Mikrotik-Wifi-Radius ověřování podle user/psswd

[fblaha]

Dobrý den,
řeším už několikátý den ten samý problém.
Mám rozjetý RADIUS na FreeRadius, běží na Synology. V něm jsou uživatelé a hesla.
L2TP ověřování uživatelů mi na RADIUS běží naprosto bez problémů.

Teď řeším, jak dostat ověřování přes Radius i do Wifi..
Neustále narážím na ověřování, kdy mám v logu, ať se snažím, jak se snažím, tak končím hlášením v logu na MAC adrese,
XX:XX:XX:XX:XX:XX@wifi: connected
XX:XX:XX:XX:XX:XX@wifi: disconected, 802.1x autenticaton timeout.


Jak to chápu,tak se zařízení neustále snaží ověřovat MAC adresu, já ale z Windows klientů posílám uživatelské jméno a heslo a chci ověřovat pouze a výhradně podle nich. Rozhodně nechci plnit Freeradius MAC adresami.

V ,,hloupém" TPLInku podobné problémy nemám a požadovaná autentifikace username/password na FreeRadius šlape ja víno. Teď chci přejít na Mikrotik a tohle je jediné, s čím ještě bojuji.

Kód: Vybrat vše

/interface wireless security-profiles
add authentication-types=wpa2-eap eap-methods=eap-tls group-ciphers=aes-ccm \
    group-key-update=5m interim-update=0s management-protection=disabled \
    management-protection-key="" mode=dynamic-keys name=radius \
    radius-eap-accounting=yes radius-mac-accounting=no \
    radius-mac-authentication=no radius-mac-caching=disabled radius-mac-format
    XX:XX:XX:XX:XX:XX radius-mac-mode=as-username-and-password static-algo-0=\
    none static-algo-1=none static-algo-2=none static-algo-3=none static-key-0
    "" static-key-1="" static-key-2="" static-key-3="" static-sta-private-algo
    none static-sta-private-key="" static-transmit-key=key-0 \
    supplicant-identity="" tls-certificate=cert1 tls-mode=\
    dont-verify-certificate unicast-ciphers=aes-ccm wpa-pre-shared-key="" \
    wpa2-pre-shared-key=""
   

Kde dělám chybu?

[okoun]

toto máš?

/radius
add address=xx.xx.xx.xx secret=xxxxxx service=ppp,login,hotspot,wireless,dhcp

[fblaha]

Ano, mám, všechny služby.
podotýkám, že l2tp autentizace mi přes radius jede bez potíží.

Kód: Vybrat vše

/radius
add accounting-backup=no accounting-port=1813 address=192.168.1.1
    authentication-port=1812 called-id="" disabled=no domain="" rea
    Heslo service=ppp,login,hotspot,wir
    timeout=300ms


Radius server je ve vnitřní síti, ,,vnitřní" porty a wifi interface mám v bridge. Žádná omezení ve vnitřní síti na FW. Maškaráda pouze směrem ven.
Wifi jako taková je ale konfigurovaná, zadá se dobře, protože pokud změním security protokol na jiný, nadefinovaný na WPA2 PSK, tak se do wifi dostanu.
Ze strany klienta (win xp) používám shodnou konfiguraci jako na TPLink, takže tady by v zásadě problém být asi neměl.

Nerozumím tomu. Jako by nedostačovalo, že má wifi definovaný protokol 802.11 a v security protokolu na wireless interface RADIUS - EAP accounting.

[okoun]

no pokud to nepíše v logu radius timeout tak vůbec to nekontaktuje freeradius, takže hledat co není ještě zaškrtlé v mkčku.
ještě zkontrolovat jestli je povolený incoming v radiusu na mkčku.

[Majklik]

Ten "EAP accounting" nemá nic společného s ověřováním. To je jen logování. A bez důrazné modifikace konfigurace FreeRADIUS nefunguje, protože MK neumí správně použít port na wifině.
Zrada bude asi toto:
eap-methods=eap-tls
to říká, že se ověřuje pomocí certifikátů a ne jméno/heslo. Navíc dle certifikátů v MKčku. RADIUS se vůbec nepoužije.
Dej režim passthrough, pokud chceš dělat ověření přes RADIUS server.

[fblaha]

Potíž je v tom, že na stejném zařízení mi autentifikace pptp na RADIUS jede. Ověřoval jsem si to před několika okamžiky. Ono se jedná o zařízení, které testuji. Z jedné strany položené do vnitřní sítě, z ,,venku" pouze IP natvrdo oproti notebooku, který má natvrdo vymyšlené veřejné adresy. Ale pro tyhle účely nastavení postačuje. Navíc díky tomu že se jedná testován, tak na FW nemám žádná omezující pravidla.

Proto nehledám problém v RADIUS, klíči či portech. Chybu hledám na wifi a jediná možnost mně napadá security profil. Trošku mně tam znervoňuje že se všechny volby více méně motají kolem MAC. Jediná logická je radius-eap-accounting ale ani při jejím zapnutí nedostávám v logu nic normálního. Dokonce není ani RADIUS kontaktován.
Přitom z výpisu vidíte, že service wireless je u RADIUSu povolený.

Kde ještě hledat?

[fblaha]

Ten "EAP accounting" nemá nic společného s ověřováním. To je jen logování. A bez důrazné modifikace konfigurace FreeRADIUS nefunguje, protože MK neumí správně použít port na wifině.
Zrada bude asi toto:
eap-methods=eap-tls
to říká, že se ověřuje pomocí certifikátů a ne jméno/heslo. Navíc dle certifikátů v MKčku. RADIUS se vůbec nepoužije.
Dej režim passthrough, pokud chceš dělat ověření přes RADIUS server.

Aha, vyzkouším passthrought a uvidím.
Jinak konfiguraci FreeRADIUS nezměním. Jak jsem psal, využívám to, co nabízí Synology ve svém modulu Radius server, a tam se toho moc nastavit bohužel nedá.
Děkuji

[fblaha]

Je to tak, jak píše Majklik.
K zapnutí ověřování username/psswd na RADIUS je nutné v security profil EAP-method přepnout na passthrought. Jo a taky se nesmí zapínat žádná volba s parametry které v sobě obsahují text radius.