EAP-TLS autentifikácia na Mikrotik hardvéry

ekrajnak

Čaute,

existuje spôsob, aby som rozbehol EAP autentifikáciu wlanu, čisto na Mikrotik hardvéry? Vraj User Manager EAP nepodporuje a CCRka nepodporujú žiadne Metaroutre, aby som tam nainštaloval FreeRadius alebo niečo iné. Teda potrebujem nutne nejaký iný hardvér na to, alebo sa to predsa dá rozbehať nejak čisto na Mikrotik hardvéry?

Diki za každý nápad ;)

Blažej

majklik

Jako máš na RBčku udělané APčko a chceš používat ověření klientů pomocí EAP-TLS s klientskými certifikáty? Takovou situaci umí RBčko řešit samo o sobě a nemusíš k tomu mít Radius server.

Viz:

/interface wireless security-profiles

add name=eaptls authentication-types=wpa2-eap mode=dynamic-keys eap-methods=eap-tls tls-mode=verify-certificate tls-certificate=RBCERTx

Samozřejmě v RB nahraný patřičný certifikát i s klíčem, plus certifiká autority, která podepisuje certifikáty klientům.

ekrajnak

Ja som to skôr myslel trochu inak: potrebujem overovať užívateľov na wifine samostatne. Takže každý má svoje meno a heslo, o certifikáty mi vôbec nejde. Len jednoducho nesmie to byť jedno heslo pre všetkých.

majklik

Ale to pak není EAP.-TLS režim. To je něco jiného, buď klasické PEAPv0, což umí většina klientů, nebo nějaké forma EAP-TTLS. Pokud by uvnitř TLS tunelu mělo být třeba MSCHAPv2 ověření, tak u novějších ROSu je i varianta eap-methods=eap-ttls-mschapv2, pak by to mohlo jít podle jméno/heslo, ale odkud bere lidi nevím? Pro klasickou spolupráci s radiusem se používá režim eap-methods=passtrought.

ekrajnak

Len teraz tu je tá otázka, kde bude bežať ten radius server. Niekde som čítal, že User Manager od Mikrotiku nepodrpouje EAP requesty. ALebo teda už niečo upravili?

majklik

Klasický Radius s podporou EAP je vyžadován, pokud se použije ten režim eap-methods=passtrought, tak to i používám (proti FreeRADIUS2), ale je možné, že pro režim eap-methods=eap-ttls-mschapv2 to RBčko z EAPu vybalí a dál se požaduje jen MSCHAPv2 ověření, které dá i User Manager. To zkus. Nicméně mám vyzkoušeno, že podpora pro EAP-TTLS s MSCHAPv2 je mezi klienty žalostná, takže jsem nad tím nikdy nebádal...