RADIUS Server на базе WinSrv 2019 для Mikrotik

Mikrotik
Mikrotik logo

В данной статье опишу конфигурацию Радиус сервера, для подключения к нему Mikrotik в качестве клиента.

Данная функция полезна, если у вас есть собственный домен на базе Active Directory, и вы не хотите каждый раз заводить VPN пользователей в ручную. Так же с помощью RADIUS сервера, можно настроить аутентификацию непосредственно на сам Mikrotik с помощью доменных учеток или аутентификацию на Wi-Fi

В общем, штука полезная.

Во время написания статьи все указанные настройки проводил на Windows Server 2019, но думаю она так же актуальна и для Windows Server 2016

Первое что нам нужно — сам Windows Server, в данной статье не описываю его установку. Думаю, раз вы дошли до этого материала, то развернуть WinSrv и выполнить базовую настройку Mikrotik вы в состоянии.

К делу.

Переходим к добавлению компонентов

  • Диспетчер серверов — Добавить роли и компоненты
  • Далее — Установка Ролей и Компонентов — Выбрать целевой сервер — Службы политики сети и доступы — (Копмпоненты) Далее — Установить
Роли
Выбираем Службы политики сети и доступа

После установки переходим к настройке:

  • Средства — сервер политики сети
  • ПКМ на NPS — Зарегистрировать сервер в Active Directory
Настройка NPS
Зарегистрировать сервер в Active Directory
  • ПКМ на RADIUS-клиенты — Новый документ
    • Устанавливаем флаг «Включит этот RADIUS-клиент»
    • Понятное имя — Указываем понятное имя
    • Адрес (IP или DNS) — указываем IP адрес или DNS имя Mikrotik.
    • Общий секрет — Генерируем и сохраняем себе секретный ключ для обмена Mikrotik и RADIUS-сервера. Или используйте свой вариант ключа.
Свойства RADIUS клиента
Свойства нового клиента Radius
  • Развернуть политики — пкм на «Сетевые политики» — Создать новый документ
    Задаем имя политики
Настройка политики сети
Указываем имя сетевой политики
  • Далее — Добавить
  • Условие — Группы пользоватей — Добавить группы — Выбираем группу — Доступ разрешен

    На самом деле, условий там масса, можете выбрать под свои цели. Самое частое всё таки «группы пользователей», ведь основная задача разгрузить логику добавления пользователей. В соответствии с данным условием — все пользователи, которые являются членами группы openvpn_users будут иметь возможность пользоваться openvpn

    Тип Шифрования ms-chap можно отключить, как устарешвий. Оставить только MS_CHAP_V2
    Однако есть нюанс, MS_CHAP_V2 работает только с RouterOS начиная с версии 6.43, если у вас версия моложе — или обновляйтесь, или используйте в политике шифрование PAP
Настройка методов проверки подлинности
Отключаем не безопасные протоколы
  • Далее — Тип порта NAS — Асинхронная (модем)
Настройка ограничений
Указываем тип порта NAS
  • Далее — Оставляем только Service-Type = Login
Service-type
Service-Type = Login
  • На последнем окошке проверяем что указали правильные параметры и нигде не ошиблись. Клацаем Готово
  • Настраиваем Брандмауэр
    • Правила для входящих подключений — Предопределенные — Сервер политики сети
Настройки Firewall
Сервер политики сети
  • Выбираем правила с портами 1813/udp и 1812/udp
Настройки Firewall
  • Далее — Разрешить подключение.

Переходим к настройке Mikrotik

  • PPP — Secrets — PPP Authentication & Accounting – Use Radius
/ppp aaa
set use-radius=yes
В терминале
PPP Authentication & Accounting
  • Переходим в меню Radius и устанавливаем адрес сервера и секретный ключ
/radius
add address=192.168.X.YYY secret=Radius-PASS service=ppp
В терминале
Radius client config

На этом настройка завершена. Теперь для подключения VPN можно использовать доменную учётку.

Другие стати по теме:

2 Комментарии

  1. Приветствую. На прошивки 6.48 Всё работает гуд. На прошивке 7.15 -нет. Есть мысли с чем может быть связано?

    • Сходу подсказать не могу. Нужно смотреть что пишет в логах. И плясать от этого. Включите в логах топик radius и посмотрите что происходит при попытке авторизации. На сколько помню в версиях Роутер ОС 7+ в разделе РАДИУС появились дополнительные параметры. Возможно теперь требуется что-то добавить. Точнее на данный момент подсказать не могу. Устройства в моем обслуживании с РАДИУС еще не обновлял.

Отправить ответ

Ваш e-mail не будет опубликован.


*