Active Directory: интеграция с Mikrotik
HTML-код
- Опубликовано: 27 ноя 2017
- Интеграция Mikrotik и Active Directory вызывает постоянный интерес и вопросы на тренингах. И действительно, сможет ли всемогущий Mikrotik каким-то образом работать с AD? Что именно может дать такая интеграция? Соизмеримо ли количество вложенных усилий и полученного результата?
Какой функционал будет работать и как будет в целом выглядеть вся архитектура решения.
Что такое RADIUS и почему без него никак не обойтись в этой связке.
На все эти вопросы мы поговорим на нашем живом вебинаре.
Приходите, как всегда будет интересно!
Презентация
goo.gl/VudvhZ
Консультации и помощь по MikroTik в нашем Telegram-канале: teleg.run/miktrain 
Наука
Смотреть с 11:05
спасибо
Здоровья вам в это непростое время. Вы мне очень помогли. )
И ты говорил про непростое время? Подожди немного оно у тебя еще не настало
Здравствуйте, хорошее видео у вас получилось жаль что не совсем то что мне нужно :) Я настроил примерно такую же связку, но не для Wi Fi, а для LAN с hotspot. Всё работает но есть 2 неприятных момента 1й заключается в том что для того чтоб MK на Radius мог проверить пароль пользователя АД мне пришлось в групповых политиках на контроллере в политике паролей установить опцию "Использовать обратимое шифрование" это неприятно, но хуже всего 2й момент и касается он "Прозрачной" авторизации пользователей. Т.е. когда пользователь пытается получить доступ к тырнету он попадает на заглушку МК в которой вводит свой логин и пароль от АД и дальше всё как по маслу происходит. Подскажите пожалуйста вообще теоретически может ли MK вместо того чтоб показывать заглушку сразу попытаться авторизовать пользователя? Пользователь сидит на ПК под учёткой домена. Когда я вообще начал настраивать MK + hotspot + AD я подразумевал что когда используется АД тогда не надо вводить пароль ведь вся суть АД сводится к тому что пользователя освобождают от многократного ввода пароля т.к. пароль вводиться прозрачно везде кроме микротика. Сначала я экспериментировал на WinXP потом прочитал что вроде как под win7 он авторизуется прозрачно. Проверил и как оказалось нет всё равно заглушка появляется.
С не таких давних пор (с версии ROS 6.47) можно использовать FWD зоны в DNS микротика для пересылки в так сказать "корпоративные зоны". Без всяких маркировок и layer7.
Подскажите Роман. Есть задача заменить Kerio Control, железкой. Керио интегрирован в домен, у всех пользователей есть доменные учетные записи которые они используют для входа в рабочие станции, Outlook и для авторизации в Керио. Согласно группы в которую вписан пользователь имеется огр по скорости трафика и ограничение суточное по трафику. Это крайне важно так как спутниковый канал интернета лимитирован 8Мбит и так же используется для обмена почтой Exchange. Так же есть 2 VPN канала с другими городами где тоже стоят Kerio. Наш главный админ в Москве хочет для замены всех трех маррутизаторов Керио купить 3 одинаковых Mikrotik CCR1036-12G-4S, но мне кажется что интеграция в домен у них весьма посредственная и учет трафика пользователей организовать там без костылей весьма проблематично и лучше смотреть в сторону Cisco.
Полезное видео. Сразу после получилось настроить авторизацию OVPN клиентов Mikrotik в виндовом радиусе.
Всё прекрасно отрабатывает. Но один момент остался неясен.
У OpenVpn сервера основное конечно сертификат, но логин и пароль тоже используются.
Можно как-то явно задать микротику по какому протоколу шифровать логин/пароль?
А то в логах NPS он все через PAP передает, получается без шифрования в открытом виде.
Добрый день Роман. Есть один вопрос про RADIUS на Mikrotik. Настраиваю SSTP на Mikrotike с помощью доменной аутентификации. Все замечательно работает, но есть одно но, пользователь входящий в группу доступа на NPS, может поднять несколько VPN туннелей, один с компа, один с телефона, с планшета и т.д. Нужно ограничить одного пользователя одним подключением. Вот не пойму куда смотреть, в чью сторону? В сторону Mikrotik или в сторону NPS?
Спасибо
в профиле для ppp подклюений есть галочка only one, если для таких клиентов сделать поставить такой профиль должно работать как нада
Роман, не совсем по теме (точнее совсем не по теме) вебинара, но все же спрошу. На MUM'е Вы рассказывали про связку mikrotik+ansible, а также про резервное копирование посредством gitlab. Можно посвятить этому отдельный вебинар с более подробным рассмотрением вопроса?
Думаю как-нибудь сделаем подобный вебинар. По ansible есть хорошее выступление на MUM 2016. Мы его используем не так, но для знакомства с системой этого более чем достаточно.
По gilab
github.com/heximcz/routerboard-backup
Благодарю за ответ. С выступлением, которое Вы упоминаете я знаком, и, более того, использую так как описывал Вадим, но для расширения кругозора и лучшего понимания не помешает мнение и опыт других
На ROS7 нужно ставить галку Открытым тестом (PAP), иначе не работает авторизация OpenVPN
Добрый день, Роман. А как быть, когда dns серверов два и более и при этом один, на который срабатывает dst-nat, недоступен?
Таже проблема.
Добрый день, Роман. Не подскажете в чем может быт причина если не работает интеграция Radius server-a Микротик с AD.? Не могу зайти с учеткой в AD.
Посмотрите логи на windows. Если timeout - то неверно настроен nps или параметры не позволяют это сделать.
первое- если контроллеров домена не один как у вас, а два-три, каким образом поступать, dst-nat же только на один ip направит, а не на группу? и второе -tcp port 53 нужен для трансфера dns зон между dns серверами, нам он тут не нужен
а разве запрещено писать несколько адресов в правило?
Братан, если бы не плямкал было бы вообще супер😅
код 22, Не удается проверить подлинность клиента, так как данный тип протокола EAP не может быть обработан сервером. я так понимаю без сертификата работать не будет?
Без сертификатов работает. Где-то не тот тип EAP выбран - либо в mikrotik, либо в Radius
@@MikrotikTraining нужно поставить службу сертификации
@@MikrotikTraining Ставил разные типы EAP и в радиусе и в капсмане, ошибка 22. Поставил и зарегистрировал на радиусе CA - всё заработало!
@@Dr.Strange__ а у вас нету случайно инструкции как зарегистрировали CA?
@@albertnigmatullin6683 ой давно это было, зарегистрировал СА в смысле в Active Directory, погуглите как развернуть доменный CA...
Добрый день, Роман! Спасибо за ваш урок, очень помогли мне поднять радиус у себя на предприятии. Появилась следующая задача: нужно сделать так, чтоб разным клиентам, после авторизации через VPN, выдавались разные ip адреса, например - бухгалтерии 192.168.2.X/24, менеджерам 192.168.3.X/24, 1С никам 192.168.4.X/24 и т.д. подскажите пожалуйста, как это реализовать средставим радиуса и миротика.
Всё, спасибо! Разобрался сам) Если кто будет гуглить, делается это через Framed-Pool (В сетевых политиках NPS)
@@greengray8592 а можно подробнее, что то не совсем понял, у меня задача народ удаленно из вне пускать, авторизация на сервере настроил политиками NPS, клиенты из вне авторизуются, но не получаются по DHCP IP адреса, подскажите как вы это реализовали? или об это ли речь? спасибою
Кто-нибудь увидел место авторизации на клиенте? Это неважный момент? Все всё поняли?
К сожалению с Windows компьютеров не получается авторизоваться в Wi-Fi, хотя с телефона все прекрасно работает.
Возможно нужен имя домена.
Mikrotik Training с именем домена тоже не пускает. А компьютеры которые в домене ничего не запрашивают и сразу выдают ошибку при подключении
@@MikrotikTraining решается только включением самого ПК в группу. Так вообще пароль не спрашивает и все подключается.
Да у меня тоже такая же проблема
@@ascerkadiba2054 загугли статью Wi-Fi WAP2 EAP Active Directory
Я думал тут ещё будет информация как заходить на микрот под доменными учетками. Но увы..
Для этого нужно чтобы пароль в AD хранился в открытом виде. Используйте userman.
что бы в микрот заходить нада в users поставить галочку radius на кнопке ААА, ну и то что выше уже сказали, нада что бы был старый домен
микрофон чувствительный и чавканье раздражает))
Чувак просто никогда не слышал о поп фильтре
Не рабочие примеры, многие использовали ваш пример по pptp и он не рабочий !
добрый день. есть тут кто живой?