Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Новинка
Распродажа
Новости
Доставка
Оплата
Загрузки
  • Прошивки
    • WinBox
    • RouterOS
    • Мобильные приложения MikroTik
    • Архив
  • Changelogs
  • RouterOS
  • Мобильные приложения MikroTik
  • Архив
Форум
Настройка
    info@mikrotik.moscow
    +7 495 320-55-52
    Заказать звонок
    Mikrotik.moscow
    Каталог
    • Акции
      Акции
    • Маршрутизаторы
      Маршрутизаторы
    • Коммутаторы
      Коммутаторы
    • Радиомосты и уличные точки доступа
      Радиомосты и уличные точки доступа
    • Wi-Fi для дома и офиса
      Wi-Fi для дома и офиса
    • LTE/5G
      LTE/5G
    • Powerline адаптеры
      Powerline адаптеры
    • IoT устройства
      IoT устройства
    • Оборудование 60 ГГц
      Оборудование 60 ГГц
    • Материнские платы RouterBOARD
      Материнские платы RouterBOARD
    • Корпуса
      Корпуса
    • Интерфейсы
      Интерфейсы
    • SFP/QSFP трансиверы
      SFP/QSFP трансиверы
    • Аксессуары
      Аксессуары
    • Антенны
      Антенны
    • Архив
      Архив
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Скачать WinBox Скачать Прошивки Форум > RouterOS Форум > SwOS Форум > Железо
    Mikrotik.moscow
    Каталог
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Mikrotik.moscow
    Телефоны
    +7 495 320-55-52
    Заказать звонок
    0
    0
    0
    Mikrotik.moscow
    • +7 495 320-55-52
      • Назад
      • Телефоны
      • +7 495 320-55-52
      • Заказать звонок
    • info@mikrotik.moscow
    • г. Москва, ул. Бакунинская, 84
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной


    • Кабинет
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    RouterOS
    Проблема с Radius в WebFig

    Проблема с Radius в WebFig

    Форумы: RouterOS, Аппаратное обеспечение, SwOS, Обратная связь, Объявления, Сторонние инструменты
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    Проблема с Radius в WebFig, RouterOS
     
    fkayser
    Guest
    #1
    0
    08.10.2013 08:17:00
    Привет, с ROS 6.1 я пытался настроить аутентификацию RADIUS на WebFig. Аутентификация RADIUS работает для ssh и telnet, но когда я пытаюсь получить доступ к MT через WebFig, CLI выдает мне следующее сообщение: echo: system,info,account user fkayser logged in from 192.168.0.1 via web. Но браузер на короткое время показывает "Загрузка", а затем я получаю следующее сообщение: ERROR: router has been disconnected. Проблема сохраняется и в 6.4. Как я уже говорил, аутентификация RADIUS через SSH или Telnet работает, так что моя конфигурация должна быть правильной. Нужно ли мне указать что-то особенное, чтобы аутентификация RADIUS работала с WebFig, или это ошибка? В данный момент мы управляем около 700 MT с одним "жестко зашитым" пользователем, и нам действительно было бы удобно использовать аутентификацию RADIUS для WebFig, вы же понимаете.
     
     
     
    ikkaro
    Guest
    #2
    0
    20.07.2017 12:32:00
    Я смог решить проблему, теперь я могу войти через веб и ssh с помощью ActiveDirectory и FreeRadius. Могу поделиться конфигурацией, если у кого-то возникнут проблемы.
     
     
     
    flazzarini
    Guest
    #3
    0
    31.03.2015 14:55:00
    В нашей текущей настройке мы используем Cisco ACS v5.6.0.22-2. Проблема, описанная @fkayser, все еще актуальна. Я хотел бы ответить в этой теме и подробнее объяснить, какова наша текущая настройка. Сначала я расскажу о стороне MikroTik, а затем кратко объясню настройку на Cisco ACS и позже покажу некоторые записи логов, которые мы получаем при попытке войти в устройства MikroTik. Настройка Radius на MikroTik radius_setup_mikrotik.png Конфигурация Cisco ACS Разрешенные протоколы и правила cisco_acs_Protocols.png cisco_acs_Rule.png Логи Cisco ACS SSH cisco_acs_log_ssh.png Логи Cisco ACS Веб-вход cisco_acs_log_web.png cisco_acs_log_web_fail.png Не совсем понимаю, почему это происходит, у кого-нибудь есть аналогичная настройка с Cisco ACS в качестве сервера radius/tacacs?
     
     
     
    ZeroByte
    Guest
    #4
    0
    31.03.2015 23:36:00
    Я бы хотел, чтобы вы могли настроить, какой механизм аутентификации использовался для всех этих случаев. В моей компании была база пользователей с зашифрованными паролями, так что мы не могли использовать аутентификацию RADIUS для сеансов winbox (chap требует базу паролей в открытом виде). Я упомянул об этом одному из разработчиков Mikrotik на MUM12 в США, и он в основном сказал просто использовать webfig, если я хочу AAA. Это довольноtypично... Я чувствовал себя как Билл Мюррей в "Охотниках за приведениями II" - "Но я же избиратель. Разве ты не должен мне лгать и ластиться ко мне?"
     
     
     
    oscarc
    Guest
    #5
    0
    27.04.2015 17:02:00
    Привет всем! Кто-нибудь нашел решение? У меня такая же проблема, и когда я увидел этот пост, я сильно перепугался, потому что мы хотим развернуть несколько Mikrotik и они должны управляться через webfig с использованием аутентификации RADIUS, а решения, похоже, нет вовсе. Я использую Radiator, и он нормально работает с winbox… но нам также нужен webfig. Логи RADIUS выглядят нормально, просто веб-сервер перестал работать. Заранее спасибо!
     
     
     
    NXdebugger
    Guest
    #6
    0
    30.06.2016 17:25:00
    Bump.. похоже, вопрос еще не решен. У меня та же проблема. Webfig закрывает соединение. Версия ROS: 6.35.2 (стабильная). SSH/Telnet проблем нет. И это точно не проблема представления паролей PAP против MS-CHAPv2, так как я вижу сообщения в логе, что пользователь заходит через www сервис и затем выходит. Где ‘Acct-Terminate-Cause = 1’ означает, что это было запрошено клиентом. nexusadmin@maxwell]>(35 сообщений отброшено) echo: radius,debug,packet отправка Accounting-Request с id 227 на x.x.x.x:1813 echo: radius,debug,packet Знак = 0x663a3a1041a711264fb1eecf531302ca echo: radius,debug,packet Тип-службы = 1 echo: radius,debug,packet Имя-пользователя = “admintest” echo: radius,debug,packet Идентификатор вызывающей станции = “y.y.y.y.y” echo: radius,debug,packet Время сессии учета = 0 echo: radius,debug,packet Причина завершения учета = 1 echo: radius,debug,packet Тип статуса учета = 2 echo: radius,debug,packet Идентификатор сессии учета = “84000002” echo: radius,debug,packet Идентификатор NAS = “maxwell” echo: radius,debug,packet Время задержки учета = 0 echo: radius,debug,packet IP-адрес NAS = Y.Y.Y.Y log print 11:00:27 system,info,account пользователь admintest вошел с X.x.x.x через веб 11:00:27 system,info,account пользователь admintest вышел с x.x.x.x через веб
     
     
     
    ikkaro
    Guest
    #7
    0
    19.07.2017 07:07:00
    Привет, кто-нибудь знает, как решить эту проблему? Я настроил Freeradius с Active Directory, и управление через SSH/Telnet работает нормально, а вот webfig не функционирует. Запросы и ответы пользователя проходят нормально, и пользователь, похоже, вошел в систему, но интерфейс продолжает "загружаться", пока снова не появится экран входа. 09:04:29 radius,debug новый запрос 0d:04 код=Access-Request сервис=login 09:04:29 radius,debug отправка 0d:04 на 80.67.96.155:18120 09:04:29 radius,debug,пакет отправка Access-Request с id 7 на 80.67.96.155:18120 09:04:29 radius,debug,пакет     Подпись = 0x7c7d23b6df788f73a76d8ad62a5a4c2e 09:04:29 radius,debug,пакет     Service-Type = 1 09:04:29 radius,debug,пакет     User-Name = “pruebaigj” 09:04:29 radius,debug,пакет     MS-CHAP-Challenge = 0xlllllllllllllllllllllll 09:04:29 radius,debug,пакет     MS-CHAP2-Response = 0xkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 09:04:29 radius,debug,пакет     Calling-Station-Id = “192.168.92.13” 09:04:29 radius,debug,пакет     NAS-Identifier = “CPE” 09:04:29 radius,debug,пакет     NAS-IP-Address = 192.168.92.11 09:04:29 radius,debug,пакет получен Access-Accept с id 7 от XX.XX.XX.XX:18120 09:04:29 radius,debug,пакет     Подпись = 0x467ce9a1645ca6e550429695 09:04:29 radius,debug,пакет     MT-Group = “full” 09:04:29 radius,debug,пакет     MT-Rate-Limit = “1024k/1024k” 09:04:29 radius,debug,пакет     Service-Type = 1 09:04:29 radius,debug получен ответ на 0d:04 09:04:29 system,info,account пользователь pruebaigj вошел из 192.168.92.13 через web [admin@CPE] > user active print Флаги: R - radius, M - by-romon ДАТА ИМЯ АДРЕС ЧЕРЕЗ 0 jul/19/2017 08:52:47 admin 192.168.92.13 web 2 R jul/19/2017 09:04:29 pruebaigj 192.168.92.13 web
     
     
     
    savage
    Guest
    #8
    0
    19.07.2017 12:14:00
    Точно. Удивительно видеть, что CHAP2 тоже оказался в этой смеси. Понятно, что webfig тогда никогда не будет использован. Не собираюсь менять огромные архитектуры только ради такого. MT нужно в ногу со временем.
     
     
     
    ZeroByte
    Guest
    #9
    0
    20.07.2017 22:51:00
    Что насчет WinBox? Веб и SSH используют аутентификацию PAP, потому что клиент, а WinBox использует CHAP, который требует от сервера AAA доступа к паролю в открытом виде. (Может быть, шифрование паролей в Windows обратимое, но я бы не стал в этом уверен - я не системный администратор, так что не могу сказать точно). Если WinBox может работать с Mikrotik, используя AAA на основе AD (без FreeRadius), тогда мне было бы интересно увидеть конфигурацию на стороне Mikrotik.
     
     
     
    savage
    Guest
    #10
    0
    21.07.2017 06:20:00
    Windows может хранить пароли с использованием "обратимого" шифрования. Это вполне возможно, но 1) это небезопасно, и 2) это всё равно не помогает никому, кто не использует AD и не имеет пароли в открытом виде. На мой взгляд, все AAA-сервисы должны поддерживать PAP и CHAP, и всё. Сомневаюсь, что WebFig использует какую-либо из расширенных возможностей, которые предлагает CHAPv2, в любом случае.
     
     
     
    flameproof
    Guest
    #11
    0
    25.04.2018 18:12:00
    Извините, что вношу коррективы в старую ветку… но почти середина 2018 года, у нас версия 6.42.1, и вход по RADIUS в WebFig по-прежнему не работает. Мой RADIUS-сервер отправляет все правильные ответы. Логи показывают: Сообщение RADIUS: MS-CHAP2-Success = 0x00533d35443744314535453536393636 Сообщение пользователь test.user вошел с 10.20.0.100 через веб Каждый раз, когда я пытаюсь войти, в вкладку Активные пользователи добавляется еще одна сессия с "R", чтобы обозначить RADIUS: radius не по romon Имя test.user Дата Apr/25/2018 19:15:09 От 10.20.0.100 По RoMON Через веб Группа Полные сессии продолжают накапливаться, и они, похоже, никогда не заканчиваются. Я бы предпочел, чтобы Mikrotik просто отключил это вовсе, а не заставлял нас "играть" с этим каждый раз, когда выходит обновление, просто чтобы увидеть, починили ли это.
     
     
     
    strods
    Guest
    #12
    0
    25.04.2018 18:21:00
    Я рекомендую вам напрямую связаться с support@mikrotik.com. Я могу без проблем авторизовать пользователя в Webfig, используя RADIUS-сервисы.
     
     
     
    Страницы: 1
    Читают тему
    +7 495 320-55-52
    info@mikrotik.moscow
    Электрозаводская, Бауманская
    Москва, ул. Бакунинская, 84с21
    Конфиденциальность Оферта
    © 2025 «Mikrotik.Moscow»
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры