Настройка радиуса Wi-Fi Mikrotik

Обновлено: 21.11.2024

Аутентификация MikroTik WiFi MAC с помощью UserMan RADIUS Server

Беспроводной маршрутизатор MikroTik широко используется в качестве точки доступа Wi-Fi. MikroTik WiFi AP имеет множество функций для настройки сети Wi-Fi в соответствии с вашими требованиями. Аутентификация по MAC-адресу — одна из замечательных и полезных функций MikroTik WiFi. Аутентификация MAC позволяет фильтровать MAC-адреса, что означает, что ни один MAC-адрес не сможет подключиться к точке доступа Wi-Fi без аутентификации. Аутентификация MAC может выполняться либо по локальной базе данных, либо по RADIUS-серверу. Аутентификация MAC с сервером RADIUS обеспечивает возможность управления несколькими точками доступа из централизованной базы данных. Диспетчер пользователей — это приложение RADIUS, разработанное командой MikroTik, и его можно использовать для простого управления пользователями PPPoE, Hotspot, DHCP и Wireless. О том, как установить User Manager RADIUS Server с базовой конфигурацией, рассказывалось в моей предыдущей статье. Я также обсуждал, как настроить беспроводной маршрутизатор MikroTik в качестве точки доступа Wi-Fi в другой статье. В этой статье я расскажу, как управлять пользователем WiFi с помощью User Manager RADIUS Server.

Сетевая схема

Для конфигурации этой статьи используется следующая схема сети.

На этой сетевой схеме беспроводной маршрутизатор MikroTik (RB941-2nD) используется в качестве точки доступа Wi-Fi (IP: 192.168.70.2), которая подключена к коммутатору WAN, где находится RADIUS-сервер диспетчера пользователей (IP: 192.168.70.3). тоже подключен. Точка доступа Wi-Fi будет настроена как точка доступа с аутентификацией по MAC-адресу, поэтому ни одно беспроводное устройство (ноутбук, смартфон, ноутбук и т. д.) не будет подключено без предоставления MAC-адреса, и MAC-адрес будет аутентифицирован с сервера RADIUS.

Конфигурация точки доступа Wi-Fi с проверкой подлинности MAC и сервером RADIUS

Полная конфигурация точки доступа Wi-Fi с проверкой подлинности MAC-адресов и сервером User Manager RADIUS может быть разделена на следующие две части.

Включение проверки подлинности MAC с сервера RADIUS в точке доступа Wi-Fi
Конфигурация RADIUS-сервера диспетчера пользователей для аутентификации устройств WiFi

Часть 1. Включение аутентификации по MAC-адресу с сервера RADIUS в точке доступа Wi-Fi MikroTik

Конфигурация беспроводного маршрутизатора MikroTik в качестве точки доступа WiFi обсуждалась в другой статье. Схема аутентификации по умолчанию в MikroTik WiFi AP такова, что любой может подключиться, просто зная SSID и пароль. Эта схема явно не подходит для защищенной сети. Таким образом, аутентификация по MAC-адресу — лучший выбор для любой беспроводной сети. Поскольку аутентификация по MAC-адресу не включена по умолчанию, мы должны включить аутентификацию по MAC-адресу вручную, чтобы применить эту схему. Следующие шаги покажут, как включить аутентификацию RADIUS MAC в MikroTik WiFi AP.

В Winbox выберите пункт меню «Беспроводная сеть». Появится окно «Беспроводные столы».
Перейдите на вкладку «Профили безопасности», а затем дважды щелкните созданный профиль WiFi, который используется точкой доступа WiFi. Появится окно профиля безопасности.
Перейдите на вкладку RADIUS и установите флажок "Аутентификация по MAC-адресу".
Если вы хотите использовать учет MAC-адресов, установите флажок «Учет MAC-адресов» и установите «Промежуточное обновление» (например, 00:00:59 для интервала в одну минуту) (интервал времени для отправки состояния учета на сервер RADIUS).
При желании вы можете выбрать предпочтительный формат MAC-адреса в раскрывающемся меню «Формат MAC-адреса».
Вы также можете указать, будет ли MAC-адрес отправляться только как имя пользователя или как имя пользователя, так и пароль на сервер RADIUS для аутентификации. Режим MAC по умолчанию — только имя пользователя, и я сохраняю настройку по умолчанию.
Нажмите кнопку "Применить" и "ОК".

Точка доступа Wi-Fi MikroTik теперь является точкой доступа Wi-Fi с аутентификацией по MAC-адресу, и аутентификация по MAC-адресу будет проверяться с сервера RADIUS. Таким образом, если RADIUS-сервер разрешает любой MAC-адрес, устройству будет разрешено подключаться к точке доступа WiFi, в противном случае устройство будет отклонено.

Теперь нам нужно настроить RADIUS-клиент в MikroTik RouterOS, чтобы RouterOS могла связываться с RADIUS-сервером для отправки и получения данных аутентификации, авторизации и учета. Следующие шаги покажут, как настроить клиент RADIUS в MikroTik RouterOS.

В Winbox щелкните пункт меню RADIUS. Появится окно радиуса.
Нажмите ЗНАК ПЛЮС (+), чтобы добавить сервер RADIUS. Появится новое окно Radius Server.
Установите флажок беспроводной сети на панели «Сервис».
Укажите IP-адрес сервера RADIUS (в этой статье: 192.168.70.3) в поле ввода адреса.
Поместите общий секрет (в этой статье: 123) в поле ввода секрета и запомните его, потому что вы должны указать этот секрет в конфигурации маршрутизаторов серверов RADIUS.
Нажмите кнопку "Применить" и "ОК".
В окне RADIUS нажмите кнопку Входящие. Появится окно RADIUS Incoming.
Установите флажок «Принять», и порт по умолчанию будет 3799. Так что ничего не поделаешь. Нажмите кнопку «Применить» и «ОК».

Настройка клиента RADIUS в MikroTik RouterOS завершена. Теперь MikroTik RouterOS сможет обмениваться данными с назначенным сервером RADIUS.

Теперь мы настроим RADIUS-сервер диспетчера пользователей, чтобы беспроводное устройство могло пройти аутентификацию с RADIUS-сервера и получить надлежащую авторизацию.

Часть 2. Конфигурация RADIUS-сервера диспетчера пользователей для аутентификации устройств WiFi

Диспетчер пользователей — это приложение RADIUS, а сервер RADIUS используется для выполнения решения AAA (аутентификации, авторизации и учета). Итак, используя User Manger RADIUS Server, мы можем выполнять аутентификацию, авторизацию и учет WiFi-устройств в беспроводной сети. О том, как установить User Manager RADIUS Server с базовой конфигурацией, рассказывалось в другой статье. Итак, здесь я покажу только, как настроить диспетчер пользователей для аутентификации WiFi-устройств.

Сначала мы добавим наш беспроводной маршрутизатор в качестве устройства NAS диспетчера пользователей, чтобы диспетчер пользователей мог отвечать на любые запросы RADIUS нашего беспроводного маршрутизатора. Следующие шаги покажут, как добавить беспроводной маршрутизатор MikroTik в качестве устройства NAS в User Manager RADIUS Server.

Войти в веб-интерфейс диспетчера пользователей.
Выберите пункт меню "Маршрутизаторы". Появится страница маршрутизатора.
В верхней строке меню нажмите «Добавить», а затем выберите «Создать». Появится окно сведений о маршрутизаторе.
На главной панели введите осмысленное имя (например, MikroTik Router) для клиентского маршрутизатора в поле ввода имени.
Укажите IP-адрес клиентского маршрутизатора (пример: 192.168.70.2, который будет использовать Диспетчер пользователей в качестве клиента RADIUS) в поле ввода IP-адреса.
Поместите пароль, указанный в конфигурации клиента RouterOS RADIUS, в поле ввода общего секрета. Этот пароль должен совпадать, иначе беспроводной маршрутизатор не сможет взаимодействовать с этим сервером RADIUS.
На панели входящих сообщений Radius установите флажок CoA (изменение авторизации) и укажите порт CoA 3799. Этот порт будет использоваться для отправки подтверждения на устройство NAS для авторизации пользователя. Например, если пользователь превысит лимит времени, RADIUS-сервер сообщит устройству NAS о немедленном отключении пользователя.
Нажмите кнопку «Добавить», чтобы добавить это устройство NAS.

Беспроводной маршрутизатор и сервер User Manager RADIUS теперь готовы к обмену данными друг с другом. На следующем шаге мы настроим пользователя RADIUS, который будет аутентифицироваться в точке доступа WiFi.

В User Manager RADIUS Server каждый пользователь должен иметь профиль, в противном случае пользователь не может быть действительным. Итак, перед созданием пользователя мы должны настроить профиль для пользователей. В этой статье мы создадим три профиля в соответствии со следующей информацией.

Аналогично создайте пакеты размером 2 Мб и 5 Мб. После создания профилей мы теперь создадим пользователя и назначим созданный профиль пользователю.

Следующие шаги покажут, как создать пользователя в User Manager RADIUS Server.

Нажмите на пункт меню "Пользователи". Появится страница пользователя.
В верхней строке меню нажмите «Добавить», а затем нажмите «Один вариант». Появится всплывающее окно со сведениями о пользователе.
На главной панели укажите MAC-адрес устройства, который вы хотите разрешить, в поле ввода имени пользователя. Поскольку в конфигурации WiFi RADIUS мы выбрали только имя пользователя в режиме MAC, оставьте поле «Пароль» пустым.
На панели «Ограничения» вы можете установить IP-адрес для этого пользователя из поля ввода IP-адреса, а на панели «Беспроводная связь» вы можете установить частный пароль (пароль SSID) для этого пользователя в поле ввода предварительного ключа.
Вы также можете поместить личную информацию пользователя на панель личной информации.
В раскрывающемся меню «Назначить профиль» выберите любой созданный профиль (например, пакет 1 МБ), который вы хотите назначить этому пользователю.
Нажмите кнопку "Добавить", чтобы создать этого пользователя.

Вы можете создать любое количество пользователей для своей беспроводной сети, выполнив описанные выше шаги.

После создания пользователя подключите нужное беспроводное устройство к точке доступа Wi-Fi. Если все в порядке, желаемое устройство сможет подключиться к вашей беспроводной сети, и вы найдете активный сеанс пользователя в User Manager RADIUS Server.

Вы также можете найти статус подключенных пользователей на вкладке «Регистрация» в окне «Беспроводные таблицы». Здесь вы найдете скорость передачи данных пользователя в статусе AP Tx Limit.

Если кто-либо попытается подключиться к вашей точке доступа Wi-Fi, но ему это не разрешено, он будет отклонен.

Общий запрос: если кто-то знает разрешенный MAC-адрес и меняет свой MAC-адрес, он сможет подключиться в этом процессе взлома. У MikroTik есть простое решение для этой ситуации. Поместите закрытый пароль в предварительный ключ при создании пользователя в User Manager RADIUS Server. Чтобы подключиться к точке доступа Wi-Fi, пользователь должен совместить MAC-адрес и предварительный ключ, иначе он не сможет подключиться. Таким образом, взлом MAC-адреса будет бесполезен.

Если вы столкнулись с какой-либо путаницей при правильном выполнении описанных выше шагов, посмотрите следующее видео об аутентификации WiFi MAC с помощью сервера RADIUS. Я надеюсь, что это уменьшит вашу путаницу.

В этой статье обсуждалось, как настроить аутентификацию RADIUS MAC в беспроводном маршрутизаторе MikroTik. Надеюсь, теперь вы сможете настроить точку доступа Wi-Fi с аутентификацией по MAC-адресу с помощью User Manager RADIUS Server. Однако, если вы столкнетесь с какой-либо путаницей, не стесняйтесь обсуждать в комментариях или свяжитесь со мной со страницы контактов. Я постараюсь остаться с вами.

RADIUS, сокращение от Remote Authentication Dial-In User Service, представляет собой удаленный сервер, предоставляющий средства аутентификации и учета для различных сетевых устройств. Аутентификация и учет RADIUS дают интернет-провайдеру или сетевому администратору возможность управлять доступом и учетом пользователей PPP с одного сервера в большой сети. MikroTik RouterOS имеет клиент RADIUS, который может выполнять аутентификацию для соединений HotSpot, PPP, PPPoE, PPTP, L2TP и ISDN. Атрибуты, полученные от сервера RADIUS, переопределяют те, которые заданы в профиле по умолчанию, но если некоторые параметры не получены, они берутся из соответствующего профиля по умолчанию.

К базе данных RADIUS-сервера обращаются только в том случае, если в локальной базе данных маршрутизатора не найдена соответствующая запись доступа пользователя.

Трафик учитывается локально с помощью MikroTik Traffic Flow, а пары IP-адресов Cisco и моментальные снимки могут быть собраны с помощью утилит Syslog. Если учет RADIUS включен, учетная информация также отправляется на сервер RADIUS по умолчанию для этой службы.

Клиент RADIUS

Это подменю позволяет добавлять/удалять клиентов RADIUS.

Примечание. Порядок добавления элементов в этот список имеет значение.

Свойства

hotspot — служба аутентификации HotSpot
логин — локальная аутентификация пользователя маршрутизатора
ppp — аутентификация клиентов "точка-точка"
беспроводная сеть — аутентификация беспроводного клиента (в качестве имени пользователя передается MAC-адрес клиента)
dhcp — аутентификация клиента по протоколу DHCP (MAC-адрес клиента отправляется как имя пользователя)

Примечание. Клиенты Microsoft Windows отправляют свои имена пользователей в формате домен\имя пользователя

Примечание. Когда RADIUS-сервер аутентифицирует пользователя с помощью CHAP, MS-CHAPv1, MS-CHAPv2, он не использует общий секрет, секрет используется только в ответе аутентификации, и маршрутизатор проверяет его. Поэтому, если у вас неправильный общий секрет, сервер RADIUS примет запрос, но маршрутизатор не примет ответ. Вы можете видеть, что с командой /radius monitor число «плохих ответов» должно увеличиваться всякий раз, когда кто-то пытается подключиться.

Пример

Чтобы настроить клиент RADIUS для служб HotSpot и PPP, который будет проходить аутентификацию на сервере RADIUS (10.0.0.3), необходимо сделать следующее:

Чтобы настроить клиент RADIUS с RadSec, необходимо сделать следующее:

Примечание. Убедитесь, что указанный сертификат является доверенным.

Чтобы просмотреть статистику клиента RADIUS, необходимо сделать следующее:

Убедитесь, что вы включили аутентификацию RADIUS для нужных служб:

Завершение соединения из RADIUS

Подменю: /радиус входящего

Эта функция поддерживает нежелательные сообщения, отправленные с сервера RADIUS. Незапрошенные сообщения расширяют команды протокола RADIUS, которые позволяют завершить сеанс, который уже был подключен с сервера RADIUS. Для этого используются DM (Disconnect-Messages). Сообщения об отключении вызывают немедленное завершение сеанса пользователя.

Примечание: RouterOS не поддерживает POD (Packet of Disconnect) — другой пакет запроса доступа RADIUS, выполняющий функцию, аналогичную сообщениям об отключении

Свойства

Свойство	Описание
принять (да \| нет< /em>; По умолчанию: нет)	Принимать ли нежелательные сообщения
порт (целое число; По умолчанию: 3799)	Номер порта для прослушивания запросов

Поддерживаемые атрибуты RADIUS

Здесь вы можете загрузить справочный словарь RADIUS, который включает в себя все необходимые атрибуты RADIUS. Это минимальный словарь, которого достаточно для поддержки всех функций MikroTik RouterOS. Он разработан для FreeRADIUS, но может также использоваться со многими другими RADIUS-серверами UNIX (например, XTRAdius).

Примечание: это может конфликтовать с конфигурационными файлами по умолчанию сервера RADIUS, в которых есть ссылки на Атрибуты, отсутствующие в этом словаре. Пожалуйста, исправьте файлы конфигурации, а не словарь, так как другие атрибуты не поддерживаются MikroTik RouterOS.

Существует также специальный словарь RADIUS MikroTik, который можно включить в существующий словарь для поддержки атрибутов, специфичных для MikroTik.

Определения

PPP — PPP, PPTP, PPPoE и ISDN
Конфигурация по умолчанию — настройки в профиле по умолчанию (для PPP) или настройки сервера HotSpot (для HotSpot)

Запрос на доступ

В зависимости от методов аутентификации (ПРИМЕЧАНИЕ: HotSpot использует CHAP по умолчанию и может также использовать PAP, если включены незашифрованные пароли, он не может использовать MSCHAP):

User-Password — зашифрованный пароль (используется при аутентификации PAP)
CHAP-Password, CHAP-Challenge — зашифрованные пароль и запрос (используется при проверке подлинности CHAP)
MS-CHAP-Response, MS-CHAP-Challenge — зашифрованные пароль и запрос (используется с аутентификацией MS-CHAPv1)
MS-CHAP2-Response, MS-CHAP-Challenge — зашифрованные пароль и запрос (используется с аутентификацией MS-CHAPv2)

Доступ-Принять

Frame-IP-Address — IP-адрес, предоставленный клиенту. Если адрес принадлежит сети 127.0.0.0/8 или 224.0.0.0/3, пул IP-адресов используется из профиля по умолчанию для выделения IP-адреса клиента. Если указан Framed-IP-Address, Framed-Pool игнорируется
Framed-IP-Netmask — сетевая маска клиента. PPPs - если указано, будет создан маршрут к сети, которой принадлежит Framed-IP-Address, через шлюз Framed-IP-Address; HotSpot — игнорируется HotSpot
Framed-Pool — имя пула IP-адресов (на маршрутизаторе), из которого можно получить IP-адрес для клиента. Если указан Framed-IP-Address, этот атрибут игнорируется
Framed-IPv6-Prefix — префикс Ipv6, назначенный клиенту. Добавлено в версии 5.8.
Mikrotik-Delegated-IPv6-Pool — пул IPv6, используемый для делегирования префиксов. Добавлено в версии 5.9.
Delegated-IPv6-Prefix — префикс IPv6. Добавлено в версии 6.43.
Delegated-IPv6-Prefix-Pool — пул префиксов IPv6, используемый для делегирования префиксов. Добавлено в версии 6.43.

ПРИМЕЧАНИЕ: если указан Framed-IP-Address или Framed-Pool, он переопределяет удаленный адрес в конфигурации по умолчанию

Idle-Timeout — переопределяет время простоя в конфигурации по умолчанию.
Session-Timeout – переопределяет время ожидания сеанса в конфигурации по умолчанию.
Ограничение портов – максимальное количество одновременных подключений с использованием одного и того же имени пользователя (переопределяет свойство общих пользователей профиля пользователя HotSpot)
Класс — файл cookie, будет включен в Accounting-Request без изменений.
Framed-Route — маршруты для добавления на сервер. Формат указан в RFC 2865 (гл. 5.22), может быть указан столько раз, сколько необходимо
Filter-Id — имя цепочки фильтров брандмауэра. Он используется для создания динамического правила брандмауэра. Имя цепочки межсетевого экрана может иметь суффикс .in или .out, что позволит установить правило только для входящего или исходящего трафика. Можно указать несколько идентификаторов фильтра, но используются только последние для входящих и исходящих. Для PPP - правила фильтрации в цепочке ppp, которые будут переходить на указанную цепочку, если пакет пришел/от клиента (это означает, что вы должны сначала создать цепочку ppp и сделать правила перехода, которые будут ставить реальный трафик в эту цепочку) . То же самое относится и к HotSpot, но правила будут созданы в цепочке точек доступа.
Mikrotik-Mark-Id — имя цепочки управления брандмауэром (только для HotSpot). Клиент MikroTik RADIUS при получении этого атрибута создает динамическое правило управления брандмауэром с action=jump chain=hotspot и jump-target, равным значению атрибута. Имя цепочки Mangle может иметь суффиксы .in или .out, что установит правило только для входящего или исходящего трафика. Можно указать несколько атрибутов Mark-id, но используются только последние для входящих и исходящих.
Acct-Interim-Interval — промежуточное обновление для клиента RADIUS. PPP - если 0 использует указанный в RADIUS клиенте; HotSpot — учитывается только в том случае, если radius-interim-update=received в профиле сервера HotSpot
MS-MPPE-Encryption-Policy — свойство требовать шифрования (только для PPP)
MS-MPPE-Encryption-Types — свойство use-encryption, ненулевое значение означает использование шифрования (только PPP)
Ascend-Data-Rate – ограничение скорости передачи/приема данных, если указано несколько атрибутов, первый ограничивает скорость передачи, второй – скорость приема. При использовании вместе с Ascend-Xmit-Rate указывает скорость приема. 0, если неограничен. Игнорируется, если присутствует атрибут Rate-Limit
Ascend-Xmit-Rate — ограничение скорости передачи данных. Его можно использовать только для указания лимита передачи вместо отправки двух последовательных атрибутов Ascend-Data-Rate (в этом случае Ascend-Data-Rate будет указывать скорость приема). 0, если неограничен. Игнорируется, если присутствует атрибут Rate-Limit
MS-CHAP2-Success — авторизация. ответ, если использовался MS-CHAPv2 (только для PPP)
MS-MPPE-Send-Key, MS-MPPE-Recv-Key — ключи шифрования для зашифрованных PPP, предоставляемые RADIUS-сервером только в том случае, если в качестве аутентификации использовался MS-CHAPv2 (только для PPP)
Ascend-Client-Gateway — клиентский шлюз для DHCP-пула, метод входа в HotSpot (только HotSpot)
Mikrotik-Recv-Limit — общий лимит на получение в байтах для клиента
Mikrotik-Recv-Limit-Gigawords — 4 ГБ (2^32) байт от общего лимита на получение (биты 32–63, когда в Mikrotik-Recv-Limit доставляются биты 0–31)
Mikrotik-Xmit-Limit — общий лимит передачи в байтах для клиента
Mikrotik-Xmit-Limit-Gigawords — 4 ГБ (2^32) байт от общего лимита передачи (биты 32–63, когда в Mikrotik-Recv-Limit доставляются биты 0–31)
Mikrotik-Wireless-Forward — не пересылать кадры клиента обратно в беспроводную инфраструктуру, если для этого атрибута установлено значение "0" (только для беспроводной сети).
Mikrotik-Wireless-Skip-Dot1x — отключить аутентификацию 802.1x для конкретного беспроводного клиента, если установлено ненулевое значение (только для беспроводной сети)
Mikrotik-Wireless-Enc-Algo — алгоритм шифрования WEP: 0 — без шифрования, 1 — 40-битный WEP, 2 — 104-битный WEP (только для беспроводной сети)
Mikrotik-Wireless-Enc-Key — ключ шифрования WEP для клиента (только для беспроводных сетей)
Mikrotik-Wireless-VLANID — идентификатор VLAN для клиента (только для беспроводной сети)
Mikrotik-Wireless-VLANID-type — тип идентификатора VLAN для клиента. 0 – тег 802.1q и 1 – тег 802.1ad (только беспроводная связь)
Mikrotik-Switching-Filter — позволяет создавать правила динамического переключения при аутентификации клиентов на сервере dot1x.
Mikrotik-Rate-Limit — ограничение скорости передачи данных для клиентов. Формат: rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate] [rx-burst-threshold[/tx-burst-threshold] [rx-burst-time[/tx- Burst-time] [priority] [rx-rate-min[/tx-rate-min]]]] с точки зрения маршрутизатора (таким образом, «rx» — это загрузка клиента, а «tx» — загрузка клиента). Все ставки должны быть числами с необязательными буквами «k» (1000) или «M» (1 000 000). Если tx-rate не указан, rx-rate также является tx-rate. То же самое касается tx-burst-rate, tx-burst-threshold и tx-burst-time. Если и rx-burst-threshold, и tx-burst-threshold не указаны (но задана Burst-rate), то rx-rate и tx-rate используются в качестве пороговых значений пакета. Если ни rx-burst-time, ни tx-burst-time не указаны, по умолчанию используется 1 с. Приоритет принимает значения 1..8, где 1 означает самый высокий приоритет, а 8 - самый низкий. Если rx-rate-min и tx-rate-min не указаны, используются значения rx-rate и tx-rate. Значения rx-rate-min и tx-rate-min не могут превышать значения rx-rate и tx-rate.
Mikrotik-Group — имя локальной группы пользователей маршрутизатора (определяется в /user group) для локальных пользователей; Профиль HotSpot по умолчанию для пользователей HotSpot; Имя профиля PPP по умолчанию для пользователей PPP.
Mikrotik-Advertise-URL — URL-адрес страницы с рекламой, которую следует показывать клиентам. Если указан этот атрибут, автоматически включаются рекламные объявления, в том числе прозрачные прокси, даже если они были явно отключены в соответствующем профиле пользователя. Несколько экземпляров атрибутов могут быть отправлены сервером RADIUS для указания дополнительных URL-адресов, которые выбираются в циклическом режиме.
Mikrotik-Advertise-Interval — интервал времени между двумя соседними объявлениями. Несколько экземпляров атрибута могут быть отправлены сервером RADIUS для указания дополнительных интервалов. Все значения интервалов обрабатываются как список и берутся по одному для каждого успешного объявления. Если достигнут конец списка, продолжает использоваться последнее значение.
WISPr-Redirection-URL – URL-адрес, на который будут перенаправлены клиенты после успешного входа в систему.
WISPr-Bandwidth-Min-Up — минимальная скорость передачи данных (CIR), предоставляемая для загрузки клиента.
WISPr-Bandwidth-Min-Down — минимальная скорость передачи данных (CIR), предоставляемая для загрузки клиента.
WISPr-Bandwidth-Max-Up — максимальная скорость передачи данных (MIR), предоставляемая для загрузки клиента.
WISPr-Bandwidth-Max-Down — максимальная скорость передачи данных (MIR), предоставляемая для загрузки клиента.
WISPr-Session-Terminate-Time - время, когда пользователь должен быть отключен; в формате "ГГГГ-ММ-ДДТчч:мм:ссТЗД", где Г - год; М - месяц; Д - день; T - символ-разделитель (должен быть написан между датой и временем); ч - час (в 24-часовом формате); м - минута; с - второй; TZD - часовой пояс в одной из следующих форм: "+чч:мм", "+ччмм", "-чч:мм", "-ччмм"

Примечание: полученные атрибуты переопределяют атрибуты по умолчанию (установленные в профиле по умолчанию), но если атрибут не получен от сервера RADIUS, будет использоваться атрибут по умолчанию.

Rate-Limit имеет приоритет над всеми другими способами указания скорости передачи данных для клиента. Атрибуты скорости передачи данных Ascend считаются вторыми; а атрибуты WISPr имеют последний приоритет.

Вот несколько примеров ограничения скорости:

128 000 – Rx-rate=128 000, tx-rate=128 000 (без пакетов)
64k/128M – скорость приема = 64 000, скорость передачи = 1 28000000
64k 256k — скорость приема/передачи = 64 000, скорость приема/передачи = 256 000, порог приема/передачи = 64 000, время приема/передачи = 1 с
64k/64k 256k/256k 128k/128k 10/10 — скорость приема/передачи = 64000, скорость приема/передачи = 256000, порог приема/передачи = 128000, частота приема/передачи- время=10 сек.

Отчетность-Запрос

Запрос учета имеет те же атрибуты, что и запрос доступа, а также следующие:

Acct-Status-Type — Start, Stop или Interim-Update
Acct-Authentic — проверка подлинности либо RADIUS, либо местным органом власти (только для PPP)
Класс — файл cookie сервера RADIUS, полученный в Access-Accept
Acct-Delay-Time — как долго маршрутизатор пытается отправить этот пакет Accounting-Request

Остановка и промежуточное обновление Accounting-Request

В дополнение к запросу на запуск учета следующие сообщения будут содержать следующие атрибуты:

Acct-Session-Time – время безотказной работы соединения в секундах.
Acct-Input-Octets — байты, полученные от клиента
Acct-Input-Gigawords — 4G (2^32) байт, полученных от клиента (биты 32..63, когда биты 0..31 доставляются в Acct-Input-Octets)
Acct-Input-Packets – количество пакетов, полученных от клиента.
Acct-Output-Octets — байты, отправленные клиенту
Acct-Output-Gigawords — 4 ГБ (2^32) байт, отправляемых клиенту (биты 32–63, когда биты 0–31 доставляются в Acct-Output-Octets)
Acct-Output-Packets — количество пакетов, отправленных клиенту

Запрос на остановку учета

Эти пакеты, в дополнение к пакетам промежуточного обновления, будут иметь:

Acct-Terminate-Cause — причина завершения сеанса (см. RFC 2866 ch. 5.10)

Изменение авторизации

Отключение RADIUS и изменение авторизации (в соответствии с RFC3576) также поддерживаются. Эти атрибуты могут быть изменены запросом CoA от сервера RADIUS:

Микротик-Групп
Микротик-Recv-Limit
Микротик-Xmit-Limit
Mikrotik-Rate-Limit
Ascend-Data-Rate (только если Mikrotik-Rate-Limit отсутствует)
Ascend-XMit-Rate (только если Mikrotik-Rate-Limit отсутствует)
Микротик-Марк-Ид
Идентификатор фильтра
Mikrotik-Реклама-URL
Микротик-Реклама-Интервал
Время ожидания сеанса
Время простоя
Ограничение количества портов

Обратите внимание, что таким образом изменить IP-адрес, пул или маршруты невозможно — для таких изменений пользователь должен быть сначала отключен.

Числовые значения атрибута RADIUS для MikroTik

Нажмите здесь, чтобы получить список атрибутов MikroTik в виде обычного текста (совместимый с FreeRadius).

< td>14988< td>MIKROTIK_RECV_LIMIT_GIGAWORDS < tr> < td>27

Имя	VendorID	Значение
MIKROTIK_RECV_LIMIT	14988	1
MIKROTIK_XMIT_LIMIT	14988	2
MIKROTIK_GROUP	14988	3
MIKROTIK_WIRELESS_FORWARD	14988	4
MIKROTIK_WIRELESS_SKIPDOT1X	14988	5
MIKROTIK_WIRELESS_ENCALGO	14988	6
MIKROTIK_WIRELESS_ENCKEY	14988	7
MIKROTIK_RATE_LIMIT	14988	8
MIKROTIK_REALM	14988	9
MIKROTIK_HOST_IP	14988	10
MIKROTIK_MARK_ID	14988	11< /td>
MIKROTIK_ADVERTISE_URL	14988	12
MIKROTIK_ADVERTISE_INTERVAL	13
14988	14
MIKROTIK_XMIT_LIMIT_GIGAWORDS	14988	15
MIKROTIK_WIRELESS_PSK	14988	16
MIKROTIK_TOTAL_LIMIT	14988	17
MIKROTIK_TOTAL_LIMIT_GIGWORDS	14988	18
MIKROTIK_ADDRESS_LIST	14988	19
MIKROTIK_WIRELESS_MPKEY	14988	20
MIKROTIK_WIRELESS_COMMENT	14988	21
MIKROTIK_DELEGATED_IPV6_POOL	14988	22
MIKROTIK_DHCP_OPTION_SET	14988	23
MIKROTIK_DHCP_OPTION_PARAM_STR1	14988	24
MIKROTIK_DHCP_OPTION_PARAM_STR2	14988	25
MIKROTIK_WIRELESS_VLANID	14988	26
MIKROTIK_WIRELESS_VLANIDTYPE	14988
MIKROTIK_WIRELESS_MINSIGNAL	14988	28
MIKROTIK_WIRELESS_MAXSIGNAL< /td>	14988	29

Все поддерживаемые числовые значения атрибутов

Примечание: FreeRadius уже предопределил эти атрибуты. Если вы используете другой сервер RADIUS, используйте таблицу ниже для создания файла словаря

Устранение неполадок

Мой сервер RADIUS принимает запрос аутентификации от клиента с "Auth: Login OK. ", но пользователь не может войти в систему. Счетчик плохих ответов увеличивается под монитором радиуса. Такая ситуация может возникнуть, если клиент радиуса и сервер имеют связь с высокой задержкой между ними. Попробуйте увеличить время ожидания клиента радиуса до 600 мс или более вместо 300 мс по умолчанию! Также дважды проверьте, совпадают ли секреты на клиенте и сервере!

FreeRADIUS — это высокопроизводительный пакет RADIUS, обеспечивающий аутентификацию, авторизацию и учет для большого количества сетевых устройств, включая MikroTik Router. Хотя у MikroTik есть служба RADIUS для управления пользователями, обеспечивающая аутентификацию, авторизацию и учет, она не бесплатна для настройки и не подходит для средних и крупных организаций. С другой стороны, freeRADIUS можно бесплатно настроить в соответствии с требованиями вашей организации. Но freeRADIUS должен быть настроен вами. В моей предыдущей статье я рассказывал, как установить и настроить freeRADIUS в дистрибутиве CentOS 7 Linux. В этой статье я покажу, как подключить маршрутизатор MikroTik к серверу freeRADIUS и аутентифицировать вход MikroTik с помощью пользователей freeRADIUS.

Сетевая схема

Для конфигурации этой статьи я использую схему сети, как на изображении ниже.

В этой сети интерфейс WAN маршрутизатора MikroTik (RouterBOARD 1100 AHX2) (ether1) подключен к Интернету через распределительный коммутатор WAN с IP-адресом 192.168.40.8/25. MikroTik Router также имеет локальную сеть с IP-сетью 10.10.60.0/24. Сервер freeRADIUS, установленный на сервере CentOS 7 Linux, также подключен к Интернету через коммутатор WAN с IP-адресом 192.168.40.10. Таким образом, MikroTik Router может видеть сервер freeRADIUS через WAN-интерфейс и WAN-коммутатор.

В этой статье мы настроим пользователей MikroTik Radius и MikroTik, чтобы маршрутизатор MikroTik Router мог запрашивать аутентификацию и авторизацию пользователя при входе в систему с сервера freeRADIUS. Мы также настроим клиента и пользователя freeRADIUS, чтобы freeRADIUS мог принимать запросы аутентификации MikroTik и мог аутентифицировать пользователей из своей пользовательской базы данных с надлежащей авторизацией.

Итак, спроектируйте свою сеть MikroTik и freeRADIUS в соответствии с приведенной выше сетевой схемой и следуйте приведенным ниже разделам, чтобы настроить свою сеть.

Роутер MikroTik с сервером FreeRADIUS

Теперь мы начнем настраивать MikroTik Radius с сервером freeRADIUS для аутентификации и авторизации пользователя, входящего в MikroTik, с сервера freeRADIUS. Полную настройку радиуса MikroTik с помощью freeRADIUS можно разделить на две части.

Конфигурация радиуса маршрутизатора MikroTik
Клиент FreeRADIUS и конфигурация пользователя

Часть 1. Настройка RADIUS маршрутизатора MikroTik

В этой части мы выполним базовую настройку MikroTik Router, настройку MikroTik Radius и настройку RADIUS для входа, чтобы пользователь, вошедший в систему, мог пройти аутентификацию с сервера freeRADIUS. Следующие шаги покажут, как настроить эти разделы в вашем маршрутизаторе MikroTik.

Шаг 1. Базовая настройка маршрутизатора MikroTik

Следующие шаги покажут, как выполнить базовую настройку маршрутизатора MikroTik.

Войдите в свой маршрутизатор MikroTik с помощью Winbox с правами пользователя с полными правами.
Перейти к пункту меню IP > Addresses. Появится окно списка адресов. Нажмите на ЗНАК ПЛЮС (+). Появится окно "Новый адрес".
Поместите RouterOS WAN IP s в поле ввода и выберите WAN interface (ether1) в раскрывающемся меню Interface, затем нажмите Apply и кнопку OK. Нажмите еще раз на ЗНАК ПЛЮС (+), введите IP-адрес шлюза LAN (10.10.60.1/24) в поле ввода адреса и выберите интерфейс LAN (ether2) в раскрывающемся меню «Интерфейс», а затем нажмите кнопку «Применить» и «ОК».
Теперь перейдите в раздел IP > DNS и введите IP-адрес вашего DNS-сервера (общедоступный IP-адрес DNS: 8.8.8.8 или 8.8.4.4) в поле ввода "Серверы", а затем нажмите кнопку "Применить" и "ОК".
Перейдите в раздел IP > Маршруты и нажмите ЗНАК ПЛЮС (+). Появится окно Новый маршрут. Нажмите на поле ввода Gateway и введите IP-адрес своего интернет-шлюза (192.168.40.1) в поле ввода Gateway, а затем нажмите кнопку Apply и OK.
Перейдите в раздел IP > Брандмауэр и щелкните вкладку NAT. Теперь нажмите на ЗНАК ПЛЮС (+). Появится окно Новое правило NAT. На вкладке «Общие» выберите «srcnat» в раскрывающемся меню «Цепочка». На вкладке «Действие» выберите маскарад в раскрывающемся меню «Действие». Нажмите кнопку "Применить" и "ОК".

Базовая настройка маршрутизатора MikroTik завершена. Теперь ваш MikroTik может подключаться к Интернету, а также к бесплатному серверу RADIUS. Пропингуйте свой DNS-сервер и сервер freeRADIUS из Winbox CLI. Если все в порядке, у вас все получится. Теперь мы настроим MikroTik Radius для связи с сервером freeRADIUS.

Шаг 2. Настройка MikroTik RADIUS

Следующие шаги покажут, как настроить MikroTik Radius для связи с сервером freeRADIUS.

Нажмите пункт меню «Радиус» в строке меню Winbox. Появится окно радиуса.
Нажмите ЗНАК ПЛЮС (+). Появится окно нового сервера Radius.
Установите флажок входа в систему на панели «Сервис».
Укажите IP-адрес сервера freeRADIUS (192.168.40.10) в поле ввода Адресаs.
Поместите общий секрет (например, SystemZone) в поле ввода секрета. Этот секрет должен быть таким же в конфигурации клиента freeRADIUS.
Нажмите кнопку "Применить" и "ОК".

Настройка Radius в MikroTik Router завершена. Теперь мы включим аутентификацию пользователя при входе в систему с сервером freeRADIUS на нашем маршрутизаторе MikroTik.

Шаг 3. Включение аутентификации и авторизации пользователя при входе с сервера freeRADIUS

Следующие шаги покажут, как включить аутентификацию и авторизацию пользователя при входе с сервера freeRADIUS.

Перейдите в пункт меню Система > Пользователи из Winbox.
Нажмите кнопку AAA. Появится окно аутентификации и учета при входе.
Установите флажок "Использовать RADIUS".
Нажмите кнопку "Применить" и "ОК".

Теперь MikroTik Router готов отправить запрос аутентификации и авторизации пользователя на сервер freeRADIUS. Теперь мы настроим клиент и пользователя freeRADIUS, чтобы он разрешал запрос аутентификации MikroTik Router, а также аутентифицировал и авторизовал пользователя MikroTik для входа в базу данных пользователей.

Часть 2. Клиент FreeRADIUS и конфигурация пользователя

Наш настроенный маршрутизатор MikroTik является клиентским устройством сервера freeRADIUS. Итак, сначала мы настроим клиент freeRADIUS, чтобы он мог принимать запрос аутентификации MikroTik Router, а затем мы создадим пользователя, который будет аутентифицирован и авторизован для входа в MikroTik Router из базы данных пользователей freeRADIUS. О том, как установить и настроить сервер freeRADIUS, было рассказано в моей предыдущей статье. Итак, если вы новичок в сервере freeRADIUS, потратьте некоторое время на установку и базовую настройку freeRADIUS, а затем выполните следующие шаги для настройки клиента и пользователя freeRADIUS.

Корпоративные варианты WPA и WPA2, также известные как 802.1x, используют сервер RADIUS для аутентификации. Аутентификация достигается с использованием вариантов протокола EAP.

Протокол PEAP часто используется для беспроводной аутентификации EAP. Это считается безопасным способом установления аутентификации EAP.

В этом руководстве показана базовая настройка для использования PEAP на беспроводном клиенте RouterOS. Мы будем использовать сервер FreeRADIUS версии 3 на Debian с конфигурацией по умолчанию, точкой доступа RouterOS и беспроводным клиентом RouterOS. Чтобы следовать этому руководству, вам потребуются базовые знания о сервере RADIUS и настройке беспроводной сети RouterOS.

Чтобы вам было легко следовать инструкциям и быстро приступить к работе, в этом руководстве используется конфигурация по умолчанию, насколько это возможно.

Сначала мы настроим RADIUS-сервер, затем точку доступа и беспроводной клиент. Наконец, мы рассмотрим основные способы устранения неполадок.

Настройка

В этом руководстве мы будем использовать следующую настройку:

192.168.88.1 — точка доступа RouterOS;
192.168.88.2 — сервер FreeRADIUS;
192.168.88.3 — беспроводной клиент RouterOS.

См. схему сети выше.

Свободный RADIUS

Предполагая, что вы уже установили сервер FreeRADIUS, перейдите в папку конфигурации FreeRADIUS:

Примечание. В зависимости от вашей операционной системы и версии FreeRADIUS папка конфигурации может находиться в другом месте.

В этой папке вы должны найти такие файлы, как client.conf , users , radiusd.conf и т. д.

Точки доступа, которые используют RADIUS для аутентификации своих беспроводных клиентов с точки зрения RADIUS, являются клиентами Radius. Чтобы разрешить точке доступа использовать RADIUS, вам необходимо отредактировать файл client.conf. Файл содержит документацию о том, как его использовать. Добавьте следующие строки:

Точка доступа — здесь можно указать любое имя, описывающее клиент Radius;
ipaddr - IP-адрес точки доступа;
secret — секретный пароль, который позволит точке доступа использовать службу RADIUS.

Чтобы контролировать (разрешать/ограничивать) доступ к беспроводному клиенту (телефону, ноутбуку, другому маршрутизатору и т. д.), вам необходимо отредактировать файл пользователей. Полезно просмотреть документацию по этому файлу, чтобы узнать об огромном количестве настроек, которые можно настроить для каждого пользователя. А пока просто добавьте следующую строку:

testing - имя пользователя, его необходимо будет указать при подключении к точке доступа;
password - пароль пользователя.

По умолчанию эта запись позволяет пройти аутентификацию пользователю с проверкой имени пользователя и паролем.

Для запуска сервера FreeRADIUS используйте radiusd -X . если вы хотите больше вывода отладки, используйте radiusd -Xx . Если вы измените какие-либо настройки FreeRADIUS, вам придется перезапустить сервер, чтобы изменения вступили в силу.

Точка доступа

Предполагая, что вы уже настроили беспроводные точки доступа и другие параметры, нам потребуется настроить профиль безопасности и клиент RADIUS.

Профиль безопасности

Профиль безопасности должен быть настроен таким образом, чтобы он использовал информацию EAP и сквозную аутентификацию для сервера RADIUS. Используйте следующую команду интерфейса командной строки для создания профиля безопасности:

имя - используйте здесь любое имя, по нему вы будете ссылаться на профиль безопасности при назначении беспроводному интерфейсу;
режим — установите динамические ключи для использования шифрования, в противном случае не используйте ни одного, чтобы иметь открытую точку доступа;
типы аутентификации — установка протокола безопасности, большинство устройств поддерживают wpa2-eap, который считается более безопасным, чем wpa-eap;
eap-methods — при настройке сквозной аутентификации пакеты EAP от беспроводного клиента перенаправляются на сервер RADIUS. passthrough — это значение по умолчанию для этого свойства.

Для других настроек можно оставить значения по умолчанию. Когда профиль безопасности создан, чтобы он вступил в силу, он должен быть настроен на беспроводной интерфейс:

wlan1 — имя беспроводного интерфейса, который вы используете в качестве клиента;
security-profile — установите имя только что созданного профиля безопасности, чтобы интерфейс мог его использовать.

При условии, что другие свойства беспроводного интерфейса уже настроены. Свойства, которые вы можете настроить, включают режим , диапазон , ширину канала , страну , частоту , список сканирования и другие.

Мы должны указать для точки доступа, какой сервер RADIUS использовать для ее беспроводной аутентификации. Установите следующую настройку RADIUS:

address - IP-адрес RADIUS-сервера;
secret - пароль для доступа клиента RADIUS к службам RADIUS, используйте тот же, что установлен для RADIUS в файле client.conf;
служба — укажите службу, для которой будет использоваться конкретный сервер RADIUS, при необходимости один и тот же сервер может использоваться для нескольких служб.

Беспроводной клиент

В этом руководстве в качестве беспроводного клиента мы используем маршрутизатор MikroTik. Предполагая, что беспроводная сеть и другие параметры уже настроены, нам нужно только настроить профиль безопасности.

Профиль безопасности

Профиль безопасности должен быть настроен точно — даже незначительные изменения или ошибки могут привести к неудачной аутентификации. Добавьте новый профиль безопасности:

имя - используйте здесь любое имя, по нему вы будете ссылаться на профиль безопасности при назначении беспроводному интерфейсу;
режим - установите использование динамических ключей для использования шифрования, в противном случае не используйте ничего, если ваша точка доступа открыта, т.е. не имеет защиты;
типы аутентификации — установка протокола безопасности, большинство устройств поддерживают wpa2-eap, который считается более безопасным, чем wpa-eap. Этот параметр должен совпадать с тем, что установлено на точке доступа;
eap-methods — установите значение peap, чтобы использовать метод PEAP.
supplicant-identity — используйте некоторую строку, может совпадать с именем пользователя, будет использоваться на первом этапе аутентификации PEAP для установления туннеля на основе TLS с сервером RADIUS. Не оставляйте пустым;
mschapv2-username — задается как имя пользователя RADIUS, должно совпадать с записью в файле пользователей RADIUS;
mschapv2-password - устанавливается как пароль пользователя RADIUS, должен совпадать с записью в файле пользователей RADIUS;
tls-mode — определите, как управлять сертификатами TLS. PEAP обычно использует сертификаты на стороне сервера, поэтому установите значение dont-verify-certificate .

Другие настройки следует оставить по умолчанию.

Наконец установите вновь созданный профиль безопасности для беспроводного интерфейса:

wlan1 — имя беспроводного интерфейса, который вы используете в качестве точки доступа;
security-profile — установите имя только что созданного профиля безопасности, чтобы интерфейс мог его использовать.

Предполагая, что другие параметры беспроводного интерфейса настроены для установления связи с точкой доступа и все остальные параметры верны, беспроводной клиент должен пройти аутентификацию успешно.

Этого руководства должно быть достаточно для настройки базового беспроводного клиента RouterOS с аутентификацией PEAP. Если все сделано правильно, аутентификация должна пройти успешно, и у вас будут базовые настройки. Однако в реальных жизненных ситуациях такой настройки часто бывает недостаточно. Для достижения других целей, таких как учет, ограничения и т. д., необходимо выполнить более сложную настройку. Для других конфигураций RADIUS вам может потребоваться настроить точку доступа и/или клиента по-другому, некоторые конфигурации RADIUS могут не работать с устройствами RouterOS. Клиенты RouterOS поддерживают только MSCHAPv2 в качестве внутреннего метода PEAP.

Настройка RADIUS может быть сложной, и не всегда все работает так, как вы хотите. В этих случаях вы можете использовать журналы отладки как на сервере RADIUS, так и на стороне RouterOS.

Чтобы просмотреть отладочную информацию во время работы сервера FreeRADIUS, запустите его с параметром -X следующим образом:

Чтобы получить больше отладочной информации, просто добавьте еще один "x" - radiusd -Xx .

Чтобы просматривать журналы отладки в RouterOS, добавьте правило ведения журнала к точке доступа. Используйте эту команду для просмотра всех пакетов, отправленных на RADIUS:

темы — задайте тему, которую вы хотите видеть в журнале;
префикс — вы можете добавить префикс, чтобы отличать журналы, связанные с RADIUS, от других, это необязательно;

Теперь информацию о связи с сервером RADIUS можно увидеть с помощью /log print follow .

Читайте также: