Mikrotik wifi clients vs FreeRadius

[ZAJDAN]

Ahoj,
pokouším se wifi klienty Mikrotiku ověřovat pomocí radiusu (jen na základě MAC)

Radius log:
Fri Jan 13 14:04:27 2017 : Auth: Login OK: [50:60:22:16:16:16/] (from client clients port 0 cli 50-60-22-16-16-16)

Mikrotik log:
14:04:30 wireless,info 50:60:22:16:16:16@wlan2: connected
14:04:30 wireless,info 50:60:22:16:16:16@wlan2: disconnected, 802.1x authentication failed

zatím se mi nedaří se připojit

[Reklama]

[JardaP .]

Ahoj,
pokouším se wifi klienty Mikrotiku ověřovat pomocí radiusu (jen na základě MAC)

Nechcete si rovnou zapnout WEP? Usetril byste si spoustu prace.

[M.]

14:04:30 wireless,info 50:60:22:16:16:16@wlan2: disconnected, 802.1x authentication failed

Dle toho máš zapnuté nejen ověřování MAC v Radiusu, ale i aktivováno 802.1x (EAP něco)?

[ZAJDAN]

Ahoj,
pokouším se wifi klienty Mikrotiku ověřovat pomocí radiusu (jen na základě MAC)

Nechcete si rovnou zapnout WEP? Usetril byste si spoustu prace.

tento problem jsem vyresil, bylo to zpusobeno ze na Mikrotiku jsem mel na EAP nastaveno TLS namisto passthrough
ted ale hledam reseni na radiusu aby pustil jen klienty s MAC patricnou addressou, protoze ted Radius prijme vsechny kteri znaji identitu a heslo
chtel bych docili stavu ze i presto ze user zada identitu a heslo, ale nema MAC v seznamu Radiusu, neprijme ho to

[samalama]

chtel bych docili stavu ze i presto ze user zada identitu a heslo, ale nema MAC v seznamu Radiusu, neprijme ho to

a to ma aky zmysel toto?

[Reklama]

[ZAJDAN]

chtel bych docili stavu ze i presto ze user zada identitu a heslo, ale nema MAC v seznamu Radiusu, neprijme ho to

a to ma aky zmysel toto?

ze nebudu muset povolovat MAC adresy na 10 mistech, ale centralne na Radiusu, kde se budou sbihat pozadavky ze vsech access pointů

[samalama]

nie. myslel som, aky zmysel ma mat to overovanie mac.

[M.]

ze nebudu muset povolovat MAC adresy na 10 mistech, ale centralne na Radiusu, kde se budou sbihat pozadavky ze vsech access pointů

Apropo, počítej s tím, že jsou mobily/tablety, které po každém resetu si vygenerují novou MAC adresu v rámci security proti sledování, takže tě možná někteří budou celkem nahánět/proklínat až zjistí, že toto chování nejde vypnout. Pokud třeba chceš dělat to, že uživatele ti nahlásí MAC adresy krabiček a každému dáš jeho WPA/WPA2 PSK klíč spojený jen s daným seznamem MAC adres, což je pěkná vychytávka u Mikrotiku, kdy ten klíč můžu posílat z Radiusu do APčka na základě MAC adresy, ale rozbíjí to ta dynamická MAC adresa...
Dále bych zvážil spojení těch 10 APček pomocí CAPsMAN funkce Mikrotiku a pak vše nastavuješ v jednom místě a APčka se tím řídí (a CAPsMAN to má buď namláceno v sobě nebo to žere z Radiusu).

[ZAJDAN]

ze nebudu muset povolovat MAC adresy na 10 mistech, ale centralne na Radiusu, kde se budou sbihat pozadavky ze vsech access pointů

Apropo, počítej s tím, že jsou mobily/tablety, které po každém resetu si vygenerují novou MAC adresu v rámci security proti sledování, takže tě možná někteří budou celkem nahánět/proklínat až zjistí, že toto chování nejde vypnout. Pokud třeba chceš dělat to, že uživatele ti nahlásí MAC adresy krabiček a každému dáš jeho WPA/WPA2 PSK klíč spojený jen s daným seznamem MAC adres, což je pěkná vychytávka u Mikrotiku, kdy ten klíč můžu posílat z Radiusu do APčka na základě MAC adresy, ale rozbíjí to ta dynamická MAC adresa...
Dále bych zvážil spojení těch 10 APček pomocí CAPsMAN funkce Mikrotiku a pak vše nastavuješ v jednom místě a APčka se tím řídí (a CAPsMAN to má buď namláceno v sobě nebo to žere z Radiusu).

kdybych mel vsechny AP od mikrotiku uz davno bych to resil jinak, ale je to smesice ruznych zarizeni

[ZAJDAN]

prekvapilo me , ze treba na Ubiquity AirRouter nejde pres ssh pridat mac adresa do ACL, tyto podobne neduhy ruznych zarizeni me tlaci to proste delat jinak, treba pres ten radius

[samalama]

stale si nevysvetlil zmysel/vyznam filtrovania na zaklade mac adries...

[ZAJDAN]

stale si nevysvetlil zmysel/vyznam filtrovania na zaklade mac adries...

sorry, ale to je hloupa otazka, filtrovani MAC address je bezna vec

[Jose D]

sorry, ale to je hloupa otazka, filtrovani MAC address je bezna vec

K čemu to je dobré? Nějaké VLAN nebo..?

[samalama]

stale si nevysvetlil zmysel/vyznam filtrovania na zaklade mac adries...

sorry, ale to je hloupa otazka, filtrovani MAC address je bezna vec

obchadzanie filtrovania mac adries je bezna vec.
ked chces 2-faktorovu autentifikaciu, tak pouzi napr. kombinaciu certifikaty a login/heslo (peap)...

[ZAJDAN]

sorry, ale to je hloupa otazka, filtrovani MAC address je bezna vec

K čemu to je dobré? Nějaké VLAN nebo..?

ale hosi no tak trochu fantazie...
k prihlaseni na radius dostanou wifi uzivatele account skladajici se z 'user' a 'password'
zname lidi a nejaky louda si to poznaci na papirek, kterej se dostane do ruky nepovolane osobe, jenze ta bude mit smulu, protoze ten ucet bude jeste svazany k MAC address a v tomto pripade to je slozite, ne jako hadat k jake IP je svazana MAC...tady je MAC svazana k uctu a takoveto informace snifnout na siti uz nebude p.r.d.e.l