Mikrotik CAP AX a WIFI Radius

Alois

Nepodařilo se vám prosím rozchodit AX oproti radius serveru? U starší wifi to nastavím bez problémů a to včetně CAP, ale tady jsem tvrdě narazil. Nemáte někdo prosím funkční návod? Radius klient mám v Mikrotiku nastavený správně, ale něco bude blbě v nastavení wifi části. Při debugu server odmítne autentizaci. Bohužel je to NPS a ten moc ukecanej není, tak vlastně není poznat, co chybí nebo přebývá.
Předem moc díky!

5nik

Měl jsem rozchozenou autentizaci přes CAPsMANv2, pak jsem to překlikal na CAPsMANv3. Konfig mám tento (je to jako slave SSID):

/interface wifi security
add authentication-types=wpa2-eap disabled=no ft=yes name=radius
/interface wifi configuration
add disabled=no mode=ap name=radius security=radius ssid=Firma-radius

/radius
add address=192.168.5.21 service=wireless

Na NPS pak povolen EAP-MSCHAP v2. Musíš mít certifikát na NPS (FQDN, wildcard to tuším nežere). Požadavek na ověření přijde z CAPsMANa, nikoliv AP (máš-li to rozdělené).

Log NPS najdeš v Event vieweru -> Custom views -> ServerRoles -> Network Policy and Access Services. Musíš mít samozřejmě zapnuté auditování ověřování NPS v GPO.

Ukázka logu NPS:

Network Policy Server granted access to a user.

User:
	Security ID:			FIRMA\user1
	Account Name:			FIRMA\user1
	Account Domain:			FIRMA
	Fully Qualified Account Name:	firma.local/SKUPINA/Users/User 1

Client Machine:
	Security ID:			NULL SID
	Account Name:			-
	Fully Qualified Account Name:	-
	Called Station Identifier:		CE-2D-E0-1E-D2-70:Firma-radius
	Calling Station Identifier:		70-D8-23-DC-1A-E0

NAS:
	NAS IPv4 Address:		192.168.5.1
	NAS IPv6 Address:		-
	NAS Identifier:			GW-FIRMA
	NAS Port-Type:			Wireless - IEEE 802.11
	NAS Port:			-

RADIUS Client:
	Client Friendly Name:		Mikrotik-GW-Lokalita1
	Client IP Address:			192.168.5.1

Authentication Details:
	Connection Request Policy Name:	Connections to Mikrotik VPNs and WiFi
	Network Policy Name:		Connections to Mikrotik WiFi
	Authentication Provider:		Windows
	Authentication Server:		NPS.firma.local
	Authentication Type:		PEAP
	EAP Type:			Microsoft: Secured password (EAP-MSCHAP v2)
	Account Session Identifier:		3832613030303238
	Logging Results:			Accounting information was written to the local log file.

Alois

Dík za odpověď, problém nakonec nebyl v Mikrotiku. U AX není potřeba už nastavit skoro nic, klasicky nastavit Radius, u WIFI pak EAP Methods - PEAP a v AAA je třeba dát do Called Format hodnotu "S" (bez uvozovek), pokud je v radius serveru rozlišeno chování dle různých AP a podobně. V radius serveru se pak nastaví called-id na jméno AP a za to se dá dollar (to je to S).
Problém byl opravdu v NPS, kde nebyl vůbec žádný certifikát a dokonce to házelo chybu, musel jsem ho naimportovat, wildcard moc nevadí, pokud není nastaveno striktní ověření certifikátu, což bude až fáze 2. A hlavní problém byl právě v tom vypnutým auditování NPS, což je zcela nesmyslně výchozí stav. Jakmile jsem ho zapl, hned bylo vidět, kde je problém.