Настройка Mikrotik авторизация VPN через Radius (Windows NPS)

24.04.2023

Настройка Mikrotik авторизация VPN через Radius (Windows NPS)

RADIUS (Remote Authentication Dial-In User Service) - это протокол (AAA (Authentication, Authorization, Accounting)) аутентификации и авторизации, который используется для управления доступом пользователей к сетевым ресурсам. Существуют много популярных приложений радиус сервера, самый популярные: freeRADIUS и Служба NPS (Network Policy Server) Windows Server. Более подробно мы рассмотрим второй вариант.

RADIUS-сервер в связке с Mikrotik работает следующим образом:

  1. Когда пользователь подключается к Mikrotik через VPN-соединение, Mikrotik отправляет запрос на аутентификацию к RADIUS-серверу.  !!ВАЖНО!! прежде он ищет пользователя у себя в Secrets и если такое имя там есть на RADIUS он уже не полезет.
  2. RADIUS-сервер получает запрос на аутентификацию и проверяет, есть ли пользователь в его базе данных. Если пользователь найден, сервер проверяет правильность введенного пароля.
  3. Если пользователь успешно прошел аутентификацию, RADIUS-сервер отправляет ответ на Mikrotik, разрешающий доступ к сетевым ресурсам.
  4. В случае неудачной попытки аутентификации, RADIUS-сервер отправляет ответ с ошибкой, и пользователь не получает доступ к сетевым ресурсам.

Настройка Radius сервера на домене Windows Server 2019 / 2022

1. УСТАНОВКА: 
  1. Диспетчер серверов -> Добавить роли и компоненты
  2. Добавьте роль сервера "Network Policy and Access Services" и выберите "RADIUS-сервер".
  3. Запускаем Network Policy Server
ФОТО:
 nastrojka-mikrotik-radius-dobavit-novuyu-rol-na-widnows-server-2019.jpgnastrojka-mikrotik-radius-vybrat-sluzhba-politiki-seti-i-dostupa.jpg
nastrojka-mikrotik-radius-kontrol-vybora-server-politiki-seti.jpgnastrojka-mikrotik-radius-zapusk-server-politiki-seti.jpg

2. Настройка NPS: 
  1. Регистрация Radius сервера в Active Directory
  2. Добавление Radius клиента(маршрутизатора MikroTik)  
  3. Нажмите правой кнопкой мыши на "RADIUS-клиенты" и выберите "Новый RADIUS-клиент". Задайте имя mikrotik и введите IP-адрес Mikrotik. В разделе "Секрет клиента" задайте пароль для обмена данными между RADIUS-сервером и клиентом (Mikrotik). Нажмите "OK", чтобы сохранить настройки клиента.

  4. Создание сетевой политики
  5. В разделе "Условия сети" выберите "Клиентские адреса IP" и введите адреса IP, с которых клиенты могут подключаться к RADIUS-серверу. Если вы хотите разрешить подключение с любого IP-адреса, выберите "Любой адрес IP (IPv4)". также можно определить группы доступа в Active Directory, пользователи которой смогут проходить проверку. В разделе "Условия проверки подлинности" выберите методы проверки подлинности, которые будут использоваться для аутентификации клиентов, например, MS-CHAP v2, В разделе "Условия авторизации" выберите методы авторизации, которые будут использоваться для авторизации клиентов, например, настройте доступ к определенным ресурсам или услугам. В разделе "Настройки профиля" укажите настройки сетевого доступа для клиентов, например, настройте доступ к определенным сетевым ресурсам.

ФОТО:
nastrojka-mikrotik-radius-registracziya-radius-servera-v-active-directory.jpgnastrojka-mikrotik-radius-dobavlenie-radius-klientamarshrutizatora-mikrotik.jpg
Screenshot 2023-04-26 132308.jpg
nastrojka-mikrotik-radius-sozdanie-setevoj-politiki.jpgVPN_group.jpg
nastrojka-mikrotik-radius-razreshit-dostup.jpg
nastrojka-mikrotik-radius-metody-proverki-podlinosti.jpg
nastrojka-mikrotik-radius-oboznachit-tip-udalennogo-dostupa-kak-vpn.jpgnastrojka-mikrotik-radius-prokontrolirovat-prisutstvie-standarta-ppp.jpg

По умолчанию RADIUS использует порты 1812 и 1813 для аутентификации и учета соответственно. Эти порты должны быть открыты в брандмауэре на сервере, если такой используется.
  • UDP 1812 (для аутентификации)
  • UDP 1813 (для учета)
  • UDP 1645 и 1646 (для старых версий RADIUS)
  • TCP 443 (для веб-интерфейса управления NPS)
ports.jpg

Настройка Mikrotik для работы с RADIUS (NPS) 

Для настройки VPN соединений с авторизацией по Radius на Mikrotik необходимо выполнить следующие шаги:
  • Зайти в меню "Radius" -> "Radius Servers"
  • Нажать кнопку "+" для добавления нового сервера Radius
  • В поле "Service" выбрать "ppp"
  • В поле "Address" указать IP-адрес сервера Radius
  • В поле "Secret" ввести общий секретный ключ, который был настроен на сервере Radius
  • В поле "Radius Timeout" указать время ожидания ответа от сервера Radius
  • PPP→Secrets→PPP Authentication&Accounting В поле "Radius" включить опцию "Use Radius" 
ФОТО: 

mikrotik_radius.jpg
mikrotik_radius1.jpg

CLI comman mikroti:
  1. /radius add address=192.168.XX.XX secret=************ service=ppp
  2. /ppp aaa set use-radius=yes

!!!ВАЖНО!!! На этом этапе заработает авторизация RADIUS для VPN клиентов L2TP и PPTP (если сами сервисы включены)

Настройка Radius для авторизации SSTP MIKROTIK

Для этого нужно открыть консоль “Сервер сетевых политик” и в свойствах сетевой политики указать значение условия Тип порта NAS = Async (Modem).
nastrojka-mikrotik-radius-ne-rabotaet-sstp.jpg

Настройка Radius для авторизации OpenVPN \ IPSEC MIKROTIK

Фактически вам нужно на RADIUS сервере в настройках "authentication method" добавить галку: Unencrypted authentication (PAP,SPAP)

aqic9ks0it71zwhwrq2fg5wtyogkessb.jpg

Для работы IPSEC с авторизацией по RADIUS необходимо в GPO включить: Store password using reversible encryption - enable  
нужно проверять возможно это не требуется
Screenshot 2023-04-26 151031.jpg
* это не безопасно.

Настройка RADIUS для авторизации пользователей VPN в специальный PROFILE

9a299524037aca879512227f50dd1949.png



< Назад к списку новостей