Как настроить связку RADIUS+WinCerts+MikroTik?

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
logout_90
мл. сержант
Сообщения: 72
Зарегистрирован: 2014-01-27 5:36:26

Как настроить связку RADIUS+WinCerts+MikroTik?

Непрочитанное сообщение logout_90 » 2016-03-16 22:57:14

Доброго времени суток!
Необходимо обеспечить подключение удаленных пользователей vpn с использованием клиентских сертификатов, vpn-сервер MikroTik 6.34.
Развернуты службы сертификации Windows, настроен NAP(RADIUS), выдан сертификат пользователю.
Настроен микротик, чтобы авторизовывал пользователя через RADIUS, если не использовать сертификат, то подключение l2tp устанавливается.
Нет сертификатов на самом микротике.
Вопрос: что нужно сделать, чтобы настроить связку RADIUS+WinCerts+MikroTik? т.е, генерить сертификат пользователя на WinServ, отдавать его пользователю, а он уже мог бы подключаться по vpn к сетке, через микротик, используя выданный сертификат.
Буду благодарен за любые идеи по теме ))

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Как настроить связку RADIUS+WinCerts+MikroTik?

Непрочитанное сообщение gumeniuc » 2016-03-17 9:46:38

Вы хотите именно через l2tp подключаться ?
Да шо ему сделается...

logout_90
мл. сержант
Сообщения: 72
Зарегистрирован: 2014-01-27 5:36:26

Как настроить связку RADIUS+WinCerts+MikroTik?

Непрочитанное сообщение logout_90 » 2016-03-17 12:26:01

Да, хотелось бы использовать IPsec+l2tp+RADIUS. Такая связка уже работает. Но еще нужна авторизация по сертификатам. То есть, сертификат пользователя должен проверяться, валидный или нет, а также отозванный или нет. Именно на пункте с сертификатом затык. Я его выдаю пользователю, пытаюсь подключиться к микротику, а тот похоже не связывается с RADIUS и пытается проверить сертификат сам. И отфутболивает пользователя

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Как настроить связку RADIUS+WinCerts+MikroTik?

Непрочитанное сообщение gumeniuc » 2016-03-17 13:15:28

Я конечно могу ошибаться, но мне кажется микротик будет проверять сертификат исключительно сам. IPSec обеспечивает транспорт, сессия устанавливается с рутером, а дальше уже рутер обращается к radius для проверки авторизации l2tp подключения. Попробуйте импортировать сертификаты на микротик и поменяйте тип авторизации для IPSec соединений. Не уверен, что это рабочий вариант, но думаю попробовать стоит.
Да шо ему сделается...

logout_90
мл. сержант
Сообщения: 72
Зарегистрирован: 2014-01-27 5:36:26

Как настроить связку RADIUS+WinCerts+MikroTik?

Непрочитанное сообщение logout_90 » 2016-03-22 19:52:30

К сожалению импорт сертификатов недостаточно секурен по сравнению с RADIUS, который бы просто говорил роутеру можно пускать пользователя или нет. Поэтому, сперва я решил пообщаться с поддержкой микротик, на что мне было сказано, что L2TP можно только как юзернейм и пассворд и никак нельзя заставить передавать запрос на подключение на RADIUS, используя сертификат. Но я ж не отчаялся) Давай копать в сторону IKEv2 и IKEv1. Однако, быстро наткнулся на сообщение на оф. форуме, что IKE поддержка планируется в RouterOS v7, которая фиг знает когда выйдет. Посему, было принято решение использовать strongswan, который умеет и авторизовывать клиентов у RADIUS и делать это по сертификатам ))
gumeniuc, спасибо за советы, но похоже кое в чем RouterOS еще не допилена, как хотелось бы.