EAP-TLS autentifikácia na Mikrotik hardvéry

[eKrajnak]

Čaute,

existuje spôsob, aby som rozbehol EAP autentifikáciu wlanu, čisto na Mikrotik hardvéry? Vraj User Manager EAP nepodporuje a CCRka nepodporujú žiadne Metaroutre, aby som tam nainštaloval FreeRadius alebo niečo iné. Teda potrebujem nutne nejaký iný hardvér na to, alebo sa to predsa dá rozbehať nejak čisto na Mikrotik hardvéry?



Diki za každý nápad
Blažej

[Majklik]

Jako máš na RBčku udělané APčko a chceš používat ověření klientů pomocí EAP-TLS s klientskými certifikáty? Takovou situaci umí RBčko řešit samo o sobě a nemusíš k tomu mít Radius server.
Viz:
/interface wireless security-profiles
add name=eaptls authentication-types=wpa2-eap mode=dynamic-keys eap-methods=eap-tls tls-mode=verify-certificate tls-certificate=RBCERTx
Samozřejmě v RB nahraný patřičný certifikát i s klíčem, plus certifiká autority, která podepisuje certifikáty klientům.

[eKrajnak]

Ja som to skôr myslel trochu inak: potrebujem overovať užívateľov na wifine samostatne. Takže každý má svoje meno a heslo, o certifikáty mi vôbec nejde. Len jednoducho nesmie to byť jedno heslo pre všetkých.

[Majklik]

Ale to pak není EAP.-TLS režim. To je něco jiného, buď klasické PEAPv0, což umí většina klientů, nebo nějaké forma EAP-TTLS. Pokud by uvnitř TLS tunelu mělo být třeba MSCHAPv2 ověření, tak u novějších ROSu je i varianta eap-methods=eap-ttls-mschapv2, pak by to mohlo jít podle jméno/heslo, ale odkud bere lidi nevím? Pro klasickou spolupráci s radiusem se používá režim eap-methods=passtrought.

[eKrajnak]

Len teraz tu je tá otázka, kde bude bežať ten radius server. Niekde som čítal, že User Manager od Mikrotiku nepodrpouje EAP requesty. ALebo teda už niečo upravili?

[Majklik]

Klasický Radius s podporou EAP je vyžadován, pokud se použije ten režim eap-methods=passtrought, tak to i používám (proti FreeRADIUS2), ale je možné, že pro režim eap-methods=eap-ttls-mschapv2 to RBčko z EAPu vybalí a dál se požaduje jen MSCHAPv2 ověření, které dá i User Manager. To zkus. Nicméně mám vyzkoušeno, že podpora pro EAP-TTLS s MSCHAPv2 je mezi klienty žalostná, takže jsem nad tím nikdy nebádal...