802.1x

Базовая функциональность RouterOS
lososol
Сообщения: 19
Зарегистрирован: 08 окт 2018, 14:55

802.1x

Сообщение lososol » 10 июл 2019, 16:59

Доброго времени суток, настраивал кто уже из новых прошивок 802.1x (dot1x)? Необходима консультация) спасибо за помощь

Аватара пользователя
Chupaka
Сообщения: 2153
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 802.1x

Сообщение Chupaka » 10 июл 2019, 21:34

Доброго.

Может, есть смысл сразу вопрос задать? :)

lososol
Сообщения: 19
Зарегистрирован: 08 окт 2018, 14:55

Re: 802.1x

Сообщение lososol » 11 июл 2019, 08:57

Та вопрос в следующем, может я не понимаю принципа работы, отрицать не буду, но в микротике есть работа как клиента(supplicant) так и авторизатора (authenticator), есть скажем роутер, в него включен комп в езер1, и в езер2 включен сервер авторизации радиус, на этом роутере я создаю authenticator (server) выбираю интерфейс 2, на котором по логике должны слушаться запросы авторизации, и тогда все ложится, если же я конфигурирую как клиента роутер, то какие данные нужно подставлять в тож же поле Identity? потому-что я пробовал по разному настраивать и все одно- не работает)Спасибо за ответ

Аватара пользователя
Chupaka
Сообщения: 2153
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 802.1x

Сообщение Chupaka » 11 июл 2019, 11:43

Так, authenticator надо вешать на езер1, если комп должен авторизоваться на данном роутере. А в RADIUS добавить адрес сервера на езер2.

А supplicant - это когда надо своим роутером подключиться к устройству, которое требует 802.1x (например, к провайдеру с такой аутентификацией).

lososol
Сообщения: 19
Зарегистрирован: 08 окт 2018, 14:55

Re: 802.1x

Сообщение lososol » 11 июл 2019, 11:47

а если у меня между компом и главным маршрутизатором стоит два свича?) то получается что я вешаю на порт за которым будет комп а на порт по которому соединяется (допустим свич и другой свич) я вешаю езер2(например) как супликант?

Аватара пользователя
Chupaka
Сообщения: 2153
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 802.1x

Сообщение Chupaka » 11 июл 2019, 12:08

Из документации непонятно, можно ли авторизовать разных клиентов на порту (везде указано Port-based, и нет ничего про MAC-based 802.1x), так что, возможно, если порт авторизован - то любой клиент будет через него ходить. Надо проверять.
lososol писал(а):
11 июл 2019, 11:47
а если у меня между компом и главным маршрутизатором стоит два свича?) то получается что я вешаю на порт за которым будет комп а на порт по которому соединяется (допустим свич и другой свич) я вешаю езер2(например) как супликант?
Я вам тут запятых принёс, пользуйтесь, а то смысл фразы затерялся в её недрах: ",,,,,,,,,"

Попробую ответить на то, что понял: если компьютер подключен к edge-роутеру, то и аутентифицировать (т.е. создавать аутентификатор на порту клиента) надо на этом роутере. "Главный маршрутизатор" сюда приплетать не надо, только если не стоит задача аутентифицировать edge-роутер (в роли сапликанта) на главном роутере - но это будут две совершенно разные независимые аутентификации. То, что попытались описать вы - это какое-то проксирование получается, видимо.

lososol
Сообщения: 19
Зарегистрирован: 08 окт 2018, 14:55

Re: 802.1x

Сообщение lososol » 11 июл 2019, 12:14

Извиняюсь, edge-роутер это что?

Аватара пользователя
Chupaka
Сообщения: 2153
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 802.1x

Сообщение Chupaka » 11 июл 2019, 12:18

Это неглавный роутер :) Который пограничный, рядом с клиентом.

lososol
Сообщения: 19
Зарегистрирован: 08 окт 2018, 14:55

Re: 802.1x

Сообщение lososol » 11 июл 2019, 12:50

А, ну я так и думал=) ну а если за edge-роутером стоит еще роутер, то тогда этот роутер будет выступать в роли аутентификатора для первого роутера и пользователя, после второго роутера стоит core-маршрутизатор, то по цепочке делать для пользовательского ПК я правильно понимаю?

Аватара пользователя
Chupaka
Сообщения: 2153
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 802.1x

Сообщение Chupaka » 12 июл 2019, 09:11

Я же написал выше, что неправильно. По цепочке — это когда роутеры авторизуют друг друга, и крайний роутер авторизует ПК. При этом у каждого устройства свои учётные данные, и авторизуются они независимо друг от друга. Но в обычной жизни достаточно настроить 802.1x на единственном роутере — том, к которому подключен ПК.

Ответить