Перейти к содержанию
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 8

Авторизация клиентов VPN через RADIUS Server

krasnoperovrv

Ответ от krasnoperovrv,

 Поделиться

Вопрос

krasnoperovrv Новичок

krasnoperovrv

Опубликовано
Опубликовано (изменено)

Добрый день!

На сегодняшний день в Keenetic OS реализована поддержка авторизации пользователей через сторонний radius server, только при настройке сегментов локальной сети, в частности при настройке wi-fi. Планируется ли добавить профиль "radius server" - по аналогии, как это сделано на маршрутизаторах Unifi и способность его применения к VPN подключениям keenetic, т.е. суть в том, чтобы авторизация подключения клиентов VPN keenetic была выполнена по сторонним учетным записям, не по пользователям keenetic?

Реализация данного функционала на порядок повысит востребованность продукции.

Лично мне это необходимо вот для чего:

Имеется сеть, в которой расположен NAS сервер с запущенными службами домен AD, DNS и RADIUS server. Требуется ввод клиентов через VPN в домен. Если это делать через keenetic VPN (по пользователю keenetic), то для реализации требуется второй роутер keenetic, при действующем соединении VPN машина заводится в домен. Если же организовать авторизацию клиентов VPN keenetic через RADIUS Server, то тогда можно будет напрямую, при входе, завести машину в домен инициируя VPN подключение с неё.   

Изменено пользователем krasnoperovrv
  • Лайк 4

9 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
zmey-sp Новичок

zmey-sp

Опубликовано
Опубликовано

Добрый день.

Присоединяюсь к вопросу "авторизация на VPN через внешний RADIUS"

Роутер ставим "перед" сервером с Windows RDP. Пользователям было бы удобно запомнить один логин и пароль. Который подошел бы и для VPN и для входа на сервер. И через Windows можно было бы самостоятельно поменять пароль....Или это уже реализовано?

  • 0
smidt Новичок

smidt

Опубликовано
Опубликовано

Присоединяюсь к коллегам, было бы действительно очень удобно, по этому вопросу даже писал обращение в техподдержку, ответили что даже в планах нет и ни кто, кроме меня, обращений не писал.

Надеюсь что появиться данный функционал.

  • 0
KyZZMI4 Пользователь

KyZZMI4

Опубликовано
Опубликовано

Присоединяюсь, было бы интересно управлять учётками из одного места, да и пользователям проще, не надо разные данные запоминать от ВПН и от домена. 

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано

Думаю, это возможно.

В новых версиях 4.3 все серверы внутри Keeentic OS уже полностью переведены на radius, потому добавить к ним настройку внешнего сервера несложно.

Однако в таком случае нужно будет не только авторизоваться, но и передавать атрибуты IPv4 и IPv6 адресов самостоятельно.

Такой вариант подходит?

  • Спасибо 3
  • 0
Seilenos Новичок

Seilenos

Опубликовано
Опубликовано
On 8/26/2024 at 11:58 AM, Le ecureuil said:

Такой вариант подходит?

А, что за 4.3? Про нее вообще никакой информации нет, поскольку даже 4.2 только в статусе альфы.

Можно поподробнее?

  • 0
zmey-sp Новичок

zmey-sp

Опубликовано
Опубликовано

Не совсем понятно "Вам придется самим трекать соединение и выдавать атрибуты с адресами". В связке Микротик+Windows NPS адреса не передаются. Просто роутер передаёт пару логин-пароль radius серверу и получает ответ "да/нет" на разрешение доступа. Средствами NPS можно без проблем передать номер VLAN-а. Если нужно от сервера к роутеру передать настройки IP- думаю это возможно. Но что значит "самим трекать соединение" ? При подключении к WiFi через RADIUS кто и где "трекает соединение"?

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
В 11.10.2024 в 08:22, zmey-sp сказал:

Не совсем понятно "Вам придется самим трекать соединение и выдавать атрибуты с адресами". В связке Микротик+Windows NPS адреса не передаются. Просто роутер передаёт пару логин-пароль radius серверу и получает ответ "да/нет" на разрешение доступа. Средствами NPS можно без проблем передать номер VLAN-а. Если нужно от сервера к роутеру передать настройки IP- думаю это возможно. Но что значит "самим трекать соединение" ? При подключении к WiFi через RADIUS кто и где "трекает соединение"?

В текущей реализации или RADIUS отвечает "за все", или "вообще ни за что".

То есть если вы хотите авторизовывать на внешнем RADIUS, то и адреса выдавать через Framed-IP-Address должен именно он: все встроенные пулы внутри Keenetic в таком случае отключаются. Это же касается и контроля сессий, а также multilogin.

Внутренний RADIUS пока не подходит для WPA Enterprise, потому это не проблема.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю