WispOSWispOS
Guida MikroTik
Utenti, RADIUS, IoT e containerIntermedio

RADIUS: configurazione client, attributi e RadSec

Configura RouterOS come client RADIUS per PPP, Hotspot e login admin. Panoramica degli attributi vendor MikroTik, accounting, disconnessione dinamica e RadSec TLS.

RADIUS (Remote Authentication Dial-In User Service, RFC 2865) è il protocollo standard per autenticazione, autorizzazione e accounting (AAA) nei router. RouterOS v7 può agire da client RADIUS per PPP, Hotspot, login amministrativo, wireless, DHCP, IPsec e Dot1X.

1. Aggiungere un server RADIUS

Configurazione base /radius
# Server per PPP e Hotspot
/radius add \
  name=radius-principale \
  service=ppp,hotspot \
  address=10.0.0.10 \
  secret=S3gr3t0C0mpl3ss0 \
  authentication-port=1812 \
  accounting-port=1813 \
  timeout=3000 \
  src-address=10.0.0.1 \
  disabled=no

# Server secondario di backup (stesso secret, IP diverso)
/radius add \
  name=radius-backup \
  service=ppp,hotspot \
  address=10.0.0.11 \
  secret=S3gr3t0C0mpl3ss0 \
  timeout=3000

# Abilitare accounting globale
/radius/incoming set accept=yes port=1700
L'ordine degli elementi in /radius conta: RouterOS li prova in sequenza. Il server di backup deve stare dopo quello principale. Con src-address si fissa l'IP sorgente dei pacchetti RADIUS — utile se il router ha più interfacce e il firewall del server RADIUS filtra per IP.

2. Attributi vendor MikroTik principali

  • Mikrotik-Rate-Limit (Vendor-ID 14988, tipo 8): limita banda — formato rx-rate/tx-rate es. 10M/30M; supporta burst: 10M/30M 50M/80M 10M/30M 10 0/0
  • Mikrotik-Group (tipo 3): assegna il gruppo utente locale (per login admin via RADIUS)
  • Mikrotik-Recv-Limit / Mikrotik-Xmit-Limit (tipi 5/6): byte totali ricevuti/trasmessi prima del blocco
  • Framed-IP-Address (IETF tipo 8): IP statico per la sessione
  • Framed-Pool (IETF tipo 88): nome del pool da cui assegnare l'IP
  • Session-Timeout (IETF tipo 27): durata max sessione in secondi
  • Idle-Timeout (IETF tipo 28): timeout inattività in secondi
  • Filter-Id (IETF tipo 11): nome chain firewall dinamica da applicare
  • Port-Limit (IETF tipo 62): sessioni simultanee permesse per username

3. RadSec — RADIUS cifrato via TLS

Lo standard RADIUS tradizionale usa UDP non cifrato. RadSec (RFC 6614) incapsula RADIUS su TCP/TLS, garantendo confidenzialità e integrità. Obbligatorio quando il server RADIUS non è nella stessa rete locale del router.

Configurare RadSec
# Il shared-secret per RadSec DEVE essere letteralmente "radsec"
/radius add \
  service=ppp \
  address=radius.azienda.it \
  secret=radsec \
  protocol=radsec \
  certificate=client-cert \
  authentication-port=2083 \
  accounting-port=2083

# Importare i certificati (CA + client)
/certificate import file-name=ca.crt passphrase=""
/certificate import file-name=client.crt passphrase=""
/certificate import file-name=client.key passphrase=""
Per RadSec assicurarsi che: (1) il Common Name del certificato del server corrisponda al suo hostname/IP, (2) la CA sia importata come trusted su entrambi i lati, (3) la porta 2083 TCP sia aperta nel firewall. Il parametro require-message-auth=yes è raccomandato per prevenire attacchi di blast radius.

4. Disconnessione dinamica (DM/CoA)

Con /radius/incoming set accept=yes RouterOS accetta messaggi Disconnect-Message dal server RADIUS, permettendo di terminare una sessione da remoto (es. quando un cliente non paga). RouterOS non supporta CoA (Change of Authorization) completo, ma accetta i DM.

RADIUSFreeRADIUSRadSecRFC 2865Mikrotik-Rate-LimitRADIUS accountingDisconnect MessageRADIUS attributesauthenticationauthorization

Continua con

PPP/PPPoE: profili, segreti e server — guida praticaPPP AAA: autenticazione e accounting via RADIUSHotspot e Captive Portal: setup, profili e bypassUser Manager v7: RADIUS interno per PPP e Hotspot

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS