Страница 1 из 1

802.1x

Добавлено: 10 июл 2019, 16:59
lososol
Доброго времени суток, настраивал кто уже из новых прошивок 802.1x (dot1x)? Необходима консультация) спасибо за помощь

Re: 802.1x

Добавлено: 10 июл 2019, 21:34
Chupaka
Доброго.

Может, есть смысл сразу вопрос задать? :)

Re: 802.1x

Добавлено: 11 июл 2019, 08:57
lososol
Та вопрос в следующем, может я не понимаю принципа работы, отрицать не буду, но в микротике есть работа как клиента(supplicant) так и авторизатора (authenticator), есть скажем роутер, в него включен комп в езер1, и в езер2 включен сервер авторизации радиус, на этом роутере я создаю authenticator (server) выбираю интерфейс 2, на котором по логике должны слушаться запросы авторизации, и тогда все ложится, если же я конфигурирую как клиента роутер, то какие данные нужно подставлять в тож же поле Identity? потому-что я пробовал по разному настраивать и все одно- не работает)Спасибо за ответ

Re: 802.1x

Добавлено: 11 июл 2019, 11:43
Chupaka
Так, authenticator надо вешать на езер1, если комп должен авторизоваться на данном роутере. А в RADIUS добавить адрес сервера на езер2.

А supplicant - это когда надо своим роутером подключиться к устройству, которое требует 802.1x (например, к провайдеру с такой аутентификацией).

Re: 802.1x

Добавлено: 11 июл 2019, 11:47
lososol
а если у меня между компом и главным маршрутизатором стоит два свича?) то получается что я вешаю на порт за которым будет комп а на порт по которому соединяется (допустим свич и другой свич) я вешаю езер2(например) как супликант?

Re: 802.1x

Добавлено: 11 июл 2019, 12:08
Chupaka
Из документации непонятно, можно ли авторизовать разных клиентов на порту (везде указано Port-based, и нет ничего про MAC-based 802.1x), так что, возможно, если порт авторизован - то любой клиент будет через него ходить. Надо проверять.
lososol писал(а): 11 июл 2019, 11:47 а если у меня между компом и главным маршрутизатором стоит два свича?) то получается что я вешаю на порт за которым будет комп а на порт по которому соединяется (допустим свич и другой свич) я вешаю езер2(например) как супликант?
Я вам тут запятых принёс, пользуйтесь, а то смысл фразы затерялся в её недрах: ",,,,,,,,,"

Попробую ответить на то, что понял: если компьютер подключен к edge-роутеру, то и аутентифицировать (т.е. создавать аутентификатор на порту клиента) надо на этом роутере. "Главный маршрутизатор" сюда приплетать не надо, только если не стоит задача аутентифицировать edge-роутер (в роли сапликанта) на главном роутере - но это будут две совершенно разные независимые аутентификации. То, что попытались описать вы - это какое-то проксирование получается, видимо.

Re: 802.1x

Добавлено: 11 июл 2019, 12:14
lososol
Извиняюсь, edge-роутер это что?

Re: 802.1x

Добавлено: 11 июл 2019, 12:18
Chupaka
Это неглавный роутер :) Который пограничный, рядом с клиентом.

Re: 802.1x

Добавлено: 11 июл 2019, 12:50
lososol
А, ну я так и думал=) ну а если за edge-роутером стоит еще роутер, то тогда этот роутер будет выступать в роли аутентификатора для первого роутера и пользователя, после второго роутера стоит core-маршрутизатор, то по цепочке делать для пользовательского ПК я правильно понимаю?

Re: 802.1x

Добавлено: 12 июл 2019, 09:11
Chupaka
Я же написал выше, что неправильно. По цепочке — это когда роутеры авторизуют друг друга, и крайний роутер авторизует ПК. При этом у каждого устройства свои учётные данные, и авторизуются они независимо друг от друга. Но в обычной жизни достаточно настроить 802.1x на единственном роутере — том, к которому подключен ПК.

Re: 802.1x

Добавлено: 12 июл 2019, 11:25
lososol
ок, я настраиваю на свиче к которому подключены пользовательские ПК, как мне указать радиус сервер? если он подключен совершенно в другой свич, я извиняюсь если спрашиваю глупые вещи, но не совсем понимаю, может если нужно я нарисую примерно схемку)

Re: 802.1x

Добавлено: 12 июл 2019, 19:06
Chupaka
Так и указывайте: IP-адрес радиус-сервера не меняется от того, какой свитч вы настраиваете. Главное, чтобы у устройства был доступ к этому адресу (т.е. чтобы нигде по дороге не был доступ закрыт фильтром файрвола, например)

Re: 802.1x

Добавлено: 12 июл 2019, 19:59
Susanin
Вот забавная штука.
Поднял радиус на микротике
В юзерах показал что возможна регистрация по радиусу
Соответственно вбил в радиуса 1 тестового юзера
Указал в радиусе что можно коннектица как Login так и Dot1
Если кнекчусь винбоксом с логином и паролем юзера радиуса, то все ок (радиус работает), а вот при включении сервера Dot1 на интерфейс куда на прямую подлючен ПК, то комп от сети далее роутера отваливается, а доступ к роутеру есть (винбокс работает) Html к радиусу работает.
Также поднял в виртуалке (через мост) виртуальный микротик. Состряпал клиента Dot1, коннекта нет. Запрсов на радиус нет.
Если порт вывести из бриджа, то сеть вообще теряется.
В голове уже кошмар творится. Вроде как все элементарно но не работает.

Re: 802.1x

Добавлено: 12 июл 2019, 21:39
Susanin
Походу вся бяка в самом радиусе микротика. Завтра попытаюсь поставить фрирадус последний и привязаться к нему. Там вроде как есть ЕАР.

Плохо когда не знаешь да еще и забудешь. :))