Mikrotik RADIUS server WPA-EAP-hoz

Egy Mikrotik routerre szeretném központosítani más SoHo AP-k kulcskezelését, hogy ne egyetlen WPA kulcsot használjanak az egész épületben és egy esetleges változtatáskor ne kelljen 2x AP-t egyenként átkonfigurálni. (meglevő, adott eszközök).
Erre tűnt kézenfekvőnek a Mikrotik-re egy RADIUS server, az AP-kre pedig WPA-PSK helyett WPA-EAP és - ha nem is mindenkinek külön - néhány jól kontrollálható user.

Sajnos Google nem a barátom, ilyen hibrid megoldásra vonatkozó leírást nem nagyon találtam - legalább is sikereset nem.
Legtöbb leírásban FreeRADIUS-t használnak EAP-hoz, de sajnos ehhez nem áll rendelkezésre szerverként használható PC, esetleg a Mikrotik-re tehetném fel MetaRouter-be OpenWRT alá, de ezt a barkácsolást inkább kerülném.

Csinált már valaki ilyesmit? Tudna segíteni merre induljak?

[részeredmény]
A MikroTik UserManager NEM támogatja a WPA-EAP azonosításhoz általánosan használt EAP-TLS/PEAP authentikációs protokollt -> általános AP firmware-ekkel nem lehet összelőni.

Hozzászólások

Ez eddig OK, ez meg is van. Csak sehol egy normális leírás, tapasztalat, hogy hogy lövöm össze mindezt egy X típusú WiFI AP WPA-EAP beállításaival.
Konkrétan: RADIUS server beállítva, User Manager bellőve, router(ként az AP), teszt user felvéve. AP-n a RADIUS szerver IP, port, pass belőve. Odáig eljut, hogy WiFi-re csatlakozáskor bekéri a user/pass-t (de ezt tulajdonképpen pusztán az AP configja alapján teszi, akkor is, ha nincs is mögötte a RADIUS szerver - konkrétan próbaképp kihúzom az ETH-t az AP-ból), de semmi nyoma bármilyen kommunikációnak sem logokban, sem IP csomagokban, ami bármilyen authentikációs próbálkozásokra utalna :(

Mára sikerült eljutnom idáig. FreeRadius-al összelőttem szépen az AP-kat, a Win7 kicsit megszivatott, de végül működik szépen.
Ellenben, ha átállok az AP-kkel a MikroTik-ra, akkor továbbra is síri csend :(
A UserManager-en sajnos nincs mit a FreeRadius alapján felconfigolni, mert egészen más rendszer.

Holnap küzdök tovább...

félreérted. Mind a userman, mind a freeradius radius server. A radius kliens pedig a mikrotik-ben van.
Ha freeradius-al összemuzsikáltad, akkor kéne h menjen azonos paraméterek alapján, ha a radius IP-nek a userman-t adod meg (localhost?).
Mivel a freeradius-ban van radius kliens is, így fordított irányban is tudsz próbálkozni.
Utóbbi esetben talán több debug lehetőséged van - nomeg ott van a tcpdump is erre...

Közben még tovább kutattam, utánaolvastam: kb. 5 éve várják mások is a világban, de a UserManager NEM támogatja a WPA-EAP azonosításhoz általánosan használt EAP-TLS/PEAP authentikációs protokollt -> általános AP firmware-ekkel nem lehet összelőni :(
(radclient-el teszt azonosítás megy szépen)

Ez azóta sem változott? Ideális lenne egy nagyon hasonló felállásban a Te általad vázolt formában egy radius szerver (mikrotik router, ubiquiti unifi AP-k). Sehogy sem tudom összehozni, hogy beszélgessenek, míg a radtest, radclient remekül működik.