Появился у меня некий Windows-сервер, который будет установлен непонятно где в совершенно не доверенной среде – кто там бродит возле него, что происходит вокруг – совершенно не ясно! Сервер соединен с сетью офиса посредством маршрутизатора, понятно какой марки, где поднят прозрачный EoIP-туннель… Т.е. подключившись вместо сервера на порт1), кто-то мог получить вполне себе доступ в офисную сеть. Не порядок!
В общем, задача, вроде, и простая – поднять RADIUS в лице User Manager, да активировать Dot1X, но, по факту, не лишена нюансов, на решение которых мне пришлось положить целый вечер. Забегая вперед скажу, что моя проблема заключалась в отсутствии сертификата!
Основное условие решения задачи, это наличие RouterOS версии не ниже 7.1 (Если ее нет, нужно обновиться!), т.к. до этой версии User Manager не поддерживал современные методы проверки подлинности2)!
При наличии любых проблем, первым делом нужно включить запись отладочных сообщений в лог.
/system logging add prefix=DOT topics=dot1x add prefix=MAN topics=manager add prefix=RAD topics=radius
В итоге я увидел такие ошибки:
manager, debug | MAN: EAP rejected for user: "" ssl: no common ciphers dot1x, debug | DOT: s Ethernet 2 "dot-user" radius req timeout on dot1x, waiting for eap timeout
Немного погуглив, на каком-то забугорном форме заметил упоминание какого-то чувака, что он не встречал работы RADIUS без сертификата, хотя бы самоподписанного… О!
Ну, а теперь по порядку.
Настройка производится на RouterOS 7.8.
Для работы User Manager более чем достаточно самоподписанного сетрификата, сгенерированного прямо на устройстве.
/certificate add name="User Manager Certificate" common-name="mikrotik.lan" subject-alt-name=IP:127.0.0.1 days-valid=3650 trusted=yes sign "User Manager Certificate"
User Manager устанавливается отдельно из архива «Extra packages»!
/user-manager user group add inner-auths=peap-mschap2 name="Group 1" outer-auths=eap-peap user add group="Group 1" name=dot-user password="dot-user pwd" profile add name="Profile 1" name-for-users=Profile validity=unlimited user-profile add profile="Profile 1" user=dot-user user-profile activate-user-profile [find user="dot-user"] router add address=127.0.0.1 name="Router 1" shared-secret="StrongPWD" set certificate="User Manager Certificate" enabled=yes
Вот честно! Несколько мутная схема! Явно заточена не под простую аутентификацию…
Тут все просто – добавляем сервер и все.
/radius add address=127.0.0.1 service=dot1x src-address=127.0.0.1 secret="StrongPWD"
И, наконец, добавляем авторизацию на нужных портах.
/interface/dot1x/server add interface="ether2"
На сервере сперва нужно перевести службу «Проводная автонастройка (dot3svc)» в автоматический режим запуска и, собственно, запустить.
@echo off sc config dot3svc start=auto net start dot3svc pause
Далее, по сути, нужно только ввести учетные данные в свойствах проводного подключения:
Прочие настройки, вроде, установлены по умолчанию правильно, но на всякий случай, вот скриншоты рабочих настроек:
Обсуждение