Jump to content

Question

Posted (edited)

Добрый день!

На сегодняшний день в Keenetic OS реализована поддержка авторизации пользователей через сторонний radius server, только при настройке сегментов локальной сети, в частности при настройке wi-fi. Планируется ли добавить профиль "radius server" - по аналогии, как это сделано на маршрутизаторах Unifi и способность его применения к VPN подключениям keenetic, т.е. суть в том, чтобы авторизация подключения клиентов VPN keenetic была выполнена по сторонним учетным записям, не по пользователям keenetic?

Реализация данного функционала на порядок повысит востребованность продукции.

Лично мне это необходимо вот для чего:

Имеется сеть, в которой расположен NAS сервер с запущенными службами домен AD, DNS и RADIUS server. Требуется ввод клиентов через VPN в домен. Если это делать через keenetic VPN (по пользователю keenetic), то для реализации требуется второй роутер keenetic, при действующем соединении VPN машина заводится в домен. Если же организовать авторизацию клиентов VPN keenetic через RADIUS Server, то тогда можно будет напрямую, при входе, завести машину в домен инициируя VPN подключение с неё.   

Edited by krasnoperovrv
  • Upvote 4

9 answers to this question

Recommended Posts

  • 0
Posted

Добрый день.

Присоединяюсь к вопросу "авторизация на VPN через внешний RADIUS"

Роутер ставим "перед" сервером с Windows RDP. Пользователям было бы удобно запомнить один логин и пароль. Который подошел бы и для VPN и для входа на сервер. И через Windows можно было бы самостоятельно поменять пароль....Или это уже реализовано?

  • 0
Posted

Присоединяюсь к коллегам, было бы действительно очень удобно, по этому вопросу даже писал обращение в техподдержку, ответили что даже в планах нет и ни кто, кроме меня, обращений не писал.

Надеюсь что появиться данный функционал.

  • 0
Posted

Присоединяюсь, было бы интересно управлять учётками из одного места, да и пользователям проще, не надо разные данные запоминать от ВПН и от домена. 

  • 0
Posted

Думаю, это возможно.

В новых версиях 4.3 все серверы внутри Keeentic OS уже полностью переведены на radius, потому добавить к ним настройку внешнего сервера несложно.

Однако в таком случае нужно будет не только авторизоваться, но и передавать атрибуты IPv4 и IPv6 адресов самостоятельно.

Такой вариант подходит?

  • Thanks 3
  • 0
Posted
On 8/26/2024 at 11:58 AM, Le ecureuil said:

Такой вариант подходит?

А, что за 4.3? Про нее вообще никакой информации нет, поскольку даже 4.2 только в статусе альфы.

Можно поподробнее?

  • 0
Posted

А что поподробнее? Все подробности по теме в сообщении выше. Вам придется самим трекать соединение и выдавать атрибуты с адресами. Это устраивает?

  • 0
Posted

Не совсем понятно "Вам придется самим трекать соединение и выдавать атрибуты с адресами". В связке Микротик+Windows NPS адреса не передаются. Просто роутер передаёт пару логин-пароль radius серверу и получает ответ "да/нет" на разрешение доступа. Средствами NPS можно без проблем передать номер VLAN-а. Если нужно от сервера к роутеру передать настройки IP- думаю это возможно. Но что значит "самим трекать соединение" ? При подключении к WiFi через RADIUS кто и где "трекает соединение"?

  • 0
Posted
В 11.10.2024 в 08:22, zmey-sp сказал:

Не совсем понятно "Вам придется самим трекать соединение и выдавать атрибуты с адресами". В связке Микротик+Windows NPS адреса не передаются. Просто роутер передаёт пару логин-пароль radius серверу и получает ответ "да/нет" на разрешение доступа. Средствами NPS можно без проблем передать номер VLAN-а. Если нужно от сервера к роутеру передать настройки IP- думаю это возможно. Но что значит "самим трекать соединение" ? При подключении к WiFi через RADIUS кто и где "трекает соединение"?

В текущей реализации или RADIUS отвечает "за все", или "вообще ни за что".

То есть если вы хотите авторизовывать на внешнем RADIUS, то и адреса выдавать через Framed-IP-Address должен именно он: все встроенные пулы внутри Keenetic в таком случае отключаются. Это же касается и контроля сессий, а также multilogin.

Внутренний RADIUS пока не подходит для WPA Enterprise, потому это не проблема.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.