• Konfiguracja MikroTik – Część 48: Dynamiczne VLANy na MikroTik z wykorzystaniem RADIUS i Access-Request
    Sieci komputerowe

    Konfiguracja MikroTik – Część 48: Dynamiczne VLANy na MikroTik z wykorzystaniem RADIUS i Access-Request

    Marek „Netbe” Lampart Opublikowane w

    Konfiguracja MikroTik – Część 48: Dynamiczne VLANy na MikroTik z wykorzystaniem RADIUS i Access-Request

    🎯 Wprowadzenie

    W środowiskach sieciowych wymagających wysokiego poziomu segmentacji oraz automatyzacji przypisywania użytkowników i urządzeń do odpowiednich sieci, dynamiczne VLANy stają się kluczowym elementem infrastruktury. MikroTik, w połączeniu z serwerem RADIUS (np. FreeRADIUS), pozwala na przypisywanie VLANów do użytkowników na podstawie ich danych uwierzytelniających – bez konieczności ręcznego mapowania portów czy MAC adresów.

    W tej części serii pokażemy, jak skonfigurować MikroTika jako switch L2/L3 wspierający dynamiczne przypisywanie VLANów poprzez RADIUS, z wykorzystaniem 802.1X lub hotspot login. Całość wdrożenia może funkcjonować w szkołach, biurach, firmach świadczących usługi coworkingowe, a także w projektach ISP z dynamiczną alokacją zasobów.

    Konfiguracja MikroTik – Część 48: Dynamiczne VLANy na MikroTik z wykorzystaniem RADIUS i Access-Request
    Konfiguracja MikroTik – Część 48: Dynamiczne VLANy na MikroTik z wykorzystaniem RADIUS i Access-Request

    🧠 Co zrealizujemy?

    • MikroTik jako supplicant-aware switch z obsługą VLANów
    • Integracja z FreeRADIUS
    • Dynamiczne przydzielanie VLANów użytkownikom na podstawie loginu
    • Przykładowy scenariusz z różnymi VLANami dla studentów, gości i pracowników
    • Zabezpieczenie przy pomocy 802.1X lub loginów hotspot

    🔧 Wymagania wstępne

    • MikroTik RouterOS (najlepiej 7+ z obsługą dot1x i bridge VLAN filtering)
    • FreeRADIUS (na oddzielnej maszynie)
    • Konfiguracja bridge VLAN filtering
    • Switche lub AP wspierające VLAN tagging (opcjonalnie CAPsMAN)

    ⚙️ Krok 1: Konfiguracja bridge z VLAN filtering

    /interface bridge
add name=bridge1 vlan-filtering=yes

/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3

/interface vlan
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30

    🧩 Krok 2: Konfiguracja FreeRADIUS

    W pliku users:

    student1 Cleartext-Password := "haslo123"
    Tunnel-Type = VLAN,
    Tunnel-Medium-Type = IEEE-802,
    Tunnel-Private-Group-Id = "10"

pracownik1 Cleartext-Password := "admin123"
    Tunnel-Type = VLAN,
    Tunnel-Medium-Type = IEEE-802,
    Tunnel-Private-Group-Id = "20"

gosc1 Cleartext-Password := "gość123"
    Tunnel-Type = VLAN,
    Tunnel-Medium-Type = IEEE-802,
    Tunnel-Private-Group-Id = "30"

    🔐 Krok 3: Konfiguracja MikroTik z RADIUS

    /radius
add service=dot1x address=192.168.1.100 secret=superradius

/ip radius
set use-radius=yes

    🔄 Krok 4: Aktywacja dot1x na porcie

    /interface dot1x server
set auth-port=1812 accounting-port=1813 default-authentication=yes

/interface dot1x
add interface=ether2 mac-auth-mode=mac-based radius-mac-authentication=yes
add interface=ether3 mac-auth-mode=mac-based radius-mac-authentication=yes

    Użytkownicy podłączający się do portu będą musieli podać login/hasło — wówczas MikroTik połączy się z serwerem RADIUS i ustali, który VLAN przypisać dynamicznie.

    Czytaj  Zero Trust w systemach operacyjnych: Praktyczne wdrożenia, konfiguracja i zabezpieczenia w Windows, Linux i macOS

    🖥️ Krok 5: Przypisywanie VLAN na podstawie Access-Accept

    RouterOS automatycznie przyjmuje wartości Tunnel-Private-Group-Id z odpowiedzi RADIUS i przypisuje interfejs do wskazanego VLANu (jeśli bridge ma aktywne vlan-filtering=yes). Przekierowanie odbywa się dynamicznie i nie wymaga rebootu ani stałego przypisywania portu do VLANu.

    🎓 Przykładowy scenariusz wdrożenia

    Użytkownik Hasło Rola Przypisany VLAN
    student1 haslo123 Student 10
    pracownik1 admin123 Pracownik 20
    gosc1 gość123 Gość 30

    Taki podział pozwala zautomatyzować onboarding użytkowników i zarządzać ich uprawnieniami sieciowymi z poziomu centralnego serwera RADIUS.

    🛡️ Bezpieczeństwo

    Aby zwiększyć bezpieczeństwo:

    • Wymuś 802.1X dla urządzeń wspierających EAP
    • Dla urządzeń nieobsługujących EAP (drukarki, kamery), użyj fallback MAC auth
    • Zastosuj port-isolation w bridge
    • Ogranicz dostęp VLANów do określonych interfejsów lub podsieci

    📈 Monitorowanie i logowanie

    Monitoruj dostęp użytkowników i nadawane VLANy w logach FreeRADIUS oraz logach RouterOS:

    /system logging add topics=radius
/system logging add topics=dot1x

    ✅ Podsumowanie

    Dynamiczne VLANy na MikroTik z RADIUS to potężne narzędzie do zarządzania dostępem do sieci. Automatyzacja, segmentacja, kontrola bezpieczeństwa oraz elastyczność wdrożenia czynią tę technikę niezwykle przydatną w nowoczesnych środowiskach. W połączeniu z centralnym FreeRADIUS możliwe jest wdrożenie solidnego i skalowalnego systemu przypisywania uprawnień do sieci, bez ręcznej konfiguracji VLANów na interfejsach.

     

    Polecane wpisy
    Serwer DHCP z ochroną przed zmianami adresów i nieautoryzowanymi urządzeniami
    Serwer DHCP z ochroną przed zmianami adresów i nieautoryzowanymi urządzeniami

    Serwer DHCP z ochroną przed zmianami adresów i nieautoryzowanymi urządzeniami W dzisiejszych czasach, w obliczu rosnącej liczby urządzeń podłączonych do Czytaj dalej

    Bezpieczeństwo w sieci lokalnej: Kompleksowy przewodnik dla użytkowników domowych i administratorów
    Bezpieczeństwo w sieci lokalnej: Kompleksowy przewodnik dla użytkowników domowych i administratorów

    Bezpieczeństwo w sieci lokalnej: Kompleksowy przewodnik dla użytkowników domowych i administratorów Bezpieczeństwo sieci lokalnej (LAN) jest zagadnieniem, które zyskuje na Czytaj dalej

    Powiązane wpisy:

    1. Konfiguracja MikroTik – Część 45: Wykorzystanie MikroTik do dynamicznej segmentacji sieci z VLAN i tagowaniem aplikacyjnym
    2. MikroTik dla zaawansowanych — część 10: Dynamiczna segmentacja VLAN, NAC i Keycloak z MikroTik
    3. Konfiguracja MikroTik – Część 46: Bezpieczne tunelowanie zdalnego dostępu przy użyciu WireGuard i centralnej autoryzacji
    4. Konfiguracja MikroTik — Część 58: MikroTik jako Przełącznik VLAN Layer 2 z Zaawansowaną Segmentacją Portów i Obsługą Bridge VLAN Filtering
    5. Konfiguracja MikroTik — Część 78: MikroTik z wirtualnymi interfejsami VLAN i Bridge — Zaawansowane projektowanie segmentacji sieci
    Czytaj  Migracja z IPv4 do IPv6: Przewodnik po procesie
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również