Nastavení AP pro radius a logování

Z Wiki UnArt Slavičín
Skočit na navigaciSkočit na vyhledávání

Klikací verze

Tato verze nahradila původní terminálovou verzi návodu, která se ukázala jako nedostatečná.

Nastavení AP pro radius

Nastavení skupin

Tato sekce popisuje nastavení uživatelských skupin, které se nachází v okně Users. To je v některých verzích mikrotiku dostupné přímo v levém menu pod stejnojmennou položkou, v některých verzích je v submenu System.

Bod 1 - vyprázdnění skupin

Nejdříve smažeme všechny skupiny kromě základních (full, write a read)

Bod 2 - engineers

Nyní si vytvoříme skupinu engineers. Tato skupina zastupuje certifikované techniky.

Bod 3 - admin

Obdobně si vytvoříme skupinu admin. Tato skupina zastupuje adminy.

Bod 4 - member

Poté následuje skupina member. Tato skupina zastupuje řádné členy.

Bod 5 - servis

A nakonec přidáme skupinu servis. Tato skupina zastupuje servis.

Bod 6 - alternativa k bodům 2-5

Spustíme New terminál a do něho nakopírujeme následující kód a potvrdíme enterem. Výsledek bude naprosto stejný jako kdybychom postupovali podle bodů 2-5.

user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff
user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password

Nastavení uživatelů

Tato sekce popisuje nastavení uživatelsků, které se nachází v okně Users. To je v některých verzích mikrotiku dostupné přímo v levém menu pod stejnojmennou položkou, v některých verzích je v submenu System.

Bod 7 - uživatel freenetis

Vytvoříme nového uživatele freenetis a nastavíme mu náhodně generované heslo. Pozor! Toto heslo někde zazálohujeme (nejlépe přímo do freenetisu).

Je vhodné nastavit mu i komentář - freenetis daemon user.

Bod 8 - uživatel servis

Uživatel servis slouží pro servis v případě výpadku radiusu. Jeho heslo je stejně jako u uživatele freenetis náhodně generované, avšak pro všechny AP je stejné.

Bod 9 - vyprázdnění uživatelů

Nyní všechny uživatele kromě uživatelů freenetis a servis smažeme.

Bod 10 - nastavení autentizace

Ještě je potřeba nastavit autentizaci přes radius. To uděláme kliknutím na AAA a následným nastavením, jako defaultní skupinu nastavíme member.

Nastavení radiusu

Tato sekce popisuje nastavení radiusu, které se nachází v okně Radius. To je v dostupné přímo v levém menu pod stejnojmennou položkou.

Bod 11 - nastavení příchozích žádostí

Kliknutím na Incoming nastavíme naslouchání AP na portu 1700.

Bod 12 - propojení s radius serverem

Nyní je potřeba nastavit samotné propojení s radius serverem. Máte dvě možnosti, jak toho docílit:

Možnost A - Klikací

V okně Radius klikneme na tlačítko plus (přidat). Službou je login, adresa serveru je 10.143.126.8, secret je secretslfree.

Možnost B - Terminálová

Spustíme New terminal. Pozor! V bodě 9 byli všichni uživatelů (zřejmě i ten váš, vymazány. Proto budete vyzvány k zadání jména a heslo. Budete muset použít uživatele freenetis nebo servis. V něm spusťte následující kód a potvrďte eneterem.

radius add service=login address=10.143.126.8 secret=secretslfree

Nastavení AP pro logování

Tato sekce popisuje nastavení logování, které se nachází v okně Logging. To je dostupné v submenu System.

Bod 13 - nastavení logovací akce

Nejdříve bude potřeba vytvořit logovací akci pro typ remote (vzdálený). Defaultně jedna stejnojmenná již existuje, takže je ji potřeba pouze přenastavit pro naše účely. Port zůstává 514, adresu můžeme nastavit na logger.slfree.czf.

Vidíme, že mikrotik automaticky logger.slavicin.unart.czf přeloží na 10.143.126.15.

Bod 14 - nastavení logovacího pravidla

Už jenom zbývá přidat logovací pravidlo. Chceme logovat account, critical, error, firewall a system, pro přehlednost logů nastavíme prefix AP, akce je naše remote z bodu 13.

Terminálová verze

Tato verze se ukázala jako nedostatečná (hlavně díky ošetření výjimek) a proto byla nahrazena klikací verzí. Zde zůstává pouze pro případné zájemce.

# do promenne freenetis_heslo si ulozime vygenerovane heslo pro freenetis daemon pro toto AP (router)
# Pozor! Toto heslo si zaroven zapiseme do freenetisu
:global freenetis_heslo "4RFob3uWSk"

# do promenne servis_heslo si ulozime vygenerovane heslo pro servis
# toto heslo by melo byt na vsech AP (routerech) stejne, v budoucnu by mel freenetis umet toto heslo jednorazove pregenerovat
:global servis_heslo "W8ifsk3q90"

# do promenne prefix nastavime identifikator AP (routeru) pro logovani
:global prefix "slfree_mladoticka_5G"

# nastaveni radiusu 
radius incoming set accept=yes port=1700
radius add service=login address=10.143.126.8 secret=secretslfree

# pridani uzivatelu freenetis a servis
user add name=freenetis comment="freenetis daemon user" password=$freenetis_heslo group=full
user add name=servis comment="servis" password=$servis_heslo group=servis

# smazani vsech uzivatelu (krome freenetis a servis)
:foreach user in=[user find] do={
:if ([user get $user name]!="freenetis" && [user get $user name]!="servis") do={
user remove $user
}
}

# pridani uzivatelskych skupin
user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff
user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password

# smazani vsech jinych skupin (krome engineers, member, admin, servis, full, write, read) 
:foreach group in=[user group find] do={
:if ([user group get $group name]!="engineers" && [user group get $group name]!="member" && [user group get $group name]!="admin" && [user group get $group name]!="servis" && [user  group get $group name]!="full" && [user group get $group name]!="write" && [user group get $group name]!="read") do={
user group remove $group
}
}

# nastaveni autentizace skrze radius
user aaa set accounting=yes default-group=member use-radius=yes

# nastaveni logovani
system logging action add name=remote target=remote remote=10.143.126.15:514
system logging add action=remote prefix=$prefix topics=account,critical,error,firewall,system