Инструменты пользователя

Инструменты сайта


mikrotik:rb952ui-5ac2nd-tc:routeros:dot1x

Настройка Dot1X на MikroTik

Появился у меня некий Windows-сервер, который будет установлен непонятно где в совершенно не доверенной среде – кто там бродит возле него, что происходит вокруг – совершенно не ясно! Сервер соединен с сетью офиса посредством маршрутизатора, понятно какой марки, где поднят прозрачный EoIP-туннель… Т.е. подключившись вместо сервера на порт1), кто-то мог получить вполне себе доступ в офисную сеть. Не порядок!

В общем, задача, вроде, и простая – поднять RADIUS в лице User Manager, да активировать Dot1X, но, по факту, не лишена нюансов, на решение которых мне пришлось положить целый вечер. :-\ Забегая вперед скажу, что моя проблема заключалась в отсутствии сертификата!

:!: Основное условие решения задачи, это наличие RouterOS версии не ниже 7.1 (Если ее нет, нужно обновиться!), т.к. до этой версии User Manager не поддерживал современные методы проверки подлинности2)!

Отладка

При наличии любых проблем, первым делом нужно включить запись отладочных сообщений в лог.

debug-logs.rsc
/system logging
add prefix=DOT topics=dot1x
add prefix=MAN topics=manager
add prefix=RAD topics=radius

В итоге я увидел такие ошибки:

manager, debug | MAN: EAP rejected for user: "" ssl: no common ciphers
dot1x,   debug | DOT: s Ethernet 2 "dot-user" radius req timeout on dot1x, waiting for eap timeout

Немного погуглив, на каком-то забугорном форме заметил упоминание какого-то чувака, что он не встречал работы RADIUS без сертификата, хотя бы самоподписанного… О!

Настройка

Ну, а теперь по порядку.

:!: Настройка производится на RouterOS 7.8.

Certificates

Для работы User Manager более чем достаточно самоподписанного сетрификата, сгенерированного прямо на устройстве.

certificate.rsc
/certificate
add name="User Manager Certificate" common-name="mikrotik.lan" subject-alt-name=IP:127.0.0.1 days-valid=3650 trusted=yes
sign "User Manager Certificate"

User Manager

:!: User Manager устанавливается отдельно из архива «Extra packages»!

  1. Создаем группу, где оставляем только EAP-PEAP и PEAP-MSCHAP23);
  2. создаем пользователя в этой группе;
  3. создаем безлимитный профиль;
  4. добавляем пользователя в профиль;
  5. активируем профиль;
  6. добавляем роутер4);
  7. указываем сертификат и включаем User Manager.
user-manager.rsc
/user-manager
user group add inner-auths=peap-mschap2 name="Group 1" outer-auths=eap-peap
user add group="Group 1" name=dot-user password="dot-user pwd"
profile add name="Profile 1" name-for-users=Profile validity=unlimited
user-profile add profile="Profile 1" user=dot-user
user-profile activate-user-profile [find user="dot-user"]
router add address=127.0.0.1 name="Router 1" shared-secret="StrongPWD"
set certificate="User Manager Certificate" enabled=yes

Вот честно! Несколько мутная схема! Явно заточена не под простую аутентификацию… m(

RADIUS

Тут все просто – добавляем сервер и все.

radius.rsc
/radius add address=127.0.0.1 service=dot1x src-address=127.0.0.1 secret="StrongPWD"

Dot1X

И, наконец, добавляем авторизацию на нужных портах.

dot1x.rsc
/interface/dot1x/server add interface="ether2"

Подключение

На сервере сперва нужно перевести службу «Проводная автонастройка (dot3svc)» в автоматический режим запуска и, собственно, запустить.

service.cmd
@echo off
sc config dot3svc start=auto
net start dot3svc
pause

Далее, по сути, нужно только ввести учетные данные в свойствах проводного подключения:

  1. открыть закладку «Проверка подлинности»;
  2. нажать «Дополнительные параметры…»;
  3. отметить «Указать режим проверки подлинности»;
  4. выбрать «Проверка подлинности пользователя»;
  5. нажать «Сохранить учетные данные».

Прочие настройки, вроде, установлены по умолчанию правильно, но на всякий случай, вот скриншоты рабочих настроек:

1)
Понятно, что все другие порты программно отключены.
2)
А Windows Server уже давно не имеет поддержи тех старых, которые знает не менее старый User Manager…
3)
На всякий случай отключаем все не используемые протоколы проверки подлинности.
4)
В данном случае, это loopback-адрес, т.к. все крутится на одном устройстве.

Обсуждение

Ваш комментарий:
C Q O W​ G L P N R E P P L A​ M U
 
Последнее изменение: 2023/03/09 18:48 — Николай Солошин