forum.lissyara.su

Доброго времени суток!
Необходимо обеспечить подключение удаленных пользователей vpn с использованием клиентских сертификатов, vpn-сервер MikroTik 6.34.
Развернуты службы сертификации Windows, настроен NAP(RADIUS), выдан сертификат пользователю.
Настроен микротик, чтобы авторизовывал пользователя через RADIUS, если не использовать сертификат, то подключение l2tp устанавливается.
Нет сертификатов на самом микротике.
Вопрос: что нужно сделать, чтобы настроить связку RADIUS+WinCerts+MikroTik? т.е, генерить сертификат пользователя на WinServ, отдавать его пользователю, а он уже мог бы подключаться по vpn к сетке, через микротик, используя выданный сертификат.
Буду благодарен за любые идеи по теме ))

Вы хотите именно через l2tp подключаться ?

Да, хотелось бы использовать IPsec+l2tp+RADIUS. Такая связка уже работает. Но еще нужна авторизация по сертификатам. То есть, сертификат пользователя должен проверяться, валидный или нет, а также отозванный или нет. Именно на пункте с сертификатом затык. Я его выдаю пользователю, пытаюсь подключиться к микротику, а тот похоже не связывается с RADIUS и пытается проверить сертификат сам. И отфутболивает пользователя

Я конечно могу ошибаться, но мне кажется микротик будет проверять сертификат исключительно сам. IPSec обеспечивает транспорт, сессия устанавливается с рутером, а дальше уже рутер обращается к radius для проверки авторизации l2tp подключения. Попробуйте импортировать сертификаты на микротик и поменяйте тип авторизации для IPSec соединений. Не уверен, что это рабочий вариант, но думаю попробовать стоит.

К сожалению импорт сертификатов недостаточно секурен по сравнению с RADIUS, который бы просто говорил роутеру можно пускать пользователя или нет. Поэтому, сперва я решил пообщаться с поддержкой микротик, на что мне было сказано, что L2TP можно только как юзернейм и пассворд и никак нельзя заставить передавать запрос на подключение на RADIUS, используя сертификат. Но я ж не отчаялся) Давай копать в сторону IKEv2 и IKEv1. Однако, быстро наткнулся на сообщение на оф. форуме, что IKE поддержка планируется в RouterOS v7, которая фиг знает когда выйдет. Посему, было принято решение использовать strongswan, который умеет и авторизовывать клиентов у RADIUS и делать это по сертификатам ))
gumeniuc, спасибо за советы, но похоже кое в чем RouterOS еще не допилена, как хотелось бы.