+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Ikev2 + eap radius

Ikev2 + eap radius, RouterOS

Lemahasta

Guest

21.02.2017 20:26:00

Мне удалось запустить ikev2 с RSA-подписью, но я гораздо больше хочу использовать аутентификацию EAP RADIUS. Я пытался настроить это, но у меня не получается. Подключаюсь с Android с помощью клиента strongswan. Использование "certificate" работает нормально, но когда переключаю на "eap login/password" (в Android) и "auth: eap radius", получаю ошибку "AUTHENTICATION_FAILED".

RouterOS v.6.38.1. В логах MikroTik вижу, что роутер получил правильное имя пользователя и пересылает его на RADIUS-сервер, но потом возникает ошибка: secret string is empty, AUTH not matching. В логах RADIUS никаких ошибок нет — он получает правильное имя пользователя и проверяет его по локальному файлу пользователей. Те же учётные данные (логин/пароль) с тем же RADIUS-сервером прекрасно работают, например, при входе в MikroTik через winbox.

Единственная значимая часть в конфигурации IPsec, которую я меняю, — это метод аутентификации: radius eap в роутере. При настройке radius я включал “ipsec”. Всё работает, как только я меняю метод аутентификации на “rsa signature” и, конечно, в strongswan переключаю тип с eap user/password на certificate.

Если у кого-то есть советы, как правильно настроить ikev2 с eap radius, буду очень признателен. Я не могу разобраться сам и не вижу специфичной для MikroTik информации в вики.

Vaxter Guest	#2 0 12.03.2017 18:55:00 После двух дней пыток с этим я должен признать поражение и поднять эту тему…

mrz Guest	#3 0 15.03.2017 06:56:00 Обновитесь до последней версии v6.39rc и попробуйте снова. Если проблема останется, свяжитесь с технической поддержкой и приложите файл supout.

Vaxter

Guest

19.03.2017 17:52:00

Обновил, но без удачи… К сожалению, поддержки у меня больше нет, и мне как-то не хочется платить за поддержку, когда я уверен, что ошибка не в моей настройке. Radius работал с PPTP, IKEv2 работает с сертификатом, но не с eap radius.

Lemahasta

Guest

05.06.2017 10:40:00

Сейчас я использую 6.39 (стабильную версию), и eap-radius для ikev2 по-прежнему, похоже, не работает. Для sstp проблем нет, всё работает без сбоев. Для IKEV2 RADIUS-сервер принимает запрос, отправляет «access-accept», который Mikrotik получает (в логе MT я чётко вижу «received access-accept» со всеми нужными данными), но по какой-то причине Mikrotik выдаёт ошибку: ipsec, ошибка «no proposal chosen». Клиент Windows при подключении получает ошибку из-за несовпадения правил. Как только я меняю «eap radius» на «rsa signature», всё работает идеально — тот же Windows-клиент подключается к тому же устройству Mikrotik без каких-либо изменений в настройках. К сожалению, у меня нет запасных устройств Mikrotik, чтобы протестировать какие-нибудь из RC-версий.

Vaxter Guest	#6 0 05.06.2017 10:41:00 У меня последняя RC-версия, и у меня та же проблема. Отправлено с iPhone через Tapatalk.

anesth

Guest

17.10.2017 21:27:00

Привет, Radius сервер должен быть правильно настроен. На самом деле сообщение «secret string is empty» связано с MSK — Mikrotik требует, чтобы radius сервер предоставлял MSK (в атрибутах MS-MPPE-Send-Key и MS-MPPE-Recv-Key). Поэтому настройте что-то вроде EAP-PEAP с MSCHAPv2, чтобы аутентифицировать клиента по имени пользователя и паролю, или EAP-TLS (с адекватным subjAltName в сертификате) для аутентификации на основе сертификата через radius. Всё отлично работает с strongswan для Android (как EAP-TLS, так и EAP-PEAP/MSCHAPv2) и на strongswan для Linux. С Windows не тестировал, но думаю, настроить несложно.

thenoob

Guest

04.07.2018 19:53:00

Эта тема древняя, как моя бабушка, но я её очень люблю, поэтому воскресаю с простым: «конфиг или не было». Серьёзно, мне бы очень хотелось посмотреть, как это настраивается. Я пытаюсь сделать конфигурацию, которая может логиниться с Android (ikev2) и Windows (sstp/ikev2). Единственное, что у меня получилось — это pptp и l2tp, и то не за NAT, а я как раз пытаюсь разобраться с этим моментом.

Клиент (роутер/NAT) ==> интернет ==> Mikrotik (ikev2 + NAT) ==> radius ==> ldap…

Голова уже вся почесана, так что буду очень рад, если кто-нибудь поделится экспортом конфигурации.

Lemahasta

Guest

09.07.2018 11:49:00

Я ещё раз проверил, не начнёт ли это работать после какого-нибудь обновления, но нет. ROS 6.42.3, последняя версия freeradius (3.0.17) и клиент Windows 10 (1803) — всё по-прежнему. IKEV2 с eap-only, используется сертификат, подписанный другим самоподписанным (не доверенным) центром сертификации. CA добавлена в доверенное хранилище Windows (локальное, компьютер, доверенные CA). При использовании «ikev2 rsa signature» всё работает идеально (клиент Windows тогда использует сертификат, подписанный тем же CA). Но когда переключаю на eap-only, получаю ошибки: в MikroTik это «ipsec no proposal chosen», в Windows — «rules mismatch». Обе ошибки выглядят странно, потому что смена «rsa signature → eap only» никак не должна влиять на «ipsec proposal», так что, возможно, проблема где-то ещё, просто в отладке не отображается? Аутентификация проходит отлично (клиент передаёт учётные данные MikroTik, тот отправляет на radius, radius возвращает access-accept), а потом просто падает с указанными ошибками. Возможно, что-то не так с сертификатом и его нужно изменить, но я не уверен, что именно. Очень хотелось бы увидеть работающую конфигурацию «eap only» для ikev2, именно для /ipsec.

marwooj Guest	#10 0 16.07.2018 20:25:00 Привет, не мог бы ты скинуть ссылку на руководство по настройке IPsec для мобильных пользователей?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры