12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

MiViLiSNet

Mikrotik, virtualización, Linux, servidores, redes y más.

How to integrate your Mikrotik router with

Windows AD

1. octubre 2018 Srdjan Stanisic  Mikrotik , Redes , Seguridad , Ventanas integración

de AD , cómo autenticar usuarios Mikrotik en Windows AD , cómo-a , PPP Mikroitk con Windows AD ,
Mikrotik , Mikrotik PPP SSO , cliente Mikrotik RADIUS , Mikrotik VPN SSO con AD , RADIUS , Individual
Inicie sesión , use RADIUS para VPN , use RADIUS con Mikrotik , servicio Windows NPS
Ya sea que necesite autenticar a sus usuarios para PPP o cualquier otro servicio Mikrotik, puede hacerlo a
través de la base de datos interna o utilizando el servidor externo RADIUS. Por otro lado, los usuarios
corporativos desean utilizar un inicio de sesión para todos los servicios de red.

Además, puede conectar cualquier dispositivo Mikrotik con su Windows AD.

¡Hagamos la magia!

El escenario

Supongamos que tenemos un enrutador Mikrotik que servirá como concentrador VPN de su empresa. Esto
significa que todos los usuarios de la compañía establecerán sus sesiones de VPN a través de ese dispositivo.
Ese puede ser su enrutador principal o puede implementar otro dispositivo Mikrotik en la zona DMZ.

Desea usar el mismo nombre de usuario y contraseña para la VPN que los usuarios corporativos utilizan para
iniciar sesión en sus computadoras. Esto también se conoce como inicio de sesión único o SSO .

A partir de Windows 2000, Microsoft reemplazó su base de datos interna de usuarios con la estructura
denominada Active Directory or AD for short. In its essence, Active Directory is the LDAP system. And yes,
LDAP is the open standard (h ps://tools.ietf.org/html/rfc4510) for directories. However, Mikrotik devices can’t
connect directly to the LDAP server.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 1/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

Aunque su dispositivo Mikrotik no usa el protocolo LDAP, es perfectamente capaz de usar otro estándar
abierto: RADIUS . El protocolo de servicio de usuario de acceso telefónico de autenticación remota se describe en
RFC 2865 (h ps://tools.ietf.org/html/rfc2865) .

La respuesta para este escenario es muy simple: use la implementación de Microsoft del servidor RADIUS e
integre sus dispositivos Mikrotik con su dominio. Este servicio existe en todos los servidores Windows (a partir
de 2008 R2) y en su servidor de políticas de red o NPS .

Aún mejor, existe incluso en los servidores Windows 2000 y 2003 y se llama IAS . Sin embargo, esas
plataformas están obsoletas y no las tomaremos en consideración.

La receta

En esencia, necesitamos:

1. Al menos un servidor AD de trabajo (también conocido como el controlador de dominio )

2. Sus usuarios ya pueden iniciar sesión en este dominio y trabajar regularmente con otros servicios de red,
como servidores de archivos
3. Al menos un servidor en ese dominio debe tener un rol NPS
4. Su dispositivo Mikrotik debe estar correctamente configurado para otras funciones de red y debe ser
accesible desde su red local e Internet

Por favor, tenga en cuenta la siguiente información:

Todas las direcciones IP de LAN de todos los dispositivos que utilizará

el nombre de dominio corto (como Contoso )
Todos los grupos de usuarios en ese dominio que usarán este servicio.
Revise sus políticas de contraseña para la comunicación entre dispositivos

Cuando todos esos pasos se cumplan, podemos continuar con este proceso.

Instalar la función NPS en el servidor

El primer paso es instalar la función NPS en uno de sus servidores. Es posible que tenga más de un servidor
NPS en su red. Más adelante, verá que un dispositivo Mikrotik puede usar más de un servidor RADIUS. En
mi caso, usaré un dispositivo Mikrotik y un servidor NPS.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 2/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

Esto lo procesa igual sin importar la versión de Windows Server. Encontré esas capturas de pantalla en mi
archivo y afortunadamente las hice hace 5 o 6 años cuando configuré NPS por primera vez. Cuando actualicé
ese servidor a 2012R2, los usé para repetir este proceso sin problemas.

Abra la GUI del Administrador del servidor en su servidor y agregue una nueva función: Política de red y
Servicios de acceso.

(h ps://mivilisnet.files.wordpress.com/2018/09/01-add-nps-role.png)

Debe seleccionar solo la función Servidor de políticas de red. En Windows Server 2012R2, no verá la opción
Servicios de enrutamiento y acceso remoto aquí. No te preocupes, no lo necesitas en absoluto.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 3/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/02-only-nps.png)

Finaliza el proceso de instalación.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 4/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/03-installing-nps.png)

Tomará un tiempo, así que tome un café y prepárese para el siguiente paso.

Configuración del servicio NPS.

Abra la consola del servidor de la Política de red desde las Herramientas administrativas.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 5/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/04-open-nps-console.png)

Cuando la consola se abre, puedes comenzar a configurarla. Elija el servidor RADIUS para conexiones de
acceso telefónico o VPN en el menú desplegable.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 6/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/05-choose-radius-for-vpn.png)

Then click on the bu on named Configure NAP. We are just starting the configuration process.

El siguiente paso es nombrarlo y elegir el tipo. Necesitamos la política para conexiones VPN.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 7/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/06-name-and-type.png)

Ahora, debemos agregar todos los clientes RADIUS que usarán esta política. Sí, puede tener más de un cliente
relacionado con la misma política.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 8/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/07-add-new-client.png)

Haga clic en el botón [Agregar ...] y aparecerá el nuevo cuadro de diálogo. Necesitas definir:

un nombre descriptivo para ese dispositivo (como el enrutador Mikrotik )

especifique su dirección IP (o nombre DNS)
ingrese el secreto de RADIUS - una contraseña que se usará más adelante en la comunicación

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 9/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/08-fill-details-and-radius-secret.png)

Este secreto de RADIUS es importante y por lo tanto escríbelo. Usted debe ingresar correctamente después de
su dispositivo Mikrotik. Como ya concluyó, puede usar los diferentes secretos para diferentes clientes.

Repita este proceso para todos los clientes que desee configurar aquí. Cuando termine, simplemente continúe
con el siguiente paso.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 10/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/09-all-clients-are-in-the-list.png)

Debemos elegir el método de autenticación .

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 11/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/10-choose-auth-method.png)

Dejé esto en el protocolo MS-CHAPv2. No es importante aquí, ya que está relacionado con los servicios
basados en Microsoft Windows.

El siguiente paso es agregar usuarios que se procesarán con esta política. Este diálogo es muy similar al
relacionado con los clientes de la red. Este es un paso muy importante.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 12/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/11-add-users-related-for-this-device.png)

Nuevamente, haga clic en el botón [Agregar ...] y aparecerá el nuevo cuadro de diálogo. Este es el cuadro de
diálogo estándar para seleccionar usuarios o grupos que puede ver en cualquier lugar de Windows.

(h ps://mivilisnet.files.wordpress.com/2018/09/12-for-all-domain-users.png)

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 13/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

Elige todos los grupos que quieras incluir. Como esta política cubrirá a todos los usuarios del dominio y todos
los usuarios son siempre parte del grupo denominado Usuarios del dominio , solo agregué este grupo aquí.
Una vez más, cuando termine de agregar todos los grupos necesarios, vaya al siguiente paso: los filtros IP.

(h ps://mivilisnet.files.wordpress.com/2018/09/13-no-ip-filters.png)

Solo déjalo en Ninguno y continúa.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 14/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/14-choose-all-encryption-se ings.png)

Esas configuraciones tampoco son importantes para esta política, ya que solo están relacionadas con
Microsoft. Sólo sigue adelante.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 15/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/15-realm-name.png)

No necesitas usar el nombre REALM, así que déjalo en blanco. En caso de que quiera usarlo, debe
especificarlo más adelante en Mikrotik.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 16/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/16-the-new-policy-is-here.png)

Y eso es. Tenemos nuestra nueva política que procesará todos los inicios de sesión VPN desde nuestro
enrutador Mikrotik.

Revisa tu nueva póliza

Antes de encender el lado Mikrotik, verificaremos nuestra configuración en el lado NPS. Esta es también una
buena manera de hacer los pasos de solución de problemas.

El primer paso es la lista de clientes RADIUS: su dispositivo debe estar registrado y habilitado

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 17/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/17-check-radius-clients-list.png)

El segundo paso es verificar las Políticas de solicitud de conexión : la política de VPN debe estar habilitada.

(h ps://mivilisnet.files.wordpress.com/2018/09/18-check-connection-requests-policies.png)

El tercer paso es verificar las políticas de red : la política para conexiones VPN debe estar habilitada

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 18/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/19-check-network-policies-vpn-policy.png)

Ahora, estamos listos para configurar nuestro dispositivo Mikrotik.

Configurando nuestro dispositivo Mikrotik como el

cliente RADIUS

Sabemos que nuestro servidor NPS funciona y podemos configurar el lado del cliente. En este escenario,
habilitaré la autenticación RADIUS para los servicios PPP . Utilicé WinBox aquí, pero puedes hacer lo mismo
usando el terminal (h ps://1drv.ms/t/s!Agmny7pkTjH0hxBhW4Z6JqvjKkwj) .

Preparando el servicio PPP para RADIUS

Abrí las opciones de PPP en WinBox y luego elegí la pestaña llamada Secrets . En esta pestaña, hice clic en el
botón denominado Autenticación y contabilidad de PPP .

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 19/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/01-ppp-opcije.png)

El nuevo cuadro de diálogo se abrió y verifiqué la opción llamada Usar radio

(h ps://mivilisnet.files.wordpress.com/2018/09/02-check-

use-radius.png)

Cerré este diálogo y la configuración de PPP. Ahora, todos mis servicios PPP pueden usar el servicio RADIUS.
Tenga en cuenta que Mikrotik puede usar simultáneamente la base de datos de usuarios local y el servidor
remoto RADIUS para la autenticación del usuario.

Configurando el cliente RADIUS

El cliente RADIUS está oculto detrás del comando llamado RADIUS en el menú principal de la GUI de
WinBox.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 20/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/03-radius-client.png)

La nueva ventana se abrirá y aquí podremos ver todos los clientes RADIUS configurados. Como ya mencioné,
podemos usar más de un servidor RADIUS con el mismo dispositivo Mikrotik.

(h ps://mivilisnet.files.wordpress.com/2018/09/04-radius-client-list.png)

Si necesita definir la nueva conexión de servidor RADIUS, haga clic en el botón [+] o simplemente haga doble
clic en la definición existente para editarla. Ahora podemos configurar nuestra conexión.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 21/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/05-

configure-radius-client.png)

Necesitamos especificar:

El servicio ( ppp en este escenario)

el nombre de dominio de Windows AD (como Contoso )
la dirección IP del servidor NPS
El secreto de RADIUS: la misma contraseña que definimos en la política de NPS
la dirección de origen de nuestro dispositivo: esta dirección IP debe coincidir con la dirección IP que ya
hemos especificado en la política NPS

Cuando configure todos esos parámetros, haga clic en el botón [OK] para guardarlos. Ahora puedes probar
tus conexiones VPN.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 22/28
12/7/2019 Cómo integrar tu enrutador Mikrotik con Windows AD | MiViLiSNet

(h ps://mivilisnet.files.wordpress.com/2018/09/06-

radius-client-stats.png)

Si desea ver las estadísticas, puede abrir esta conexión RADIUS y elegir la pestaña denominada Estado ,
donde puede ver los parámetros de la comunicación.

Debes ver que la mayoría de tus solicitudes son aceptadas.

Y el servidor RADIUS sirvió bien durante muchos años.

Esta fue mi historia sobre esta interesante integración. Una vez más, hubo un poco de magia que hace
grandes cosas.

Cuando termine de leer esto, mi servidor se actualizará a Windows Server 2016 y usé esta misma magia para
transferir NPS en él. Este servicio puede terminar más tareas pero lo uso solo para este propósito.

Como puede ver, ambos lados son muy flexibles de configurar. Puede agregar más dispositivos de cliente o
más servidores, según sus necesidades. Aún más, puede configurar servidores RADIUS adicionales para otros
servicios de red Mikrotik, como hotspot .

Manténganse al tanto.

https://mivilisnet.wordpress.com/2018/10/01/how-to-integrate-your-mikrotik-router-with-windows-ad/ 23/28