Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 (Beta) mit User-Manager Paket als Radius-Server

Mitglied: colinardo

colinardo (Level 5) - Jetzt verbinden

07.06.2020, aktualisiert 26.06.2020, 2172 Aufrufe, 2 Kommentare, 8 Danke


Einleitung

Die folgende Anleitung soll als eine zusätzliche Ergänzung zu der schon bestehenden hervorragenden Übersicht von @aqui in der Anleitung Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik dienen, und die kommenden Möglichkeiten des User-Managers vorstellen der als bislang als "abgespeckter" Radius-Server sein Dasein pflichtete. Mit den neuen Möglichkeiten wird der User-Manager endlich auch zu einem echten Radius-Server den man auch zur Authentifizierung zusätzlich zu PAP, CHAP, MS-CHAP, MS-CHAPv2 über die gängigen EAP-Methoden EAP-TLS, EAP-TTLS and EAP-PEAP nutzen kann, damit wächst der User-Manager zu einem, zwar nicht einem freeradius ebenbürtigen Kandidaten heran, aber in Zukunft kann man auch für einige Setups auf einen separaten Radius-Server verzichten.

Ich greife hier schon etwas der aktuellen Entwicklung von RouterOS im produktiven 6er Zweig voraus und möchte den neuen User-Manger im aktuellen Development-Release von Router OS 7 (aktuell beim Schreiben der Anleitung bei "beta8" angelangt) im Zusammenspiel mit 802.1X Port basierter Authentifizierung vorstellen. Der Development-Zweig ist aktuell ausdrücklich nicht für den produktiven Betrieb vorgesehen und beinhaltet wie immer noch Bugs. Da in @aqui 's Anleitung schon die dynamische VLAN Zuweisung für WLAN-Clients behandelt wurden, greife ich hier als Beispiel die auch seit neuerem in RouterOS enthaltene 802.1x Port basierte Authentifizierung auf.

Die Anleitung funktioniert ausdrücklich nicht mit den aktuellen 6er Versionen von RouterOS.

Hinweise

Da sich RouterOS 7 wie schon erwähnt noch im Beta-Entwicklungsstadium befindet, sind auch hier und da noch nicht alle neuen Features in Winbox als GUI hinterlegt und nur über die Konsole nutzbar. Für den User-Manager wird es in Zukunft auch kein extra Web-Administrationsportal mehr geben so wie es momentan der Fall ist. Dieser wird wohl in Winbox eingepflegt. Im Moment muss man aber noch mit der Konsole vorlieb nehmen. Aus diesem Grund beschränke ich mich hier vornehmlich auf die Konfiguration über die Konsole.
Das User-Manager Paket ist ein separates Package zu finden unter "Extra packages" unter https://mikrotik.com/download. Das *.npk extrahiert man und zieht es entweder per Drag n' Drop in Winbox auf den Router, oder überträgt es per (S)-FTP in das Root Verzeichnis des Mikrotik. Nach einem obligatorischen Reboot steht der User-Manager zur Verfügung.

1. Radius Server Eintrag erstellen

Damit der Mikrotik Radius-Anfragen an den User-Manager schicken und empfangen kann legen wir einen entsprechenden Eintrag wie folgt an:
Da der User-Manager hier auf dem gleichen Mikrotik läuft reicht hier die Loopback Adresse. Das Passwort kann natürlich frei gewählt werden, muss aber dann mit dem im User-Manager angelegten Passwort (unter Punkt 5) identisch sein.

2. Interface für 802.1X Authentifizierung vorbereiten


Hinter interface= geben wir den Port an welchen wir mit 802.1x schützen möchten. Vorerst deaktivieren wir den Eintrag noch (enabled=no) da sonst die Verbindung zum Client gekappt wird. Zum späteren Zeitpunkt aktivieren wir den Eintrag dann (Punkt 6).

3. Zertifikate erstellen

Die Anleitung soll jetzt nicht erneut die Grundlagen über die Erstellung von Zertifikaten behandeln, dafür existieren genügend ausführliche Anleitungen im Netz. Für das Beispiel generieren wir hier der Einfachheit halber eine Zertifizierungsstelle,Server- und Client-Zertifikat direkt auf dem Mikrotik.
Unsere CA nennen wir im Beispiel DOT1X_CA, den Common-Name des Server-Zertifikats DOT1X_SERVER und den des Clients DOT1X_CLIENT1.

3.1 CA Zertifikat erstellen und signieren

3.2 Server Zertifikat erstellen und signieren

3.3 Client Zertifikat erstellen und signieren

4. Zertifikate für die Verwendung am Client exportieren

Das Zertifikat der Zertifizierungsstelle (CA) exportieren wir als *.crt

Und das Client Zertifikat mit dessen privatem Schlüssel als *.p12 pkcs12 Container
Die Zertifikate werden im lokalen Speicher des Mikrotik abgelegt. Von dort aus kopiert man sie auf den Client. Unter Windows via Winbox entweder per Drag n' Drop auf den Desktop/Ordner ziehen oder per S-FTP oder FTP am Mikrotik einloggen und übertragen.

5. User-Manager einrichten

Dieser Schritt besteht hauptsächlich aus folgenden Schritten:

  • Router-Objekt anlegen (Authenticator festlegen)
  • Zu nutzendes Server Zertifikat festlegen
  • Profil anlegen(definieren von Limits usw.)
  • Authentifizierungs-Variante für EAP-TLS erstellen
  • User anlegen
  • User dem Profil zuweisen.

Die Schritte fasse ich hier als Konsolenbefehle zusammen, Passwort und Namen der Zertifikate müssen angepasst werden wenn oben dafür andere Werte verwendet wurden:

6. 802.1X am Mikrotik für das Interface aktivieren

Achtung: Nach Aktivierung der 802.1X auf dem Port verliert der dort angeschlossene Client seine LAN-Verbindung zum Mikrotik so lange er sich noch nicht authentifiziert hat! Das bitte berücksichtigen.

7. Client-Computer einrichten (Linux) und erster Test

Für einen Test von 802.1x am Client nehme ich hier als Beispiel eine Arch-Linux Distribution und das wpa_supplicant Paket

7.1 wpa_supplicant Package installieren und Konfiguration anlegen

Als erstes installieren wir wpa_supplicant
Dann legen wir unter /etc/wpa_supplicant/wpa_supplicant.conf eine Konfigurationsdatei an und fügen folgenden Inhalt ein:
(eigene Werte und Pfade anpassen):
Die identity sollte dem Common-Name im Client-Zertifikat und den Namen des Users im User-Manager entsprechen.

7.2 Verbindung mit wpa_supplicant herstellen (Test)

Für den ersten Test starten wir wpa_supplicant unter Angabe des Pfades zur oben erstellten Konfigurationsdatei, dem Parameter -D der den Driver auf "wired" (kabelgebunden) festlegt und dem Interface (-i) welches wir freischalten möchten:
Die Ausgabe sollte dann ähnlich wie diese aussehen

screenshot - Klicke auf das Bild, um es zu vergrößern

Nach Authentifizierung kann der Befehl mit CTRL+C abgebrochen werden.

Auf dem Mikrotik sollte dann die entsprechende Freigabe für das Interface zu sehen sein und das Interface auf "authorized" stehen:

screenshot - Klicke auf das Bild, um es zu vergrößern

screenshot - Klicke auf das Bild, um es zu vergrößern

Die Zähler am Radius-Client des Mikrotiks sollten das ebenfalls bestätigen

screenshot - Klicke auf das Bild, um es zu vergrößern

Und der User-Manager eine aktive Session anzeigen

screenshot - Klicke auf das Bild, um es zu vergrößern

8. Dynamische VLAN-Zuweisung für den Port

Alternativ lässt sich statt einer statischen VLAN-Zuweisung des Ports über die Bridge auch eine dynamische VLAN-Zuweisung für den Port über den neuen User-Manager vornehmen.
Wie bei den gängigen Radius-Servern wird dies auch hier über Attribute geregelt die der Radius-Server an den Authenticator im "Access-Accept" Paket mitschickt.
Die Attribute die wir für die port basierte Authentifizierung benötigen sind bei Mikrotik und 802.1x folgende:



Damit der Usermanager diese Attribute bei einer "Access-Accept" Antwort mitsendet, müssen wir die Attribute dem User-Manager erst einmal bekannt machen und anlegen:
Eine Liste der im Usermanager möglichen Attribute findet sich hier:
https://help.mikrotik.com/docs/display/ROS/User+Manager#UserManager-Attr ...

Jetzt kann man die Attribute beim Anlegen oder ändern eines Users oder einer Benutzergruppe mit individuellen Werten zuweisen.
Hier für einen User den man dynamisch dem VLAN 10 zuordnet:
Wenn sich der User nun wie oben gezeigt am Port authentifiziert, wird der auf 802.1x geschützte Port in der Bridge des Mikrotik für dieses VLAN automatisch als untagged in dem VLAN hinzugefügt und wird damit Mitglied des angegebenen VLANs. Geht der Port wieder in den Status "un-authorized" wird der Port auch automatisch wieder als untagged Port aus dem VLAN entfernt.

Hier sieht man im LOG des Mikrotik wie der User-Manager unsere hinzugefügten Attribute an den Mikrotik verschickt:

screenshot - Klicke auf das Bild, um es zu vergrößern

Ebenfalls wird nun das zugewiesene VLAN für den Port aufgeführt:

screenshot - Klicke auf das Bild, um es zu vergrößern

9. Troubleshooting am Mikrotik

Sollte es wieder erwarten zu Problemen kommen, sollte man als erstes das LOG um die radius und manager Topcs ergänzen, dann erhält man im LOG detaillierte Informationen über die versendeten Radius-Pakete und die User-Manager Meldungen.

screenshot - Klicke auf das Bild, um es zu vergrößern

Schlusswort

Die Entwicklung geht in die richtige Richtung, bleibt zu hoffen das sich RouterOS nicht mehr allzu lange auf sich warten lässt. Laut den Changelogs wurde der Kernel in RouterOS 7.0beta7 endlich auf einen aktuellen (5.6.3) gehoben. Das macht Hoffnung das vielleicht auch WireGuard und andere lang ersehnte Features in einem der zukünftigen Releases schneller Ihren Weg in RouterOS finden werden.

Bis dahin, bleibt von mir nur noch ein Gruß an alle Networker da draußen.
@colinardo
Mitglied: aqui
08.06.2020, aktualisiert um 10:53 Uhr
Das sind ja mal gute News von Mikrotik. Interessant und auch löblich das MT sich nun auch an die Standard Radius Attribute für VLANs hält und die Vendor spezifischen Attribute wohl nicht mehr zwingend sind.
Dein Einverständnis vorausgesetzt hab ich es mit dem o.a. Tutorial verlinkt.
Bitte warten ..
Mitglied: colinardo
08.06.2020 um 11:00 Uhr
Zitat von aqui:
Dein Einverständnis vorausgesetzt hab ich es mit dem o.a. Tutorial verlinkt.
Selbstredend .Danke dir!
Bitte warten ..
Ähnliche Inhalte
MikroTik RouterOS

RouterOS bekommt 802.1X Authentifizierung auf den physischen Ports

Tipp von 139920MikroTik RouterOS1 Kommentar

Mal wieder gute Neuigkeiten für Mikrotik und RouterOS Nutzer die es vielleicht noch nicht mitbekommen haben: Seit Mitte April ...

MikroTik RouterOS

Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Anleitung von aquiMikroTik RouterOS43 Kommentare

Grundlagen und Basis Design Dieses Mikrotik orientierte Tutorial ist ein Zusatz zum hiesigen VLAN_Tutorial. Es geht speziell auf die ...

MikroTik RouterOS

Mikrotik Advisory: Vulnerability exploiting the Winbox port

Information von colinardoMikroTik RouterOS1 Kommentar

Brand aktuell: Eine Schwachstelle im Winbox-Port bei Mikrotik Routern erlaubt das Auslesen der User-Datenbank der Router. Patch ist aktuell ...

Netzwerkmanagement

AVM Router mit Mikrotik Router für VLAN und Netgear GS724Tv4 für VLAN und Port Trunking

Anleitung von babylon05Netzwerkmanagement1 Kommentar

Vorab ersten einmal vielen Dank an aqui, sonst hätte ich es nicht hinbekommen. Ziel über eine günstige Konstellation ein ...

Neue Wissensbeiträge
LAN, WAN, Wireless
Sophos Central Wireless v2.3.0-6 massive Probleme
Information von Voiper vor 22 StundenLAN, WAN, Wireless

Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

Off Topic
Wuebra - tech-flare
Information von tech-flare vor 1 TagOff Topic3 Kommentare

Servus, Nein ihr seid mich nicht los Aus Wuebra wird tech-flare. Schöne Restwoche :)

Ausbildung
Crashkurs in Computertools - das fehlende Semester
Information von NetzwerkDude vor 2 TagenAusbildung

Moin, habe eigentlich was anderes gesucht, aber zufällig diesen MIT Kurs gefunden: Sind 11 Lektionen je 1 Stunde, als ...

Windows Netzwerk
Unsichtbare DHCP Leases finden und löschen
Anleitung von binBash86 vor 2 TagenWindows Netzwerk

Wir hatten häufiger das Problem, dass ein Windows DHCP Server scheinbar keine Leases mehr frei hat, wenn man aber ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Server -VS- NAS ?
Frage von Mann-000SAN, NAS, DAS26 Kommentare

Hallo zusammen, ich habe einige Seite durchgelesen (viel altes Zeug von 2011 etc. gefunden) und frage mich immer noch, ...

Hyper-V
VHDX löschen (Datei wird verwendet)
gelöst Frage von 72-dpijunkieHyper-V21 Kommentare

Guten Morgen zusammen, ich habe ein Problemchen und weiß nicht mehr weiter. Vielleicht kann mir jemand von euch helfen? ...

Windows 10
W10 Netzlaufwerk alter SAMBA Server funktioniert nicht mehr seit Update 2004
Frage von leon123Windows 1016 Kommentare

Hallo zusammen, ich habe bei allen Windows 10 mit Update 2004 das Problem, dass Verbundene Netzlaufwerke eines älteren SAMBA ...

Windows Server
Powershell Dateien archivieren und im LogSpeichern
gelöst Frage von HAinsaneWindows Server15 Kommentare

Hallo zusammen, bei uns werden auf einem Fileserver automatisch Ergebnisse der Produktion in verschiedenen Files abgelegt. Die entsprechenden Verzeichnisse ...