Доброго времени суток!
Необходимо обеспечить подключение удаленных пользователей vpn с использованием клиентских сертификатов, vpn-сервер MikroTik 6.34.
Развернуты службы сертификации Windows, настроен NAP(RADIUS), выдан сертификат пользователю.
Настроен микротик, чтобы авторизовывал пользователя через RADIUS, если не использовать сертификат, то подключение l2tp устанавливается.
Нет сертификатов на самом микротике.
Вопрос: что нужно сделать, чтобы настроить связку RADIUS+WinCerts+MikroTik? т.е, генерить сертификат пользователя на WinServ, отдавать его пользователю, а он уже мог бы подключаться по vpn к сетке, через микротик, используя выданный сертификат.
Буду благодарен за любые идеи по теме ))
Как настроить связку RADIUS+WinCerts+MikroTik?
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- gumeniuc
- ст. сержант
- Сообщения: 343
- Зарегистрирован: 2009-11-08 15:46:05
- Откуда: md
- Контактная информация:
Как настроить связку RADIUS+WinCerts+MikroTik?
Вы хотите именно через l2tp подключаться ?
Да шо ему сделается...
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2014-01-27 5:36:26
Как настроить связку RADIUS+WinCerts+MikroTik?
Да, хотелось бы использовать IPsec+l2tp+RADIUS. Такая связка уже работает. Но еще нужна авторизация по сертификатам. То есть, сертификат пользователя должен проверяться, валидный или нет, а также отозванный или нет. Именно на пункте с сертификатом затык. Я его выдаю пользователю, пытаюсь подключиться к микротику, а тот похоже не связывается с RADIUS и пытается проверить сертификат сам. И отфутболивает пользователя
- gumeniuc
- ст. сержант
- Сообщения: 343
- Зарегистрирован: 2009-11-08 15:46:05
- Откуда: md
- Контактная информация:
Как настроить связку RADIUS+WinCerts+MikroTik?
Я конечно могу ошибаться, но мне кажется микротик будет проверять сертификат исключительно сам. IPSec обеспечивает транспорт, сессия устанавливается с рутером, а дальше уже рутер обращается к radius для проверки авторизации l2tp подключения. Попробуйте импортировать сертификаты на микротик и поменяйте тип авторизации для IPSec соединений. Не уверен, что это рабочий вариант, но думаю попробовать стоит.
Да шо ему сделается...
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2014-01-27 5:36:26
Как настроить связку RADIUS+WinCerts+MikroTik?
К сожалению импорт сертификатов недостаточно секурен по сравнению с RADIUS, который бы просто говорил роутеру можно пускать пользователя или нет. Поэтому, сперва я решил пообщаться с поддержкой микротик, на что мне было сказано, что L2TP можно только как юзернейм и пассворд и никак нельзя заставить передавать запрос на подключение на RADIUS, используя сертификат. Но я ж не отчаялся) Давай копать в сторону IKEv2 и IKEv1. Однако, быстро наткнулся на сообщение на оф. форуме, что IKE поддержка планируется в RouterOS v7, которая фиг знает когда выйдет. Посему, было принято решение использовать strongswan, который умеет и авторизовывать клиентов у RADIUS и делать это по сертификатам ))
gumeniuc, спасибо за советы, но похоже кое в чем RouterOS еще не допилена, как хотелось бы.
gumeniuc, спасибо за советы, но похоже кое в чем RouterOS еще не допилена, как хотелось бы.