Настройка Mikrotik авторизация VPN через Radius (Windows NPS)
Настройка Mikrotik авторизация VPN через Radius (Windows NPS)
RADIUS-сервер в связке с Mikrotik работает следующим образом:
- Когда пользователь подключается к Mikrotik через VPN-соединение, Mikrotik отправляет запрос на аутентификацию к RADIUS-серверу. !!ВАЖНО!! прежде он ищет пользователя у себя в Secrets и если такое имя там есть на RADIUS он уже не полезет.
- RADIUS-сервер получает запрос на аутентификацию и проверяет, есть ли пользователь в его базе данных. Если пользователь найден, сервер проверяет правильность введенного пароля.
- Если пользователь успешно прошел аутентификацию, RADIUS-сервер отправляет ответ на Mikrotik, разрешающий доступ к сетевым ресурсам.
- В случае неудачной попытки аутентификации, RADIUS-сервер отправляет ответ с ошибкой, и пользователь не получает доступ к сетевым ресурсам.
Настройка Radius сервера на домене Windows Server 2019 / 2022
1. УСТАНОВКА:- Диспетчер серверов -> Добавить роли и компоненты
- Добавьте роль сервера "Network Policy and Access Services" и выберите "RADIUS-сервер".
- Запускаем Network Policy Server
2. Настройка NPS:
- Регистрация Radius сервера в Active Directory
- Добавление Radius клиента(маршрутизатора MikroTik)
- Создание сетевой политики
Нажмите правой кнопкой мыши на "RADIUS-клиенты" и выберите "Новый RADIUS-клиент". Задайте имя mikrotik и введите IP-адрес Mikrotik. В разделе "Секрет клиента" задайте пароль для обмена данными между RADIUS-сервером и клиентом (Mikrotik). Нажмите "OK", чтобы сохранить настройки клиента.
В разделе "Условия сети" выберите "Клиентские адреса IP" и введите адреса IP, с которых клиенты могут подключаться к RADIUS-серверу. Если вы хотите разрешить подключение с любого IP-адреса, выберите "Любой адрес IP (IPv4)". также можно определить группы доступа в Active Directory, пользователи которой смогут проходить проверку. В разделе "Условия проверки подлинности" выберите методы проверки подлинности, которые будут использоваться для аутентификации клиентов, например, MS-CHAP v2, В разделе "Условия авторизации" выберите методы авторизации, которые будут использоваться для авторизации клиентов, например, настройте доступ к определенным ресурсам или услугам. В разделе "Настройки профиля" укажите настройки сетевого доступа для клиентов, например, настройте доступ к определенным сетевым ресурсам.
По умолчанию RADIUS использует порты 1812 и 1813 для аутентификации и учета соответственно. Эти порты должны быть открыты в брандмауэре на сервере, если такой используется.
- UDP 1812 (для аутентификации)
- UDP 1813 (для учета)
- UDP 1645 и 1646 (для старых версий RADIUS)
- TCP 443 (для веб-интерфейса управления NPS)
Настройка Mikrotik для работы с RADIUS (NPS)
Для настройки VPN соединений с авторизацией по Radius на Mikrotik необходимо выполнить следующие шаги:- Зайти в меню "Radius" -> "Radius Servers"
- Нажать кнопку "+" для добавления нового сервера Radius
- В поле "Service" выбрать "ppp"
- В поле "Address" указать IP-адрес сервера Radius
- В поле "Secret" ввести общий секретный ключ, который был настроен на сервере Radius
- В поле "Radius Timeout" указать время ожидания ответа от сервера Radius
- PPP→Secrets→PPP Authentication&Accounting В поле "Radius" включить опцию "Use Radius"
CLI comman mikroti:
- /radius add address=192.168.XX.XX secret=************ service=ppp
- /ppp aaa set use-radius=yes
!!!ВАЖНО!!! На этом этапе заработает авторизация RADIUS для VPN клиентов L2TP и PPTP (если сами сервисы включены)
Настройка Radius для авторизации SSTP MIKROTIK
Для этого нужно открыть консоль “Сервер сетевых политик” и в свойствах сетевой политики указать значение условия Тип порта NAS = Async (Modem).Настройка Radius для авторизации OpenVPN \ IPSEC MIKROTIK
Фактически вам нужно на RADIUS сервере в настройках "authentication method" добавить галку: Unencrypted authentication (PAP,SPAP)Для работы IPSEC с авторизацией по RADIUS необходимо в GPO включить: Store password using reversible encryption - enable
нужно проверять возможно это не требуется
* это не безопасно.