802.1x

Базовая функциональность RouterOS
lososol
Сообщения: 19
Зарегистрирован: 08 окт 2018, 14:55

802.1x

Сообщение lososol »

Доброго времени суток, настраивал кто уже из новых прошивок 802.1x (dot1x)? Необходима консультация) спасибо за помощь
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: 802.1x

Сообщение Chupaka »

Доброго.

Может, есть смысл сразу вопрос задать? :)
lososol
Сообщения: 19
Зарегистрирован: 08 окт 2018, 14:55

Re: 802.1x

Сообщение lososol »

Та вопрос в следующем, может я не понимаю принципа работы, отрицать не буду, но в микротике есть работа как клиента(supplicant) так и авторизатора (authenticator), есть скажем роутер, в него включен комп в езер1, и в езер2 включен сервер авторизации радиус, на этом роутере я создаю authenticator (server) выбираю интерфейс 2, на котором по логике должны слушаться запросы авторизации, и тогда все ложится, если же я конфигурирую как клиента роутер, то какие данные нужно подставлять в тож же поле Identity? потому-что я пробовал по разному настраивать и все одно- не работает)Спасибо за ответ
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: 802.1x

Сообщение Chupaka »

Так, authenticator надо вешать на езер1, если комп должен авторизоваться на данном роутере. А в RADIUS добавить адрес сервера на езер2.

А supplicant - это когда надо своим роутером подключиться к устройству, которое требует 802.1x (например, к провайдеру с такой аутентификацией).
lososol
Сообщения: 19
Зарегистрирован: 08 окт 2018, 14:55

Re: 802.1x

Сообщение lososol »

а если у меня между компом и главным маршрутизатором стоит два свича?) то получается что я вешаю на порт за которым будет комп а на порт по которому соединяется (допустим свич и другой свич) я вешаю езер2(например) как супликант?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: 802.1x

Сообщение Chupaka »

Из документации непонятно, можно ли авторизовать разных клиентов на порту (везде указано Port-based, и нет ничего про MAC-based 802.1x), так что, возможно, если порт авторизован - то любой клиент будет через него ходить. Надо проверять.
lososol писал(а): 11 июл 2019, 11:47 а если у меня между компом и главным маршрутизатором стоит два свича?) то получается что я вешаю на порт за которым будет комп а на порт по которому соединяется (допустим свич и другой свич) я вешаю езер2(например) как супликант?
Я вам тут запятых принёс, пользуйтесь, а то смысл фразы затерялся в её недрах: ",,,,,,,,,"

Попробую ответить на то, что понял: если компьютер подключен к edge-роутеру, то и аутентифицировать (т.е. создавать аутентификатор на порту клиента) надо на этом роутере. "Главный маршрутизатор" сюда приплетать не надо, только если не стоит задача аутентифицировать edge-роутер (в роли сапликанта) на главном роутере - но это будут две совершенно разные независимые аутентификации. То, что попытались описать вы - это какое-то проксирование получается, видимо.
lososol
Сообщения: 19
Зарегистрирован: 08 окт 2018, 14:55

Re: 802.1x

Сообщение lososol »

Извиняюсь, edge-роутер это что?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: 802.1x

Сообщение Chupaka »

Это неглавный роутер :) Который пограничный, рядом с клиентом.
lososol
Сообщения: 19
Зарегистрирован: 08 окт 2018, 14:55

Re: 802.1x

Сообщение lososol »

А, ну я так и думал=) ну а если за edge-роутером стоит еще роутер, то тогда этот роутер будет выступать в роли аутентификатора для первого роутера и пользователя, после второго роутера стоит core-маршрутизатор, то по цепочке делать для пользовательского ПК я правильно понимаю?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: 802.1x

Сообщение Chupaka »

Я же написал выше, что неправильно. По цепочке — это когда роутеры авторизуют друг друга, и крайний роутер авторизует ПК. При этом у каждого устройства свои учётные данные, и авторизуются они независимо друг от друга. Но в обычной жизни достаточно настроить 802.1x на единственном роутере — том, к которому подключен ПК.
lososol
Сообщения: 19
Зарегистрирован: 08 окт 2018, 14:55

Re: 802.1x

Сообщение lososol »

ок, я настраиваю на свиче к которому подключены пользовательские ПК, как мне указать радиус сервер? если он подключен совершенно в другой свич, я извиняюсь если спрашиваю глупые вещи, но не совсем понимаю, может если нужно я нарисую примерно схемку)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: 802.1x

Сообщение Chupaka »

Так и указывайте: IP-адрес радиус-сервера не меняется от того, какой свитч вы настраиваете. Главное, чтобы у устройства был доступ к этому адресу (т.е. чтобы нигде по дороге не был доступ закрыт фильтром файрвола, например)
Susanin
Сообщения: 2
Зарегистрирован: 12 июл 2019, 19:49

Re: 802.1x

Сообщение Susanin »

Вот забавная штука.
Поднял радиус на микротике
В юзерах показал что возможна регистрация по радиусу
Соответственно вбил в радиуса 1 тестового юзера
Указал в радиусе что можно коннектица как Login так и Dot1
Если кнекчусь винбоксом с логином и паролем юзера радиуса, то все ок (радиус работает), а вот при включении сервера Dot1 на интерфейс куда на прямую подлючен ПК, то комп от сети далее роутера отваливается, а доступ к роутеру есть (винбокс работает) Html к радиусу работает.
Также поднял в виртуалке (через мост) виртуальный микротик. Состряпал клиента Dot1, коннекта нет. Запрсов на радиус нет.
Если порт вывести из бриджа, то сеть вообще теряется.
В голове уже кошмар творится. Вроде как все элементарно но не работает.
Susanin
Сообщения: 2
Зарегистрирован: 12 июл 2019, 19:49

Re: 802.1x

Сообщение Susanin »

Походу вся бяка в самом радиусе микротика. Завтра попытаюсь поставить фрирадус последний и привязаться к нему. Там вроде как есть ЕАР.

Плохо когда не знаешь да еще и забудешь. :))