Mikrotik: Konfiguracja uwierzytelniania z Synology RADIUS Server

Cześć!

Dziś zgłębimy temat konfiguracji RADIUS z Synology na urządzeniach Mikrotik. Wprowadzenie tej integracji stanowi kluczowy krok w zapewnieniu bezpiecznego dostępu użytkowników do różnych usług w sieci. Poprzez połączenie tych dwóch platform, możliwe staje się skuteczne centralne uwierzytelnianie i autoryzacja. W rezultacie administratorzy zyskują pełną kontrolę nad dostępem do sieci, usług VPN oraz panelu administracyjnego

Wstęp

Co to Mikrotik?

MikroTik to firma znana głównie z produkcji sprzętu sieciowego, w tym routerów, switchy, punkty dostępowe Wi-Fi. Ponadto, MikroTik oferuje również oprogramowanie, w tym system operacyjny RouterOS, który jest używany jako firmware dla większości urządzeń MikroTik.

RouterOS to zaawansowany system operacyjny oparty na jądrze Linux, zaprojektowany specjalnie do zastosowań sieciowych. Zapewnia szeroki zakres funkcji, w tym routing, firewall, tunelowanie VPN, zarządzanie pasmem, dostęp do internetu, a także zaawansowane narzędzia konfiguracyjne i monitorujące.

Urządzenia MikroTik są popularne zarówno wśród użytkowników indywidualnych, małych firm, jak i dużych operatorów sieciowych, ze względu na ich wszechstronność, wydajność oraz stosunkowo przystępną cenę. Dzięki elastyczności, mogą być stosowane w różnych scenariuszach, od prostych sieci domowych po zaawansowane infrastruktury sieciowe.

Co to Synology i komponent RADIUS Server?

Synology to firma specjalizująca się w produkcji sprzętu sieciowego oraz oprogramowania do przechowywania danych i zarządzania nimi. Ich główne produkty to serwery NAS (Network Attached Storage), które oferują szeroki zakres funkcji, takich jak przechowywanie plików, udostępnianie multimediów, tworzenie kopii zapasowych, a także hosting usług sieciowych.

RADIUS Server to pakiet, które działa na serwerze i obsługuje protokół RADIUS. Zapewnia ono funkcje uwierzytelniania i autoryzacji użytkowników, a także ewentualnie rachunkowości (zapisywanie informacji o sesjach użytkowników). W kontekście Synology, RADIUS Server to jedna z funkcji, którą można skonfigurować na ich serwerach NAS, umożliwiająca centralne zarządzanie uwierzytelnianiem użytkowników w sieci. Dzięki temu integracja z urządzeniami takimi jak MikroTik staje się możliwa, co umożliwia skuteczne zarządzanie dostępem w sieciach firmowych lub domowych.

Przygotowanie

W celu przygotowania poradnika, przyjmiemy ustaloną nazwę domeny oraz określone nazwy konfiguracyjne, przedstawione poniżej. Dla dostosowania konfiguracji do własnych potrzeb, należy zastosować ustawienia według indywidualnych wymagań.

• Pełna nazwa domeny (FQDN) Synology DSM: https://dsm.xyz.com,
• Zainstalowany na Synology poprzez Centrum pakietów: RADIUS Server.

Hardware

• 1x Synology DS920+
• 1x Mikrotik RB5009UPr+S+IN

Czym jest RADIUS?

Protokół RADIUS (Remote Authentication Dial-In User Service) jest standardem używanym w sieciach komputerowych do autoryzacji, uwierzytelniania i zarządzania dostępem użytkowników. Służy głównie do kontroli dostępu do sieci przez użytkowników zdalnych, którzy chcą się z nią połączyć, na przykład poprzez VPN (Virtual Private Network).

RADIUS umożliwia centralne zarządzanie procesem uwierzytelniania, co oznacza, że dane uwierzytelniające użytkowników oraz informacje o ich dostępie są przechowywane i zarządzane na centralnym serwerze RADIUS. Dzięki temu, administratorzy sieci mogą skonfigurować jedno miejsce, gdzie przechowywane są dane logowania użytkowników oraz reguły dostępu, co ułatwia zarządzanie i zapewnia spójność w całej sieci.

W praktyce, gdy użytkownik próbuje połączyć się z siecią, np. poprzez VPN, urządzenie sieciowe przesyła żądanie uwierzytelnienia do serwera RADIUS. Serwer RADIUS sprawdza te dane w swojej bazie danych, a następnie zwraca odpowiedź, czy użytkownik ma uprawnienie do dostępu czy też nie. Dodatkowo, RADIUS pozwala na dodatkowe funkcje, takie jak zarządzanie dostępem na podstawie różnych kryteriów, logowanie sesji użytkowników oraz raportowanie danych dotyczących dostępu do sieci.

W skrócie, RADIUS stanowi kluczowy element infrastruktury sieciowej, umożliwiając efektywne zarządzanie dostępem użytkowników oraz zwiększając poziom bezpieczeństwa sieci.

Działanie RADIUS

Działanie protokołu RADIUS polega na centralnym zarządzaniu procesem uwierzytelniania, autoryzacji i rachunkowości (AAA – Authentication, Authorization, and Accounting) użytkowników w sieciach komputerowych.

• Authentication: Kiedy użytkownik próbuje uzyskać dostęp do sieci, np. poprzez połączenie VPN, jego dane uwierzytelniające (np. nazwa użytkownika i hasło) są przesyłane do serwera RADIUS przez urządzenie sieciowe (np. router, punkt dostępowy). Serwer RADIUS sprawdza te dane w swojej bazie danych lub przekazuje je do zewnętrznego źródła uwierzytelniania (np. bazy LDAP), a następnie zwraca odpowiedź, czy uwierzytelnianie zakończyło się sukcesem czy też nie.
• Authorization: Po poprawnym uwierzytelnieniu użytkownika, serwer RADIUS decyduje, czy użytkownik ma uprawnienia do dostępu do żądanych zasobów w sieci. Bazując na skonfigurowanych regułach autoryzacyjnych, serwer RADIUS określa, które zasoby użytkownik ma prawo używać oraz na jakich warunkach.
• Accounting: Opcjonalnie, serwer RADIUS może prowadzić rejestrację działań użytkowników w sieci, takich jak czas i długość sesji, ilość danych przesłanych przez użytkownika, czy też inne informacje dotyczące aktywności. Te dane mogą być wykorzystywane do celów audytowych, rozliczeniowych czy analizy wydajności sieci.

Dzięki centralnemu zarządzaniu procesem uwierzytelniania i autoryzacji, RADIUS umożliwia administratorom skuteczne zarządzanie dostępem użytkowników w sieci. Jest to szczególnie przydatne w środowiskach, gdzie istnieje potrzeba zapewnienia bezpiecznego i spójnego dostępu dla użytkowników zarówno lokalnych, jak i zdalnych.

Ograniczenia wynikające z RADIUS Server na Synology

Aplikacja RADIUS Server na urządzeniach Synology jest skonfigurowana głównie do uwierzytelniania użytkowników w sieci, ale nie oferuje pełnej funkcjonalności autoryzacji, czyli decydowania o dostępie do konkretnych zasobów lub usług na podstawie danych uwierzytelniających. Oznacza to, że aplikacja RADIUS Server weryfikuje jedynie tożsamość użytkownika na podstawie danych z bazy użytkowników, ale nie określa jego uprawnień do korzystania z poszczególnych zasobów w sieci.

W naszym opisywanym przypadku, gdzie użytkownikom udostępniono dostęp do panelu administracyjnego Mikrotik (WinBox), wykorzystanie aplikacji RADIUS Server na urządzeniach Synology nie zapewniłoby właściwej autoryzacji. Ponieważ aplikacja RADIUS Server na Synology nie umożliwia definiowania uprawnień dostępu dla poszczególnych użytkowników, wszyscy użytkownicy uwierzytelnieni przez RADIUS mieliby potencjalnie dostęp do panelu administracyjnego jako administratorzy.

W związku z tym, aplikacja RADIUS Server na Synology w naszym przypadku byłaby przydatna głównie dla administratora, który ma pełne uprawnienia do zarządzania siecią. Natomiast w przypadku standardowych użytkowników, którzy nie powinni mieć dostępu do panelu administracyjnego Mikrotik jako administratorzy, konieczne byłoby zastosowanie innych mechanizmów autoryzacji, na przykład tworzenia oddzielnych kont użytkowników z odpowiednimi uprawnieniami na Mikrotiku.

Krok 1 – Konfiguracja w Synology DSM

• Zaloguj się do interfejsu DSM – Otwórz przeglądarkę internetową i zaloguj się do panelu administracyjnego na swoim urządzeniu Synology, używając odpowiednich danych uwierzytelniających (konto administratora),
• Zainstaluj RADIUS Server – Po zalogowaniu, przejdź do Centrum Pakietów (które jest centralnym miejscem do zarządzania aplikacjami na urządzeniach Synology). Wyszukaj pakiet RADIUS Server i zainstaluj go na swoim urządzeniu.
• Uruchom aplikację – Po zainstalowaniu aplikacji, przejdź do listy aplikacji i uruchom aplikację RADIUS Server.

• W zakładce Settings ustaw następujące parametry.
  • Common Settings
    • Authentication port: 1812 (pozostaw domyślnie)
    • Network interface: Jeżeli Twój NAS działa w trybie Bondingu – pozostaw domyślnie. Jeżeli chcesz, aby inny adres IP odpowiadał za uwierzytelnianie – zdefiniuj odpowiedni port.
    • TLS/SSL profile level: Intermediate compatibility
    • Source for user authentication: Jeśli nie skonfigurowano serwera LDAP, system automatycznie ogranicza wybór tylko do kont lokalnych użytkowników. Domyślnie do wyboru jest Local users.
• Przejdź do zakładki Clients i ustaw następujące parametry.

• Kliknij Add, otworzy Ci się mniejsze okno z kilkoma polami do uzupełnienia.

• Uzupełnij następujące parametry.
  • Common setting
    • Name: Ustaw własną nazwę np. router01 lub mikrotik01
    • Shared secret: Ustaw skomplikowane hasło, które potem wkleisz do konfiguracji w Mikrotiku.
  • Source IP
    • Zaznacz Single host
    • IP address: Wprowadź adres lokalny routera Mikrotik np. 192.168.88.1
• Zapisz ustawienia klikając OK. Okno zostanie zamknięte.
• Zatwierdź konfigurację klikając w oknie konfiguracji serwera RADIUS Apply.

Krok 2 – Konfiguracja w Mikrotik WinBox

Konfiguracja połączenia z RADIUS Server

• Zaloguj się do WinBoxa – Uruchom aplikację i zaloguj się danymi administratora do swojego urządzenia Mikrotik.
• Przejdź do zakładki RADIUS – Po zalogowaniu, przejdź do zakładki RADIUS w menu głównym WinBoxa.

• Dodaj nowy serwer RADIUS – Kliknij przycisk + w zakładce RADIUS, aby dodać nowe połączenie z zewnętrznym serwerem.

• Skonfiguruj ustawienia serwera RADIUS – W polach konfiguracyjnych skonfiguruj następujące parametry
  • General
    • Service: Pole odnosi się do rodzaju usługi, która będzie korzystać z serwera RADIUS do uwierzytelniania użytkowników. Na potrzeby poniższej instrukcji – mam zaznaczoną opcję PPP oraz Login.
    • Address: Wprowadź adres IP lokalny serwera NAS na którym jest pakiet Synology RADIUS Server np. 192.168.88.20
    • Protocol: udp
    • Secret: Wklej skomplikowane hasło, które ustawiłeś w parametrach serwera RADIUS na Synology (Shared secret)
    • Authentication Port: 1812 (pozostaw domyślnie)
    • Accounting Port: 1813 (pozostaw domyślnie)
    • Timeout: 400 ms (pozostaw domyślnie)
  • Zapisz ustawienia klikając Apply i OK. Okno zostanie zamknięte.

Umożliwienie logowania do WinBox za pomocą RADIUS

• Przejdź do zakładki System, a następnie Users.

• Aby umożliwić logowanie do WinBox za pomocą RADIUS, należy najpierw kliknąć w przycisk AAA.

• W oknie Login Authentication & Accounting zaznacz następujące opcje:
  • Use RADIUS: zaznacz opcję,
  • Accounting: zaznacz opcję,
  • Interim Update: pozostaw puste,
  • Default Group: full,
  • Exclude Groups: pozostaw puste.

Sprawdź działanie logowania do WinBox za pomocą RADIUS

• Przejdź do uruchomienia nowego okna, klikając New WinBox.

• Wprowadź dane do logowania, które wykorzystujesz na serwerze Synology.

• Gotowe! 🚀

Dodatkowe źródła i informacje

W celu dalszego zgłębienia tematu i uzyskania szczegółowych informacji, polecam sprawdzenie poniższych linków. Są one wartościowymi źródłami, które zostały wykorzystane podczas opracowywania tego poradnika.

• Mikrotik, RADIUS Summary: https://help.mikrotik.com/docs/display/ROS/RADIUS