Hello, in my scenario I would like to connect 150 home office laptops to our company network via Mikrotik via Wireguard.
I hope for your support in this regard.
Current scenario: these 150 laptops are connected to our company network using IPSEC via a Bintec router. RADIUS is implemented in IPSEC for our Active Directory.
Now Wireguard does not provide for RADIUS as a pure connection protocol - because there is no user authentication. The problem here is that I can secure the computer, but I don't know who is sitting in front of it and I can't prevent someone from copying the Wireguard tunnel to a USB stick and using it elsewhere.
Therefore I MUST know who is sitting in front of the computer. Now Mikrotik itself has great solutions in the router. My idea here is similar to that in IPSEC - the laptop connects to the company's Mikrotik via Wireguard and only accesses the integrated HotSpot portal. There the user has to authenticate himself (HotSpot with RADIUS to the Active Directory) and then the company access is opened.
Based on the “Last Handshake” entry in the Wireguard peer, the HotSpot access is closed again after time XXX.
Now I've built a test setup for this, but I'm not getting anywhere. I see that I can connect the HotSpot to an Ethernet interface but not to a Wireguard interface. HotSpot appears to be tied to a physical interface, while Wireguard is a virtual interface - more of a routing endpoint.
Now I could try to solve the whole thing by routing via 2 Mikrotik devices
- Mikrotik 1: external: the Internet access with Wireguard connection (Wireguard IP of the Mikrotik 192.168.30.1/24 - The remote laptops in the range 192.168.30.2-192.168.30.254)
internal: forwarding to Mikrotik 2 (e.g. IP: 192.168.25.1/24)
- Mikrotik 2: external: the connection of Mikrotik 1 with HotSpot on this connection (e.g. IP: 192.168.25.2/24)
internal: forwarding to the company network (IPs 172.16.0.0/12).
However, ideally I would have depicted the whole thing within ONE microtic.
I had already tried: Wireguard endpoint in an interface list. The interface list into a bridge. The bridge as an interface in the HotSpot. Unfortunately, this doesn't work.
I need support here. How do I get the Wireguard interface 192.168.30.1/24 placed on the Mikrotik internal hotspot?
The home office laptops may only be able to see the HotSpot page; IP addresses in the company network can only be accessed after authorization.
(english ist translate with google-translator) - in German:
HotSpot-Lösung von Mikrotik zur Freigabe Wireguard verwenden???
Hallo, ich möchte gern in meinem Szenario 150 Home-Office-Laptops über die Mikrotik per Wireguard an unser Firmennetzwerk anbinden.
Hierzu hoffe ich auf eure Unterstützung.
Aktuelles Szenario: diese 150 Laptops sind mittels IPSEC über einen Bintec-Router an unser Firmennetzwerk angeschlossen. Im IPSEC ist ja RADIUS zu unserem Active Directory implementiert.
Nun sieht ja Wireguard als reines Verbindungsprotokoll kein RADIUS vor - weil keine Benutzer-Authentifizierung. Problem hierbei - ich kann zwar den Rechner absichern, aber ich weiß nicht wer davor sitzt und ich kann auch nicht verhindern, das jemand den Wireguard-Tunnel auf einen USB-Stick kopiert und anderswo weiter verwendet.
Daher MUSS ich wissen, wer vor dem Rechner sitzt. Nun hat ja Mikrotik selbst tolle Lösungen im Router. Meine Idee hierbei ist nun ähnlich der im IPSEC - der Laptop verbindet sich über Wireguard mit der FirmenMikrotik und kommt dort jedoch ausschließlich nur an das integrierte HotSpot-Portal. Dort muss sich der Benuter authentifizieren (HotSpot mit RADIUS zum Active Directory) und anschließend wird der Firmenzugang geöffnet.
Anhand des Eintrages "Last Handshake" im Wireguard-Peer wird nach Zeit XXX der HotSpot-Zugang wieder geschlossen.
Jetzt hab ich mir hierzu eine Teststellung gebaut, aber komme nicht weiter. Ich sehe, das ich den HotSpot an eine Ethernet-Schnittstelle koppeln kann aber nicht an eine Wireguard-Schnittstelle. HotSpot ist anscheinend an eine physische Schnittstelle gebunden, während Wireguard eine virtuelle Schnittstelle - eher ein Routing-Endpunkt - ist.
Jetzt könnte ich versuchen, das Ganze mittels Routing über 2 Mikrotik-Geräte zu lösen
- Mikrotik 1: extern: der Internet-Zugang mit Wireguard-Anbindung (Wireguard-IP der Mikrotik 192.168.30.1/24 - Die Remote-Laptops im Bereich 192.168.30.2-192.168.30.254)
intern: Weiterleitung zur Mikrotik 2 (Bsp IP: 192.168.25.1/24)
- Mikrotik 2: extern: der Anschluss der Mikrotik 1 mit HotSpot auf diesem Anschluss (Bsp IP: 192.168.25.2/24)
intern: Weiterleitung zum Firmennetzwerk (IPs 172.16.0.0/12).
Dies ganze hätte ich jedoch idealerweise gleich innerhalb EINER Mikrotik abgebildet.
Versucht hatte ich bereits: Wireguard-Endpunkt in eine Interface-List. Die Interface-List in eine Bridge. Die Bridge als Interface im HotSpot. Leider klappt dies jedoch nicht.
Hier benötige ich Unterstützung. Wie bekomme ich die Wireguard-Schnittstelle 192.168.30.1/24 auf den Mikrotik-internen HotSpot gelegt?
Die Home-Office-Laptops dürfen ausschließlich die HotSpot-Seite sehen können, erst nach Authorisierung können IP-Adressen im Firmennetzwerk angesprochen werden.
