MikroTik WPA2 Enterprise

[aaaq]

Zdravím, potrebujem pomôcť s konfiguráciou mikrotiku.
Mikrotik router mám len krátko, zatial sa mi podarilo podla návodov nakonfigurovať hotspot, ale neustále prihlasovanie je dosť nepraktické, preto chcem radšej použiť WPA2 enterprise. Zoznam užívateľov chcem mat uložený v mikrotiku.
Dá sa to nejako nastaviť?

[Reklama]

[MikyM]

Zdravím, potrebujem pomôcť s konfiguráciou mikrotiku.
Mikrotik router mám len krátko, zatial sa mi podarilo podla návodov nakonfigurovať hotspot, ale neustále prihlasovanie je dosť nepraktické, preto chcem radšej použiť WPA2 enterprise. Zoznam užívateľov chcem mat uložený v mikrotiku.
Dá sa to nejako nastaviť?

Ahoj,
dobre jsi poridil, kvalitni koupe.
Pokud vsak najednou chces delat EAP tak Te ceka hromada samostudia a procesavani diskuzi. Usermanager neni plnohodnotny RADIUS.

Jinymi slovy pokud po tom chces co si myslim tak to nepujde bez dalsi sluzby.

Mikrotik umi udelat EAP-TLS v ramci vlastniho reseni. Tedy udelas si CA, kterou podepises certifikat pro AP a certifikaty pro klienty. Do kazdeho zarizeni vlozis klientsky certifikat spolecne s CA, kterou oznacis jako duveryhodnou.

Nicmene soudim, ze chces EAP-TTLS/PEAP kdy zadavas jmeno/heslo a pripadne aplikujes accounting(omezeni pro daneho uzivatele). To uz Mikrotik s usermanem neumi. Mikrotik nema vlastni Radius server a musis pouzit vlastni externi coz je povetsinou freeRADIUS.

Kdyz to pak das dohromady jede to docela pekne. Napriklad muzes dle uzivatele pridelovat VLAN a neni treba delat druhe SSID pro hosty.

Kdyztak se vice rozepis proc mas hotspot a proc nechces WPA2 PSK a celkove detailneji jak si to reseni predstavujes.
Neni treba jit hned s kanonem na vrabce...

[M.]

V případě Mikrotiku existuje i další možnost, a to použít WPA/WPA2 PSK, kde každý uživatel má svoj vlastní sdílené heslo. V MKčku mám namlácen v access listu seznam MAC adres a k nim přidané PSK, co daná MAC má používat (případně další parametry pro danou MAC adresu, co s emají uplatnit). Pokud mám těch AP víc, tak tohl jde nažírat i přes Radius centrálně.
Hodí se to z pohledu, že užival nemusí bojovat s konfigurací WPA2 enterprise, což zvláště u mobilů bývá někdy porod. Nutnou podmínkou je, že dané zařízení nemění náhodně MAC adresy pro wifi (nebo to jde pro zadané SSID vypnout).

[MikyM]

V případě Mikrotiku existuje i další možnost, a to použít WPA/WPA2 PSK, kde každý uživatel má svoj vlastní sdílené heslo. V MKčku mám namlácen v access listu seznam MAC adres a k nim přidané PSK, co daná MAC má používat (případně další parametry pro danou MAC adresu, co s emají uplatnit). Pokud mám těch AP víc, tak tohl jde nažírat i přes Radius centrálně.
Hodí se to z pohledu, že užival nemusí bojovat s konfigurací WPA2 enterprise, což zvláště u mobilů bývá někdy porod. Nutnou podmínkou je, že dané zařízení nemění náhodně MAC adresy pro wifi (nebo to jde pro zadané SSID vypnout).

Nejsem si ted na 100% jisty ale v pripade vice AP by se Tve reseni dalo udelat i pres CAPsMAN + usermanager.

[M.]

Ano, u více AP od Mikrotiku (pokud je použit CAPSMANv2 a řídím tím další krabičky jen od Mikrotiku), tak nepotřebuji ani ten Radius na to, použiju k tomu centrální access list z CAPSMAN serveru. Jde to i kombinovat, abych nemusel to mlátit do toho RBčka dělající CAPSMAN server, tak si to může brát z RADIUS serveru (v tomto případě klidně z usermanagera).

Jinak uečitý režim EAP-TTLS pro WPA2 enterprise jde udělat i v kombinaci s User managerem (PEAP režim nejde). Novější ROSy umí na APčku eap-methods=eap-ttls-mschapv2, kdy tu TLS obálku vyřídí APčko samo a pak jen vnitřní holý MSCHAPv2 přepošle user maangorovi, který si s ním už poradí. Nicméně spolehlivá podpora pro EAP-TTLS/MSCHAPv2 je relativně žalostná u klientů, takže člověk stejně skončí u PEAPv0, tam už externí inteligentnější RADIUS server potřebuji.

[Reklama]

[ZAJDAN]

CapsMan - neřeší v plném symslu bezpečnost, je to spíš centralizované řízení
WPA2 (P)EAP - ja takto mikrotik zkombinoval s RADIUSEM bežícím na Debianu, protože Miktorik neumí být Radius serverem