23T38 Radius na Mikrotiku i Dostęp Administracyjny [Konfiugracja Mikrotik]

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:48 Instalacja Paczki

2:39 Klient Radiusowy

3:38 Konfiguracja Serwera i Klienta Radius

11:43 Podsumowanie

Transkrypcja

Dzisiaj pokażę jak można w prosty sposób w trzech krokach skonfigurować sobie serwer Radius na Mikrotiku, klienta Radius na Mikrotiku i jak skonfigurować uwierzytelnienie administratora w oparciu o takie dwa komponenty Radiusowe. Czyli będziesz mógł – jeżeli masz więcej Mikrotików w swojej sieci – uwierzytelniać się jednym kontem, jednym hasłem w jednym miejscu konfigurowanym dla wszystkich dostępów administracyjnych. Co więcej jeżeli chcesz rozróżniać typ dostępu również jest taka możliwość. W zależności od tego jaki ustawisz sobie atrybut w tym serwerze Radius dla danego konta.

Serwer Radius na Mikrotiku – dostęp administracyjny. To zacznijmy od serwera czyli Mikrotik na którym zainstaluję paczkę, która będzie realizowała funkcję serwera Radiusa. Wchodzimy na stronę, wpisujemy adres strony Mikrotika z oprogramowaniem, wybieramy wersję. W tym przykładzie 7.7. 7.7 i paczka wszystkich dodatkowych funkcjonalności dla platformy x86, którą tutaj mam. Jedna z tych paczek user-manager to jest właśnie serwer Radius. To co teraz trzeba zrobić to tą paczkę wgrać na Mikrotika.

Czyli przechodzimy do Files i tutaj uploadujemy tą paczkę związaną z Radiusem. Paczka jest wysłana czyli w katalogu głównym i wystarczy teraz uruchomić ponownie naszego Mikrotika i paczka zostanie załadowana. Restartuje się Mikrotik. Czyli czekamy aż WinBox się z powrotem podłączy. Widzimy teraz zakładkę User Manager czyli jest już nowy moduł załadowany. Mamy tu całą grupę zakładek będziemy to jeszcze konfigurować. Za chwilę możemy zobaczyć również, że na dysku pojawiło się całe drzewo plików i katalogów, które są związane z tym serwerem Radius.

Teraz przejdźmy do naszego klienta Radiusowego. To będzie Mikrotik na którym będzie klient Radiusa odpytywał drugiego Mikrotika o połączenie. To co teraz tutaj widzicie to jest dodanie adresacji czyli nowa adresacja. Tu w tej adresacji 10.10.10 będzie się komunikował ten Mikrotik jako klient z serwerem Mikrotika. Interfejs tutaj Ether 2. Do tego pula DHCP. Będziemy rozdawać adresy na tym interfejsie. No i to co teraz tutaj trzeba jeszcze skonfigurować to tutaj w konfiguracji czy w kontekście Radius trzeba włączyć akceptowanie przychodzących pakietów dla tego protokołu. Czyli widzimy w jakim VRFie będzie działał tutaj klient Radius i będzie akceptował te połączenia na porcie 3799.

Teraz konfigurujemy serwer Radius do którego się będziemy odnosić. Będziemy tutaj używać login czyli będziemy logować się do tego urządzenia w oparciu o serwer Radius. Tu mówimy o dostępie administracyjnym. Co tutaj musimy wpisać? Adres oczywiście serwera czyli ten drugi Mikrotik będzie miał z końcówką 2 adres, protokół udp standardowo i klucz współdzielony czyli ten klucz współdzielony musi się zgadzać z kluczem, który będziemy za chwilę konfigurować na serwerze Radiusowym. Tutaj niech Cię nie zmyli nazwa ten Radius Server to tak naprawdę jest Radius Client tutaj w tym przypadku. I standardowe porty – tych nie zmieniamy.

To, co można tu opcjonalnie jeszcze zmienić to wpisać dla danego serwera Radius do którego będą wysyłane zapytania w przypadku próby uwierzytelnienia administracyjnego z jakim src adresem ma wychodzić to zapytanie. W naszym scenariuszu to nie będzie miało żadnego znaczenia, według tablicy routingu pójdzie tutaj zapytanie. Natomiast w niektórych scenariuszach ma znaczenie z jakiego źródłowego adresu będzie zapytanie szło. Dlatego, że po stronie serwera Radius będziemy ustawiać z jakiego adresu IP albo klasy spodziewamy się tych zapytań.

Do tego jeszcze wrócimy. Czyli ustawiamy teraz hasło dla Serwera Radius i to hasło będziemy ponownie wpisywać na drugim Mikrotiku za chwilę. Czyli tu jest konfiguracja klienta Radius. Mamy tutaj jeszcze do zrobienia w
konfiguracji użytkowników włączenie używania Radiusa dla uwierzytelniania administracyjnego. Czyli zaznaczamy checkbox Use Radius i stosujemy ustawienia. Teraz możemy wrócić do tego Radiusa, który jest serwerem. Tu zwróć uwagę tu też jest błędnie wpisane, tu powinien być serwer. Bo ten, który ma tutaj tą paczkę zainstalowane user manager to jest właśnie serwer Radiusowy.

To co teraz tutaj potrzebuje zrobić to dodać nowy interfejs. Taka jest topologia, że ta sieć 192.168.52 to jest LAN dla jednego i drugiego Mikrotika ale potrzebujemy jeszcze te dwa Mikrotki między sobą połączyć takim połączeniem WANowym można powiedzieć albo takim up linkowym czyli takim od strony przeciwstawnej do sieci LAN i do tego celu też ether 2 zostanie tutaj użyty. Przypiszemy sobie adres z DHCP, z serwera DHCP. Tutaj dobrą praktyką jakbyś to robił u siebie w produkcji oczywiście byłoby tutaj na serwerze Radiusowym przypisanie tego interfejsu statycznie. Po drugiej stronie najczęściej też się to robi statycznie. Można dynamicznie ale wtedy należy powiązać dany lease czyli powiązanie Mac vs. IP Adres również na serwerze DHCP statycznie po to żeby te zapytania nam przychodziły zawsze z tego adresu IP, którego się spodziewamy.

Tak czy inaczej adresy po obu stronach muszą być i komunikacja IP pomiędzy klientem a serwerem Radius musi być zapewniona. Teraz w konfiguracji samego serwera Radius czyli w zakładce user Manager w ustawieniach – w settings – włączamy ten serwer, porty domyślne te które były również ustawione w kliencie radiusowym. No i teraz dodajemy tutaj plusem urządzenia czyli w zakładce routers dodajmy urządzenia, które się będą mogły komunikować z tym routerem, z tym serwerem Radius. Czyli wpisujemy tu jakąś nazwę.

Tutaj serwer czyli nazwa tego drugiego urządzenia, które się będzie łączyło do tego Mikrotika to jest serwer, współdzielony klucz – ten sam, który tam na kliencie konfigurowaliśmy bo tu też jest błąd w nazwie. Tak naprawdę tu nazwa powinna być klient ale już niech tak będzie i adres IP z którego będzie przychodziło zapytanie Radiusowe czyli to jest adres IP interfejsu tego drugiego Mikrotika. CoA port to jest funkcjonalność, że możemy w czasie jednej sesji nie rozłączając użytkownika zmieniać mu poziom uprawnień tego też nie będziemy teraz zmieniać. Stosujemy i zatwierdzamy.

Czyli mamy tutaj urządzenie, które będzie mogło odpytywać nasz serwer i teraz potrzebujemy użytkownika jeszcze dodać. Czyli w zakładce Users dodajemy użytkownika, nazwę użytkownika, hasło i możemy dać dodatkowe atrybuty. Mamy tutaj różne atrybuty, jak widzisz standardowe Framed-IP-Address, Netmask i inne atrybuty standardowe. Mamy również już tu wpisane atrybuty Mikrotika, specyficzne dla Mikrotika. No to użyjemy teraz atrybutu Mikrotik-Group, który nam będzie mówił w jakiej grupie administracyjnej mamy umieścić danego użytkownika. Czy ten użytkownik będzie miał taką grupę i ten atrybut będzie wysyłany jeżeli będzie uwierzytelniał się ten użytkownik netadmin. Nazwa grupy read. I drugi atrybut, który tutaj ustawimy to Idle-Timeout. Czyli jak długo będzie, czy jaki jest Time-out dla sesji, która jest nieaktywna.

No i tu możemy sobie ustawić jakąś wartość. To jest oczywiście coś co powinieneś odczytać sobie z dokumentacji Mikrotika. Jakie atrybuty wspiera dany klient. W tym przypadku urządzenie Mikrotik, które przed chwilą konfigurowaliśmy. Jakie atrybuty jeszcze przy danej wersji oprogramowania czyli RouterOS w jakiej wersji, jakie atrybuty wspiera. Tutaj jest dość prosta
konfiguracja czyli stosujemy dwa atrybuty będziemy wysyłać i tyle. Ok, tutaj w ustawieniach A też możemy zaznaczyć, że Radius będzie używany do uwierzytelnienia na tym urządzeniu. Tutaj oczywiście pytanie czy chciałbyś uwierzytelniać na tym samym urządzeniu na którym masz serwer Radius i jeżeli tak chciałbyś zrobić to oczywiście to ustawienie też trzeba włączyć.

No i teraz możemy się spróbować zalogować już tym kontem utworzonym na Radiusie. Czyli masz tutaj dwóch klientów, których mamy określonych. Wpisujemy nazwę użytkownika, hasło i będziemy się łączyć tak jak tu widzisz do Radius Server, który tak naprawdę w tej konfiguracji jest klientem. Czyli ten Mikrotik będzie się odpytywał przy tej próbie uwierzytelnienia do tego drugiego Mikrotika na którym jest serwer Radius i jeżeli będzie prawidłowo to się zalogujemy.

To sprawdźmy. No i proszę bardzo -jesteśmy zalogowani czyli całość konfiguracji działa. Możemy sobie tutaj również na naszym serwerze Radius sprawdzić sesję jakie widzimy. Czyli w tym module User Manager mamy zakładkę sessions i widzimy jacy użytkownicy, jaki jest identyfikator sesji i jaki jest adres IP Network Access Server czyli dla switcha, który tutaj się
odzywał, identyfikator stacji – tu akurat Mac Address, kiedy się rozpoczęła i kiedy się zakończyła ta sesja. Oczywiście jeżeli ona trwa to tutaj ta informacja będzie się aktualizowała. No i możemy potwierdzić, że całość nam konfiguracji działa.

Na dzisiaj tyle. Jeżeli masz jakieś pytania co do tej konfiguracji albo jak to zrobić to oczywiście pisz w komentarzu. Jeżeli jakieś inne wersje tej konfiguracji by Cię interesowały albo jakaś inna topologia to też jestem oczywiście ciekaw jak byłoby to dla Ciebie najbardziej użyteczne do użycia i widzimy się, słyszymy już za tydzień.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.