Egy Mikrotik routerre szeretném központosítani más SoHo AP-k kulcskezelését, hogy ne egyetlen WPA kulcsot használjanak az egész épületben és egy esetleges változtatáskor ne kelljen 2x AP-t egyenként átkonfigurálni. (meglevő, adott eszközök).
Erre tűnt kézenfekvőnek a Mikrotik-re egy RADIUS server, az AP-kre pedig WPA-PSK helyett WPA-EAP és - ha nem is mindenkinek külön - néhány jól kontrollálható user.
Sajnos Google nem a barátom, ilyen hibrid megoldásra vonatkozó leírást nem nagyon találtam - legalább is sikereset nem.
Legtöbb leírásban FreeRADIUS-t használnak EAP-hoz, de sajnos ehhez nem áll rendelkezésre szerverként használható PC, esetleg a Mikrotik-re tehetném fel MetaRouter-be OpenWRT alá, de ezt a barkácsolást inkább kerülném.
Csinált már valaki ilyesmit? Tudna segíteni merre induljak?
[részeredmény]
A MikroTik UserManager NEM támogatja a WPA-EAP azonosításhoz általánosan használt EAP-TLS/PEAP authentikációs protokollt -> általános AP firmware-ekkel nem lehet összelőni.
Hozzászólások
openWRT-n a mai napig használom.. http://openwrt.feetline.net/index.php?topic=391.0
Szerintem több AP-t is elbír simán, bár otthon még nem próbáltam.. És csak egy user/pass-fájlt kell szerkesztgetned..
--
God bless you, Captain Hindsight..
Ha RouterOS-en akarsz radius szervert, akkor a "User Manager" csomag kell Neked
(benne van a megfelelő all-packages-{architektúra}-{verzió}.zip archívumban, ami a http://www.mikrotik.com/download oldalról tölthető le).
Leírása: http://wiki.mikrotik.com/wiki/Manual:User_Manager
Ez eddig OK, ez meg is van. Csak sehol egy normális leírás, tapasztalat, hogy hogy lövöm össze mindezt egy X típusú WiFI AP WPA-EAP beállításaival.
Konkrétan: RADIUS server beállítva, User Manager bellőve, router(ként az AP), teszt user felvéve. AP-n a RADIUS szerver IP, port, pass belőve. Odáig eljut, hogy WiFi-re csatlakozáskor bekéri a user/pass-t (de ezt tulajdonképpen pusztán az AP configja alapján teszi, akkor is, ha nincs is mögötte a RADIUS szerver - konkrétan próbaképp kihúzom az ETH-t az AP-ból), de semmi nyoma bármilyen kommunikációnak sem logokban, sem IP csomagokban, ami bármilyen authentikációs próbálkozásokra utalna :(
FYI: egy virtuális gépre telepíts linuxot, muzsikáld össze FreeRadius-al, majd ha az megy, akkor az alapján konfigold fel a UserManagert.
Mára sikerült eljutnom idáig. FreeRadius-al összelőttem szépen az AP-kat, a Win7 kicsit megszivatott, de végül működik szépen.
Ellenben, ha átállok az AP-kkel a MikroTik-ra, akkor továbbra is síri csend :(
A UserManager-en sajnos nincs mit a FreeRadius alapján felconfigolni, mert egészen más rendszer.
Holnap küzdök tovább...
félreérted. Mind a userman, mind a freeradius radius server. A radius kliens pedig a mikrotik-ben van.
Ha freeradius-al összemuzsikáltad, akkor kéne h menjen azonos paraméterek alapján, ha a radius IP-nek a userman-t adod meg (localhost?).
Mivel a freeradius-ban van radius kliens is, így fordított irányban is tudsz próbálkozni.
Utóbbi esetben talán több debug lehetőséged van - nomeg ott van a tcpdump is erre...
Közben még tovább kutattam, utánaolvastam: kb. 5 éve várják mások is a világban, de a UserManager NEM támogatja a WPA-EAP azonosításhoz általánosan használt EAP-TLS/PEAP authentikációs protokollt -> általános AP firmware-ekkel nem lehet összelőni :(
(radclient-el teszt azonosítás megy szépen)
Ez azóta sem változott? Ideális lenne egy nagyon hasonló felállásban a Te általad vázolt formában egy radius szerver (mikrotik router, ubiquiti unifi AP-k). Sehogy sem tudom összehozni, hogy beszélgessenek, míg a radtest, radclient remekül működik.
https://forum.mikrotik.com/viewtopic.php?t=154677
Köszönöm, nagyon jónak tűnik!
Már csak pár év, és használható is lesz :)
sub