрованная проверка подлинности (CHAP)»: отмечаю галочкой
  • «Проверка открытым текстом (PAP, SPAP)»: отмечаю галочкой
  • «Шифрованная проверка подлинности Майкрософт (MS-CHAP)»: отмечаю галочкой

и нажимаю кнопку «Далее», «Нет»

Отличная новость что с настройками сервиса покончено, а может и нет, ведь сейчас шаг где можно указать период бездействия, дата и время доступа и т.д, но я как и автор на основе которого я формирую свое руководство пропускаю этот шаг и нажимаю «Далее»

Шаг №6: Далее необходимо выбрать что будет отправляться на сервер.

Я все еще в мастере «Новая политика сети» из параметра «Атрибуты RADIUS» Стандарт удаляю все дефолтные, а именно:

  • Frame-Protocol: PPP
  • Service-Type: Framed

после перехожу в элемент настройки «Зависящие от поставщика», т. к. по умолчанию Radius сервер не поддерживает оборудование Mikrotik, то мне на помощь придет мануал от Mikrotik с указанием какой параметр следует добавить для проверки:

Нажимаю «Добавить»

  • «Поставщик»: выбираю «Пользовательский»
  • «Атрибуты»: выбираю Vendor-Specific и нажимаю «Добавить» — «Добавить»
  • «Ввести код поставщика»: ввожу 14988 (почему именно этот код смотрите статью в интернете wiki/Manual:RADIUS_Client)

Переключаюсь на «Да. Соответствует» и нажимаю «Настройка атрибута»

  • Назначенные поставщиком номер атрибута: 3
  • Формат атрибута: строковый
  • Значение атрибута: MikrotikRead

и нажимаю «ОК», «ОК», «Далее», «Готово». После создаю еще одну сетевую политику, где указываю группу MikrotikWrite и значение атрибута MikrotikWrite

[stextbox id=’alert’]

На заметку:

Чтобы учетная запись проверялась через NPS в AD у этого пользователя на вкладке Dial-in (Входящие звонки) в разделе Network Access Permission (Права доступа к сети) должен быть отмечен пункт Control access through NPS Network Policy (Управление доступом на основе политики сети NPS).

[/stextbox]

 

[stextbox id=’alert’]

На заметку:

Для возможности авторизоваться через WinBox нужно включить обратимое шифрование в профиле пользователя.

[/stextbox]

 

Но на этом еще не все, по умолчанию домене уровня Server 2016 обратимое шифрование для домена выключено. В этом случает я рекомендую создать групповую политику применительно к группам MikrotikRead & MikrotikWrite где обратимое шифрование будет включено:

  • GPO (Управление групповой политикой): Radius_Mikrotik

После в политике GPO: Radius_Mikrotik следует перейти во вкладку «Делегирование» и добавить группу «Прошедшие проверку» с доступом на «Чтение»

C:\Users\ekzorchik>gpupdate /force

Выполняется обновление политики...

Обновление политики для компьютера успешно завершено.

Обновление политики пользователя завершено успешно.

Если команда выше не сработает, то нужно перезагрузить домен контроллер.

Открываю политику на редактирование:

Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Политики учетных записей — Политика паролей:

«Хранить пароли, используя обратимое шифрование» — «Включен»

[stextbox id=’alert’]На заметку: Если Radius сервис не работает то следует обратиться к логам на системе Windows Server 2016:[/stextbox]

Win + X → «Панель управления» — «Администрирование» — «Просмотр событий» — «Журналы Windows» — «Безопасность»

Событие (Event ID: 6723): Не удается выполнить проверку подлинности пользователя с помощью протокола CHAP. Обратимо шифрованный пароль не существует для данной учетной записи.

И после проверять.

На заметку: Если Вы используете только один домен контроллер и к нему доступ имеете только Вы, то можно не создавать отдельную политику, а изменить настройки в GPO: Default Domain Policy, а включение обратимого шифрования регулировать уже в настройках учетных записей.

На заметку: Если все равно учетная запись при подключении к Mikrotik выдает что не может авторизоваться в этом случает нужно есть заново указать доменный пароль и после все сразу же заработает.

Шаг №7: Добавление сервера авторизации (Т.е. где находится сервис Radius) на MikroTik

Winbox — IP&DNS — user&pass

System — Identity и называем Mikrotik, как router

Создаю группы в Mikrotik:

System — Users — вкладка Groups — Add —

Name: MikrotikRead

Policy: отмечено все за исключением write, dude, ftp, policy

System — Users — вкладка Groups — Add —

Name: MikrotikWrite

Policy: везде стоят галочки

И нажимаю Apply — Ok

System — Users — вкладка Users, тут нажимаю на AAA и ставлю галочку в параметра USE Radius

Default Group: Read

и нажимаю Apply — OK

Затем перехожу в элемент меню Radius — Add — вкладка General (окна New Radius Server)

На заметку: если используется Mikrotik поднятый на основе x68 Demo License то настроить Radius авторизацию нельзя, выдается сообщение «Couldn“t add New Radius Server — current license does not support radius»

Шаг №8: Проверяю

С рабочей станции под управлением Ubuntu Trusty Desktop amd64 (Gnome Classic), Ubuntu 18.04 Desktop, Windows 10 — все они не в домене.

Сперва под доменной учетной запись с логином alektest1 и как видно права у меня MikrotikRead — т. е. Только просмотр

После под доменной учетной записью с логином alektest2 и как видно права у меня MikrotikWrite — что соответствуют точно такими же как и у локальной группы full.

Все я самолично прошелся по всем шагам на этот раз настройки Radius сервиса в домене Windows Server 2016 Standard и сделал более грамотную универсальную настройку по сравнению с той что я делал на Windows Server 2012 R2 в прошлой заметке. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.

Авторизация через RADIUS для MikroTik

Прочитано: 8 473

Задача: Хочу разобрать лично, как настроить авторизацию через Network Policy Server (RADIUS) на Windows Server 2012 R2 для сетевого оборудования на базе Mikrotik.

Подтолкнуло меня статья на читаемом ресурсе, но я прежде чем доверять чему-то хочу лично сам все повторить, наложить все действия на свою структуру да и задокументировать под себя все действия в виде пошаговой заметки никогда не помешает.

Исходные данные:

  • Домен (Создана группа: Router-Mikrotik)
  • Система (В домене) Windows Server 2012 R2 на которую будут устанавливать роль NPS
  • Оборудование Mikrotik (RB951Ui-2HnD: eth3 смотрит в локальную сеть)

Ранее я для себя разбирался как поднять RADIUS сервис на системе Ubuntu Trusty Server, но в публичный доступ я ее не выкладывал, возможно с этой заметкой все будет то же самое, посмотрим.

Шаг №1: Устанавливаю роль Network Policy Server на систему:

Win + X — Command Prompt (Admin)

C:\Windows\system32>cd /d c:\Windows\System32\WindowsPowerShell\v1.0\

c:\Windows\System32\WindowsPowerShell\v1.0>powershell
-Command Set-ExecutionPolicy RemoteSigned

c:\Windows\System32\WindowsPowerShell\v1.0>powershell

PS c:\Windows\System32\WindowsPowerShell\v1.0> Install-WindowsFeature NPAS -IncludeManagementTools

PS c:\Windows\System32\WindowsPowerShell\v1.0> exit

c:\Windows\System32\WindowsPowerShell\v1.0> exit

Шаг №2: Регистрирую текущий сервер NPS (Network Policy Server) в домене:

Win + X — Command Prompt (Admin)

C:\Windows\system32>netsh ras add registeredserver

Registration completed successfully:

Remote Access Server: SRV-NPS

Domain: polygon.local

Шаг №3: Для того, чтобы сервер знал с какими устройствами налаживать общение нужно добавить их в RADIUS Clients.

Win + X — Control Panel — Administrative Tools — Network Policy Server

NPS (Local) → Radius Client and Servers и через правый клик мышью на RADIUS Clients вызываю меню New, здесь создаю клиента:

вкладка Settings окна New RADIUS Client

  • Enable this RADIUS Client: отмечаю галочкой
  • Friendly name: router
  • Address (IP or DNS): 10.9.9.77
  • Тип ключа: выбираю Generate
  • Shared secret: либо указываю свой собственный ключ (к примеру в рамках этой заметки ключ будет: [email protected]!), либо нажимаю кнопку Generate

вкладка Advanced окна New RADIUS Client

  • Vendor name: RADIUS Standard

а после нажимаю кнопку OK окна New RADIUS Client

Шаг №4: Создаю политику подключения

Win + X — Control Panel — Administrative Tools — Network Policy Server

NPS (Local) — Policies — и через правый клик мышью по Connection Request Policies вызываю меню New

  • Policy name: mikrotik
  • Type of network access server: Unspecified

и нажимаю Next, затем AddClient Friendly Name, затем Add и указываю имя клиента:

Specify the friendly name of the RADIUS client. You can use pattern matching syntax: router

а после нажимаю кнопку OK и Next окна New Connection Request Policy.

Шаг №5: Теперь нужно указать тип используемой аутентификации

Settings: Authenticaton: отмечаю Authenticate requests on this server и нажимаю кнопку Next, затем указываю метод:

  • Override network policy authentication settings: отмечаю галочкой
  • Encrypted authentication (CHAP): отмечаю галочкой
  • Unecrypted authentication (PAP,SPAP): отмечаю галочкой

а после нажимаю кнопку Next, No, Next, Finish.

Шаг №6: Выбираем нужный приоритет двигая выше или ниже пункт политики.

Win + X — Control Panel — Administrative Tools — Network Policy Server

NPS (Local) — Policies — и через правый клик мышью по Network Policies вызываю меню New

  • Policy name: mikrotik
  • Type of network access server: Unspecified

и нажимаю Next, затем Add → выбираю Windows Groups и нажимаю Add → Add Groups… где поиск осуществляется в текущем домене, моя группа называется: Router-Mikrotik после нажимаю Ok, OK окна Select Group, OK окна Windows Groups и Next окна мастера New Network Policy. А вот теперь следует определить какое правило будет попадать под выше указанные настройки, но раз я хочу через доменную учетную запись авторизоваться на Mikrotik то выбираю: Access granted и нажимаю кнопку Next. Но это еще не все, Способ аутентификации выбираем аналогичный прошлой политике.

  • Encrypted authentication (CHAP): отмечаю галочкой
  • Unecrypted authentication (PAP,SPAP): отмечаю галочкой

и нажимаю кнопку Next, No

Отличная новость что с настройками сервиса покончено, а может и нет, ведь сейчас шаг где можно указать период бездействия, дата и время доступа и т.д, но я как и автор на основе которого я формирую свое руководство пропускаю этот шаг и нажимаю Next

Шаг №7: Далее необходимо выбрать что будет отправляться на сервер.

  • Standard: Add
  • Access type: All
  • Attribute: Service-Type

и нажимаю Add, потом

Other: выбираю Login и нажимаю OK, Close

Вот что должно получиться:

и нажимаю Next, Finish.

На заметку: Чтобы учетная запись проверялась через NPS в AD у этого пользователя на вкладке Dial-in (Входящие звонки) в разделе Network Access Permission (Права доступа к сети) должен быть отмечен пункт Control access through NPS Network Policy (Управление доступом на основе политики сети NPS).

На заметку: Для возможности авторизоваться через WinBox нужно включить обратимое шифрование в профиле пользователя.

Шаг №8: Добавление сервера авторизации на MikroTik

Winbox — IP&DNS — user&pass

System — Identity и называем Mikrotik, как router

System — Users — вкладка Users, тут нажимаю на AAA и ставлю галочку в параметра USE Radius или все проще если действовать через консоль подключившись к Mikrotik по SSH

[email protected]:~$ ssh -l admin 10.9.9.77

[[email protected]] > system identity set name=router

[[email protected]] > user aaa set use-radius=yes

и указываем где брать авторизацию, т. е. Поднятый и настроенный выше NPS сервис:

[[email protected]] > radius add address=IP_NPS_SERVERA [email protected]! service=login

[[email protected]] > quit

Шаг №9: Проверяю

С рабочей станции под управлением Ubuntu Trusty Desktop amd64 (Gnome Classic)

[email protected]:~$ winbox

но почему то пишет: ERROR: wrong username or password

А если с рабочей станции под управлением Windows 7 SP1 Pro и авторизовавшись под доменной учетной записью: [email protected], то вот что примечательно при обращении на Web-адрес дабы скачать клиент Winbox я авторизовался на Web-странице не вводя ничего кроме IP адреса Mikrotik. Ну конечно ведь на дефолтную учетку admin у меня нет пароля вот и как бы неожиданно. Пробую через утилиту winbox и меня также не пускает, пишет мол неправильный логин или пароль.

А вот с Ubuntu Trusty Desktop через консоль командной строки при подключении с использованием клиента SSH авторизуется успешно:

[email protected]:~$ ssh -l alektest 10.9.9.77

[email protected]’s password: указываю пароль от данной доменной учетной записи которая входит в группу Router-Mikrotik

[[email protected]] > — Я успешно подключился, работает.

Вроде как нужно указать откуда можно будет подключиться к Mikrotik задействую доменную авторизацию:

[[email protected]] > /ip address add address=10.9.9.0/24 interface=ether2 network=255.255.255.0

и вот только после этого авторизация через Winbox с использованием доменной учетной записи заработала, но можно и не добавлять если Вам нужно подключаться к Mikrotik из различных сетей.

На заметку: попробовал со всеми сетевыми устройствами Mikrotik в локальной сети — заметка полностью отработала и теперь у меня доменная авторизация в паре с локальной.

Все я самолично прошелся по всем шагам. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.

Настойка Hotspot Mikrotik с использованием Freeradius и MySQL. :: Настройка оборудования Mikrotik :: Настройка оборудования

Рейтинг

Оценка: 4.5Голосов: 4Комментарии: 4

В этой статье рассмотрим, как хранить все учетные записи Hotspot Mikrotik в одной базе данных.

Если вы еще не знаете, как настроить Hotspot в Mikrotik, прочтите следующую статью http://asp24.com.ua/blog/mikrotik-routerboard-nastrojka-hotspot/.

Для авторизации клиентов будем использовать связку Mikrotik Freeradius и сервер баз данных MySQL для хранения учетных записей.

Для того чтобы работала связь Mikrotik Freeradius, проделаем следующие действия в Mikrotik.

Рис. 1. Настройка radius клиента в Mikrotik.

 

Приходим в раздел Radius и кликаем по кнопке добавить. В разделе Service выбираем сервис, для которого будет осуществляться авторизация через Freeradius. В нашем случае это сервис Hotspot. В поле Address указываем IP-адрес нашего будущего Freeradius сервера, также указываем пароль.

Рис. 2. Список профилей Hotspot Mikrotik.

 

Переходим в раздел IP Hotspot на вкладку Server Profile.

Рис. 3. Использовать Radius для профиля Hotspot.

 

Выбираем интересующий нас профиль из списка. На вкладке RADIUS ставим галочкку для Use RADIUS.

Рис. 4. Проверка работы севиса Hotspot Mikrotik.

 

Если выполнить попытку авторизации в Hotspot, то на странице авторизации появится сообщение о том что RADIUS сервер не отвечает.

Приступаем к настройке Freeradius сервера в операционной системе Debian Linux.

Рис. 5. Установка пакетов.

 

Нам потребуется установить следующие пакеты: freeradius и freeradius-mysql.

Устанавливаем их следующей командой: apt-get install freeradius freeradius-mysql

Рис. 6. Создание базы данных.

 

Далее нам потребуется создать базу данных для хранения учетных записей:

  1. Авторизируемся на сервере баз данных (mysql -u root -p).
  2. Создаем базу данных (create database asp24_hotspot).

Теперь выполним две команды в терминале, для создания таблиц для нашей базы данных.

mysql -u root -p asp24_hotspot < /etc/freeradius/sql/mysql/schema.sql
mysql -u root -p asp24_hotspot < /etc/freeradius/sql/mysql/nas.sql

Рис. 7. Просмотр таблиц.

 

  1. use asp24_hotspot;
  2. show tables.

В итоге мы должны увидеть список созданных таблиц.

Рис. 8. Создание учетной записи.

 

Создаем учетную запись для Hotspot клиента INSERT INTO radcheck (UserName, Attribute, value) VALUES (‘asp24′, ‘Password’, ‘asp24′).

В данном случае asp24 будет являться и логином, и паролем.

Рис. 9. Соединение с базой данных Freeradius сервера.

 

Открываем для редактирования файл /etc/freeradius/sql.conf и меняем настройки по умолчанию на собственные.

Открываем для редактирования файл /etc/freeradius/sites-enabled/default и в секциях (authorize, accounting, session, post-auth) необходимо убрать комментарий на против sql.

Редактируем файл /etc/freeradius/radiusd.conf, раскомментируем ($INCLUDE sql.conf).

Редактируем файл /etc/freeradius/clients.conf

Рис. 10. Добавляем запись для нашего Mikrotik.

 

Указываем IP-адрес, с которого будет подключаться Mikrotik (192.168.99.49) secret – пароль, который мы указывали в настройках Mikrotik.

Перезапускаем Freeradius сервер /etc/init.d/freeradius restart и снова пытаемся авторизироваться в Hotspot Mikrotik

Рис. 11. Авторизированные клиенты в Hotspot Mikrotik.

 

В результате мы должны успешно авторизироваться в Hotspot Mikrotik с логином и паролем asp24.

Рис. 12. Данные об авторизации в базе данных.

 

В таблице radacct можно видеть данные об авторизированных клиентах. Как можно видеть на рисунке 12, был авторизирован клиент с логином asp24, на нашем Mikrotik с IP-адресом 192.168.99.49. Также, мы можем видеть, дату и время авторизации. Мас-адрес устройства клиента и IP-адрес, который был ему выдан при подключении.

Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.

Большое спасибо за Вашу помощь! Мы скоро исправим ошибку!

Сообщение не было отправлено. Пожалуйста, попробуйте еще раз.

Сообщение об ошибке

Ошибка:

Ваш комментарий (не обязательно):

Да Отмена

MikroTik RADIUS Server (User Manager) Установка

RADIUS Server — это централизованное приложение для аутентификации, авторизации и учета пользователей. Аутентификация RADIUS дает интернет-провайдеру или сетевому администратору возможность управлять пользователями PPP, авторизованными пользователями и пользователями Hotspot с одного сервера в большой сети. MikroTik RouterOS имеет клиент RADIUS, который может аутентифицировать пользователей, вошедших в систему, пользователей Hotspot и пользователей PPP через сервер RADIUS. Команда MikroTik также разработала совершенно отдельный пакет сервера RADIUS под названием User Manager, который можно использовать для беспрепятственной аутентификации пользователей MikroTik.Но, честно говоря, MikroTik User Manager не подходит для средних и крупных организаций, потому что он ограничен настройкой. С другой стороны, freeRADIUS — это модульный пакет RADIUS, который можно настроить в соответствии с требованиями организации, но freeRADIUS нужно настраивать самостоятельно. В этой статье я расскажу только о MikroTik User Manager RADIUS Server и о том, как правильно установить и настроить MikroTik User Manager Package. Для установки и настройки freeRADIUS посетите мою другую статью об установке и базовой настройке freeRADIUS в дистрибутиве CentOS 7 Linux.

RADIUS Server

RADIUS, сокращение от R emote A uthentication D ial- I n U ser S ervice, это сетевой протокол клиент-сервер, который используется для управления (аутентификации , авторизация и учет) пользователи, которые подключаются и пользуются сетевыми услугами. Сервер RADIUS работает на уровне приложения и может использовать TCP или UDP в качестве транспорта. Сегодня существует множество серверных приложений RADIUS, но среди них User Manager RADIUS Server , разработанный MikroTik, специально используется для аутентификации и авторизации пользователей MikroTik.

MikroTik User Manager RADIUS Server

User Manager — это дополнительный и полностью отдельный серверный пакет MikroTik RouterOS RADIUS, который используется для управления аутентификацией, авторизацией и учетом пользователей MikroTik. Интернет-провайдер или сетевой администратор могут использовать User Manager в качестве аутентификации пользователя для входа в систему, аутентификации пользователя PPP и аутентификации пользователя Hotspot, а также для целей выставления счетов. Но прежде чем использовать пакет сервера RADIUS User Manager в своей сети, вы должны знать минимальные системные требования этого пакета.

Требования к пакету диспетчера пользователей

Установленный сервер RADIUS диспетчера пользователей должен соответствовать минимальным требованиям.

  • MikroTik RouterOS и пакет User Manager должны иметь одинаковую версию.
  • MikroTik User Manager работает на маршрутизаторах на базе процессоров x86, MIPS, PowerPC и TILE, а также на устройствах CHR.
  • Маршрутизатор должен иметь не менее 32 МБ ОЗУ и 2 МБ свободного места на жестком диске.

Как работает клиент и менеджер пользователей RouterOS Сервер RADIUS

Менеджер пользователей MikroTik работает как судья.Он получает вопрос от клиента RADIUS и должен дать ответ. Например, когда пользователь (скажем, bob), как на сетевой диаграмме ниже, хочет подключиться к сети, клиент RouterOS RADIUS сначала проверяет свою локальную базу данных пользователей и, если ему не удается пройти аутентификацию из локальной базы данных, он запрашивает RADIUS-сервер диспетчера пользователей: «Разрешен ли пользователю ‘bob’ доступ в сеть?»

MikroTik RADIUS Server Network

Если пользователь «bob» присутствует в пользовательской базе данных RADIUS-сервера, он отвечает: «Да, но с ограничением профиля».Если пользователя нет в базе данных пользователя RADIUS Server, сервер отвечает NO.

Как установить MikroTik User Manager RADIUS Server

User Manager — это пакет MikroTik RouterOS. Итак, установку User Manager Package в вашей сети можно разделить на методы.

  • User Manager Package может быть установлен в вашем физическом MikroTik RouterOS. Или
  • User Manager Package можно установить на серверной машине или на ПК, на котором работает MikroTik RouterOS.

Я всегда предпочитаю второй метод, потому что User Manager будет генерировать много журналов, а физическая машина RouterOS имеет ограниченную емкость хранилища, а также для обработки нескольких запросов RouterOS в большой сети, User Manager должен иметь стабильный и мощный физический машина.

Установите пакет сервера Radius Manager User Manager в физический MikroTik RouterOS

Поскольку User Manager является отдельным пакетом RouterOS, он обычно не входит в состав операционной системы MikroTik Roterboard. Тем не менее, вы можете проверить свою RouterOS, содержит ли она пакет диспетчера пользователей, посетив меню Winbox System> Packages . В этом окне Package List вы найдете все доступные пакеты, которые установлены в вашей RouterOS. Если установлен пакет User Manager Package, вы увидите список с именем user-manager .Если пакет диспетчера пользователей не установлен, выполните следующие действия, чтобы установить пакет диспетчера пользователей в RouterOS.

  • Войдите в Mikrotik Router с программным обеспечением Winbox.
  • В Winbox перейдите в раздел «Система»> «Ресурсы» и найдите «Имя архитектуры» и «Версия RouterOS» в Resourc
.

Как настроить Radius Server в Mikrotik — Mikrotik

Как настроить Radius Server в Mikrotik, RADIUS-сервер — это приложение для централизованной аутентификации, авторизации и учета пользователей. Аутентификация RADIUS дает ISP или сетевому администратору возможность управлять пользователями, зарегистрированными пользователями и пользователями Hotspot с одного сервера в большой сети. MikroTik RouterOS имеет клиент RADIUS, который может аутентифицировать пользователей, вошедших в систему, пользователей Hotspot и пользователей через сервер RADIUS.Команда MikroTik также разработала совершенно отдельный пакет сервера RADIUS под названием User Manager, который можно использовать для беспрепятственной аутентификации пользователей MikroTik.

Первым делом нужно загрузить Winbox для доступа к Mikrotik. Winbox — это графический пользовательский интерфейс для настройки ОС Mikrotik Router. Вы можете получить Mikrotik Winbox

Шаг 1: установите IP-адрес

Сначала вам нужно настроить интерфейс, который подключен к WAN через Терминал.

 Открытый терминал
[admin @ askitmen]> / IP-адрес добавить адрес = 192.168.43.249 / 24 network = 192.168.43.0 broadcast = 192.168.43.255 interface = ether1 

Теперь вам нужно настроить второй интерфейс для вашей локальной сети с помощью терминала.

 [admin @ askitmen]> IP-адрес добавить адрес = 192.168.42.20 / 24 сеть = 192.168.42.0 широковещательная передача = 192.168.42.255 интерфейс = ether2 

Затем вам необходимо настроить DNS-сервер.

Перейдите в IP -> DNS

Сервер: 8.8.8.8 или DNS от провайдера.

Шаг 2: загрузите user-manager (Radius Server)

Откройте веб-браузер https: // mikrotik.com / download

Выберите правильный маршрутизатор Mikrotik:

MIPSBE: CRS1xx, CRS2xx, DISC, hAP, hAP ​​ac, hAP ​​ac lite, LDF, LHG, mANTBox, mAP, NetBox, NetMetal, PowerBox, QRT, RB9xx , cAP, hEX Lite, RB4xx, wAP, BaseBox, DynaDish, RB2011, SXT, OmniTik, Groove, Metal, Sextant, RB7xx

— SMIPS: hAP mini, hAP ​​lite

— TILE:

000 CCR

— PPC: RB3xx, RB600, RB8xx, RB1100AHx2, RB1100AH, RB1100, RB1200

— ARM: cAP ac, hAP ​​ac², LDF ac, LHG ac, SXTsq (серия ac), беспроводной провод, CRS3xx, RB3011, RBAHx4

— X86: RB230, X86

— MIPSLE : RB1xx, RB5xx, Crossroads

— MMIPS: hEX (RB750Gr3), RBMxx

Пример установки X86 на ПК.Итак, на X86 вверху вы увидите (6.42.6 Current). Щелкните загрузить Extra packages и распакуйте его.

Найдите имя файла user-manager-6.42.6.npk и перетащите его в файл в Winbox.

Нажмите «Восстановить» и перезапустите Mikrotik.

перезапустите Mikrotik goto -> System -> Reboot.

Убедитесь, что диспетчер пользователей доступен в списке пакетов.

Перейдите в -> Система -> Пакеты

Шаг 3: Hotspot

Теперь мы настроим нашу HOTSPOT.

Перейдите в IP> Hotspot, на вкладке сервера выберите «Hotspot Setup». Появится новое окно с вопросом, на каком интерфейсе вы хотите настроить HOTSPOT. Здесь выберите интерфейс, который подключен к локальной сети (в нашем примере это ether2). Нажмите «Далее.

*** Перейдите в ip-> Hotspot -> щелкните крестик +, чтобы добавить новые для ручной настройки, включая серверы, профили серверов, пользователей, пул…

Он спросит у вас IP-адрес сервера, по умолчанию это обнаружит IP, установленный на интерфейсе.Просто нажмите NEXT

Local Address of Network: 192.168.42.1/24 и выберите «Masquerade Network».

Далее вас спросят о диапазоне IP-адресов, который будет использоваться DHCP-сервером для предоставления IP-адресов клиентам. Здесь вы можете изменить диапазон IP-адресов, убедившись, что он приемлем для СЕРВЕРА. Вы можете увеличивать и уменьшать длину диапазона IP-адресов. Когда закончите, нажмите NEXT

, например: Адресный пул сети: 192.168.42.100-192.168.42.250.

далее он попросит вас выбрать любой сертификат, который будет использоваться сервером.Выберите NONE и нажмите NEXT. он попросит вас определить SMTP-сервер, если у вас его нет, просто пропустите. Нажмите «Далее.

будет таким же, как IP-адрес вашего DNS-сервера. Это была первая задача, которую мы выполнили. Так что здесь ничего менять не нужно. Просто НАЖМИТЕ СЛЕДУЮЩИЙ.

он попросит вас указать имя вашего сервера, по которому клиенты смогут получить доступ к странице входа / информации HOTSPOT через веб-браузеры. Настройте все, что хотите, и нажмите NEXT.

Теперь последний шаг.Чтобы создать пользователя. По умолчанию он создает пользователя-администратора без пароля. Здесь вы можете установить пароль и имя пользователя для пользователя по умолчанию. Измените значения, если хотите, и нажмите NEXT.

Пользователь точки доступа имеет доступ только к администратору точки доступа, а не к пользователю Mikrotik.

Имя локального пользователя точки доступа: admin

Пароль пользователя: xxxxxxx

Ваш сервер точки доступа готов и настроен. Теперь вам нужно изменить настройки по умолчанию, чтобы Hotspot работал лучше и для большей безопасности.На вкладке Server дважды щелкните hotspot1 и измените значение «Address Per MAC» на 1

. На вкладке Server Profiles дважды щелкните hsprof1, появится окно LOGIN.

Выберите вкладку «Вход» и убедитесь, что в разделе «Вход по» выбраны «HTTP PAP», «Cookie» и «MAC Cookie» для работы с QRCode на следующем шаге. Щелкните ПРИМЕНИТЬ.

Выберите вкладку RADIUS, убедитесь, что выбрано «Use RADIUS». Теперь ПРИМЕНЯЙТЕ и ОК.

На вкладке «Профили пользователей» дважды щелкните по умолчанию и на вкладке «Общие» измените значение «Общие пользователи:» более чем на 1.Это зависит от вашего решения, как один пользователь может использовать несколько устройств или нет?

И внизу выбрал «Прозрачный прокси». Затем ПРИМЕНЯЙТЕ и ОК.

Шаг 4: Radius Server

RADIUS, сокращенно от Remote Authentication Dial-In User Service, — это удаленный сервер, который предоставляет средства аутентификации и учета для различных сетевых устройств. Аутентификация и учет RADIUS дает интернет-провайдеру или сетевому администратору возможность управлять доступом и учетом PPP-пользователей с одного сервера в большой сети.MikroTik RouterOS имеет клиент RADIUS, который может аутентифицироваться для соединений HotSpot, PPP, PPPoE, PPTP, L2TP и ISDN. Атрибуты, полученные от сервера RADIUS, имеют приоритет над атрибутами, установленными в профиле по умолчанию, но если некоторые параметры не получены, они берутся из соответствующего профиля по умолчанию.

К базе данных сервера RADIUS обращаются только в том случае, если в локальной базе данных маршрутизатора не найдена соответствующая запись доступа пользователя.

Перейдите в Radius -> ad +, появится новое окно.

На вкладке «Общие» в разделе «Сервис» выбрана «точка доступа».Это означает, что вы будете использовать службу Hotspot для своей работы в своей организации.

«Адрес:» 192.168.43,249 // IP-адрес в глобальной сети.

«Секрет» xxxx пароль для связи с Radius Server. ПРИМЕНИТЬ и ОК.

Выберите кнопку «Входящие», включите «Принять». Порт: 3799 // вы можете изменить на любой номер. ПРИМЕНИТЬ и ОК.

Теперь откройте браузер и получите доступ к WAN IP: http://192.168.43.249/userman/ и загрузите страницу входа.

Логин: admin // пользователь, которого вы создали ранее.

Пароль: // по умолчанию пароль отсутствует, поэтому, пожалуйста, очистите его и войдите в систему.

Сначала , что вам нужно сделать, это маршрутизаторы, правильная заполненная информация распознается с помощью Mikrotik. Он синхронизирует пользователя с Radius Server на Mikrotik.

Перейдите в раздел -> Маршрутизаторы -> Добавить новое окно.

В сведениях о маршрутизаторе:

Главный Имя: Radius-Server
IP-адрес: 192.168.43.249 // ваш реальный IP такой же, как вы настроили ранее в Mikrotik.
Общий секрет: 12345678 // пароль, который вы назначили в Mikrotik.
Часовой пояс: +07 // ваше местоположение.
Успешная авторизация: сохранить запись при успешном входе в систему.
Ошибка авторизации: сохранить запись при неудачном входе в систему.
Входящий Radius Поддержка CoA: разрешить использование этого сервисного порта
CoA port: 3799 // этот порт для связи между Radius Server и Mikrotik.

щелкните Добавить, чтобы закончить.

Второй , в целях безопасности вам нужно добавить пароль к Radius Server, чтобы никто не мог получить доступ без разрешения.

Для изменения пароля:

Перейдите в раздел «Клиенты» -> дважды щелкните пользователя «admin», чтобы изменить пароль.

Для нового пользователя:

Перейдите в раздел «Клиенты» -> «Добавить» -> «Новый»

Логин: имя пользователя who иметь право доступа для управления Radius Server

-Пароль: xxxxx

-Разрешения:

  • Только чтение
  • Чтение Запись

  • Полный

  • Владелец (только для root)

: если вы выбрали «Разрешить пользователю резервного копирования» иметь на это право.

-Access:

Выберите Добавить, чтобы завершить созданного пользователя.

Третий , Профили

Перейдите в Профили -> выберите вкладку Ограничения-> Добавить

Основное: создайте имя лимита

Лимиты: разрешите загрузку / загрузку пользователя с конкретным или оставьте поле пустым.

Ограничения скорости: пропускная способность соединения вверх / вниз

Нажмите «Добавить» для завершения.

Если вы хотите удалить имя ограничения, вы можете перейти в Edit-> Remove.

Выберите на вкладке профилей

Выберите +, чтобы создать имя профиля.

Откроется следующая страница.

Имя пользователей: вам нужно указать конкретное имя для каждого профиля

Владелец: администратор (если вы не вошли в систему с администратором, вам необходимо выбрать этот файл)

Срок действия: в какое время он больше не будет получать доступ, когда пользователи впервые авторизоваться.

Стартов:

Цена: если вы покрываете цену, вы можете установить

Общие пользователи: если вы разрешаете одному пользователю иметь доступ к нескольким устройствам одновременно, вы не можете указать номер 1.

Нажмите «Сохранить профиль»

Выберите «Добавить новое ограничение»

-Период: зависит от вашей реальной ситуации.

-Пределы: выберите, к каким ограничениям будут применяться, и нажмите «Добавить», чтобы завершить настройку.

** «Новый лимит» имеет ту же функцию «Лимит

.

Конфигурация MikroTik Radius с FreeRADIUS

FreeRADIUS — это высокопроизводительный пакет RADIUS, обеспечивающий аутентификацию, авторизацию и учет для большого количества сетевых устройств, включая MikroTik Router. Хотя MikroTik имеет службу диспетчера пользователей RADIUS для обеспечения аутентификации, авторизации и учета, но она не бесплатна для настройки и не подходит для средних и крупных организаций. С другой стороны, freeRADIUS бесплатен для настройки в соответствии с требованиями вашей организации.Но freeRADIUS должен быть настроен вами. В моей предыдущей статье я обсуждал, как установить и настроить freeRADIUS в дистрибутиве CentOS 7 Linux. В этой статье я покажу, как подключить MikroTik Router к серверу freeRADIUS и аутентифицировать логин MikroTik с пользователями freeRADIUS.

Сетевая диаграмма

Для конфигурации этой статьи я следую сетевой диаграмме, как показано на рисунке ниже.

MikroTik Router с FreeRADIUS

В этой сети WAN-интерфейс MikroTik Router (RouterBOARD 1100 AHX2) (ether1) подключен к Интернету через распределительный коммутатор WAN с IP-адресом 192.168,40,8 / 25. MikroTik Router также имеет сеть LAN с IP-сетью 10.10.60.0/24. Сервер freeRADIUS, установленный на CentOS 7 Linux Server, также подключен к Интернету через коммутатор WAN с IP-адресом 192.168.40.10. Таким образом, MikroTik Router может видеть сервер freeRADIUS через интерфейс WAN и коммутатор WAN.

В этой статье мы настроим пользователей MikroTik Radius и MikroTik, чтобы MikroTik Router мог запрашивать аутентификацию и авторизацию пользователя для входа с сервера freeRADIUS. Мы также настроим клиента и пользователя freeRADIUS так, чтобы freeRADIUS мог принимать запрос аутентификации MikroTik и мог аутентифицировать пользователей из своей пользовательской базы данных с надлежащей авторизацией.

Итак, спроектируйте свою сеть MikroTik и freeRADIUS в соответствии с приведенной выше схемой сети и следуйте приведенному ниже разделу для настройки сети.

MikroTik Router с FreeRADIUS Server

Теперь мы приступим к настройке MikroTik Radius с freeRADIUS Server для аутентификации и авторизации пользователя MikroTik, входящего в систему с freeRADIUS Server. Полную конфигурацию MikroTik radius с freeRADIUS можно разделить на две части.

  • MikroTik Router Radius Configuration
  • FreeRADIUS Client and User Configuration

Часть 1: MikroTik Router RADIUS Configuration

В этой части мы выполним базовую конфигурацию MikroTik Router, конфигурацию MikroTik Radius и войдем в конфигурацию RADIUS, чтобы пользователь мог войти в систему. пройти аутентификацию на сервере freeRADIUS.Следующие шаги покажут, как настроить эти темы в вашем MikroTik Router.

Шаг 1: Базовая настройка MikroTik Router

Следующие шаги покажут, как выполнить базовую настройку на вашем MikroTik Router.

  • Войдите в свой маршрутизатор MikroTik с помощью Winbox с полными правами пользователя.
  • Перейдите в пункт меню IP> Адреса. Появится окно со списком адресов. Щелкните ЗНАК ПЛЮС (+). Появится окно нового адреса.
  • Поставить RouterOS WAN IP {192.168.40.8 / 25) в поле ввода Addres s и выберите WAN interface (ether1) из выпадающего меню Interface, а затем нажмите Appl y и кнопку OK. Снова нажмите ЗНАК ПЛЮС (+) и введите IP-адрес шлюза LAN (10.10.60.1/24) в поле ввода адреса и выберите интерфейс LAN (ether2) в раскрывающемся меню Интерфейс, а затем нажмите кнопку Применить и ОК.
  • Теперь перейдите в IP> DNS и введите IP-адрес вашего DNS-сервера (IP-адрес публичного DNS-сервера: 8.8.8.8 или 8.8.4.4) в поле ввода «Серверы», а затем нажмите кнопку «Применить» и «ОК».
  • Перейдите в IP> Маршруты и нажмите ЗНАК ПЛЮС (+). Появится окно нового маршрута. Щелкните поле ввода Gatewa y и введите IP-адрес своего интернет-шлюза (192.168.40.1) в поле ввода шлюза, а затем нажмите кнопку Применить и ОК.
  • Перейдите в IP> Брандмауэр и щелкните вкладку NAT. Теперь нажмите ЗНАК ПЛЮС (+). Появится окно New NAT Rule. На вкладке «Общие» выберите srcnat в раскрывающемся меню «Цепочка». На вкладке «Действие» выберите маскарад в раскрывающемся меню «Действие». Нажмите кнопку Применить и ОК.

MikroTik Router в базовой конфигурации —

.

Установка точки доступа MikroTik с помощью Radius Server (диспетчер пользователей)

Точка доступа — одна из самых популярных услуг в маршрутизаторе MikroTik. Он широко используется в отелях и ресторанах, на вокзалах или в аэропортах, в школах или университетских городках и так далее. Даже сеть интернет-провайдеров и офисная сеть также используют MikroTik Hotspot для аутентификации сетевых клиентов / пользователей. Пользователем Hotspot можно управлять с помощью локальной базы данных пользователей Hotspot или с помощью Radius Server. Radius Server дает возможность легко и централизованно управлять полосой пропускания и учетными записями пользователей Hotspot.Итак, установка точки доступа с помощью Radius Server может быть мудрым решением. MikroTik User Manager Radius Server — это централизованное приложение для аутентификации и учета пользователей, которое дает интернет-провайдеру или сетевому администратору возможность управлять пользователями PPP, пользователями Hotspot и пользователями входа в систему с одного сервера в большой сети. Он также имеет отличную функцию управления пакетами пропускной способности пользователя. Таким образом, конфигурация сети с помощью MikroTik Hotspot и MikroTik User Manager Radius Server будет разумным решением. Для этого в этой статье я расскажу, как настроить умную сеть с помощью MikroTik Hotspot и MikroTik User Manager Radius Server.

Назначение статьи

Цель этой статьи — получить возможность настроить сеть отелей и ресторанов, сеть железнодорожного вокзала или аэропорта, сеть школы или университетского городка, сеть Интернет-провайдера или офисную сеть с помощью MikroTik Hotspot и MikroTik User Manager Radius. Сервер.

Схема сети

Для настройки в этой статье я собираюсь создать сеть, как показано на схеме ниже.

MikroTik Hotspot Network с диспетчером пользователей Radius Server

Это простая и базовая схема сети.В реальной ситуации ваша сеть может быть больше, чем эта сеть, но основная диаграмма останется прежней. В этой сети коммутатор распределения WAN подключен к интернет-шлюзу. Интерфейс WAN MikroTik Router (NAS) и Radius-сервер MikroTik User Manager подключены к этому распределительному коммутатору WAN. Пользователи точки доступа будут подключены к маршрутизатору NAS через коммутатор LAN и получат доступ в Интернет.

Основные устройства и информация об IP

Чтобы настроить сеть Hotspot в соответствии с приведенной выше схемой сети, я установил и выполнил начальную настройку пакета MikroTik User Manager Radius Server Package на выделенном физическом сервере, на котором работает MikroTik RouterOS.У меня также есть физический MikroTik RouterOS (MikroTik RouterBOARD 1100AHX2), который является NAS (сервером доступа к сети) RouterOS в этой сети. Информация об IP, которую я использую для этой конфигурации сети, приведена ниже.

  • Radius Server IP: 192.168.110.10/28
  • MikroTik RouterOS (NAS) WAN IP: 192.168.110.2/28
  • LAN IP Block: 192.168.10.0/24
  • IP Hotspot Server: 192.168.10.1

Эта информация IP предназначена только для моей цели RND. Итак, измените эту информацию в соответствии с требованиями вашей сети.

MikroTik Конфигурация точки доступа с помощью MikroTik User Manager Radius Server

Теперь мы собираемся начать конфигурацию нашей сети Hotspot с помощью User Manager Radius Server в соответствии с приведенной выше схемой сети. Полную конфигурацию можно разделить на две части.

  • Часть 1: Конфигурация MikroTik RouterOS (NAS-маршрутизатор)
  • Часть 2: Диспетчер пользователей MikroTik Конфигурация Radius Server

Часть 1: Конфигурация MikroTik RouterOS (NAS-маршрутизатор)

В первой части мы настроим нашу MikroTik RouterOS (NAS), чтобы он мог превращаться в Hotspot Server и связываться с Radius Server для аутентификации пользователей.Полную настройку можно разделить на следующие темы.

  • Базовая конфигурация MikroTik RouterOS
  • Конфигурация точки доступа в MikroTik RouterOS
  • Конфигурация Radius-клиента в MikroTik RouterOS

Базовая конфигурация MikroTik RouterOS

Базовая конфигурация MikroTik Router включает назначение WAN IP, назначение DNS IP, конфигурацию шлюза по умолчанию и конфигурацию NAT . Следующие шаги покажут, как выполнять эти темы в вашей MikroTik RouterOS.

  • Войдите в свой маршрутизатор MikroTik с помощью Winbox с полными правами пользователя, например, с правами администратора.
  • Перейдите в пункт меню IP> Адреса . Список адресов появится окно. Щелкните ЗНАК ПЛЮС (+). Новый адрес появится окно.
  • Поместите RouterOS WAN IP (RouterOS WAN IP: 192.168.110.2/28) в поле ввода Address и выберите WAN interface в раскрывающемся меню Interface , а затем нажмите Apply and OK .
  • Теперь перейдите на IP> DNS. Появится окно настроек DNS . Введите IP-адрес DNS-сервера (IP-адрес общедоступного DNS-сервера: 8.8.8.8 или 8.8.4.4) в поле ввода Servers , а затем нажмите кнопку Apply и OK .
  • Перейдите к IP > Маршруты . Список маршрутов появится окно. Щелкните ЗНАК ПЛЮС (+). Появится окно нового маршрута . Щелкните поле ввода Gateway и введите IP-адрес вашего интернет-шлюза (в этой сети: 192.168.110.1) в этом поле ввода. Нажмите Применить и OK .

Базовая настройка MikroTik Router завершена. Теперь мы настроим Hotspot Server в нашем NAS RouterOS.

Н

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *