spartacus
Goto Top

Mikrotik CAPMAN WLAN Client authentification

Hallo,
ich möchte den CAPSMAN so konfigurieren, dass er den WLAN Endgeräten, abhängig von seiner MAC, ein bestimmtes VLAN zuweist.
Aktuell spanne ich über die CAPs diverse VLANS mit unterschiedlichen SSIDs auf. Künftig soll es nur eine SSID geben, die Authentifizierung erfolgt mittels RADIUS, aktuell auf einem Cisco SG350x.

Auf dem RADIUS habe ich folgendes konfiguriert:
  • NAS: die IP des Mikrotik-Routers auf dem der RADIUS Client läuft
  • USER: der WLAN User mit MAC-Adresse und Passwort.

Über das Testtool antwortet der RADIUS Server auch:.

Auf dem Miktotik habe ich:
  • den RADIUS konfiguriert
  • unter System, Users, AAA: die Radius Authentifizierung zugelassen

im CAPSMAN:
  • unter AAA, MACMode: User+Passwort zugelassen
  • Datapath: Bridge konfiguriert +VLAN-Tag: useTag
  • Security: AutheticationType, WPA2EAP; Encryption aes; Passphrase <geheim>; EAPMethods: passthrough

Unter einer separaten SSID wird das Netzt bereitgestellt.

Der User verbindet sich mit dem WLAN und bekommt das DEFAULT VLAN zugewiesen, nicht dass, was im RADIUS konfiguriert ist.
Ich sehe überhaupt nicht, dass der RADIUS Client am Mikrotik irgendwie arbeitet. Man kann im Log nichts sehen, und auf dem Radius Server ist auch nichts zu erkennen, dass es fehlerhafte Anfragen gibt. Was tun?

Danke.

Content-ID: 501158

Url: https://administrator.de/forum/mikrotik-capman-wlan-client-authentification-501158.html

Ausgedruckt am: 26.12.2024 um 20:12 Uhr

Spartacus
Spartacus 03.10.2019 aktualisiert um 18:29:25 Uhr
Goto Top
Hallo,
zumindest bin ich etwas weiter. Die IP des RADIUS hatte einen Zahlendreher. Wenn sich der Client nun mit dem WLAN verbinden will, muss ich die Identität eingeben. Offensichtlich wird die MAC-Adresse nicht als Username übertragen. Habe ich zu Fuß geändert, aber irgendetwas stimmt immer noch nicht.
Hier der Fehler:

fehler

Und das liefert mir das Test Tool zurück:
test

Irgendetwas muss am Mikrotik verändert werden.

Christian
aqui
aqui 03.10.2019 um 18:43:45 Uhr
Goto Top
Du musst mal mit dem Wireshark mitsniffern warum der Radius Request rejected wird. Das Log ist da leider etwas einsilbig so das man die Ursache nicht kennt. face-sad
Das ist leider immer so bei embeddeten Servern die dann keinerlei Debugging Option bieten.
Ganz häufig ist das die Schreibweise der Mac Adresse. Manchmal erwartet der Server 00:12:34 also Doppelpunkte und im Request stehen aber Punkte oder Bindestriche. Sowas führt dann natürlich zur Ablehnung der Clients.
141320
141320 03.10.2019 aktualisiert um 19:42:20 Uhr
Goto Top
Der Radius muss natürlich die entsprechenden Attribute an den Mikrotik zurückliefern
Bei Mikrotik heißt das Attribut für die VLAN Zuordnung
Mikrotik-Wireless-VLANID

Wie das alles konfiguriert wird steht in folgender Anleitung
https://www.google.de/url?sa=t&source=web&rct=j&url=https:// ...

Und hier die Übersicht der Attribute:
https://wiki.mikrotik.com/wiki/Manual:RADIUS_Client#Supported_RADIUS_Att ...
Spartacus
Spartacus 03.10.2019 um 20:32:46 Uhr
Goto Top
Hallo,
danke Euch!. Die Anleitung verstehe ich nicht ganz, da der Client doch auf dem Mikrotik läuft. Ich denke, er konfiguriert in seiner Anleitung den Server und nicht den Client.....Ich muss mal gucken, welchen Server ich verwende. Der RADIUS auf dem Cisco, kann hier offenbar nicht richtig antworten. Ich glaube den vergesse ich mal und beschäftige mich mit FreeRadius mit GUI-Interface, oder etwas Vergleichbares...muss mal etwas suchen...

Christan
141320
141320 03.10.2019 aktualisiert um 23:35:08 Uhr
Goto Top
Zitat von @Spartacus:

Ich denke, er konfiguriert in seiner Anleitung den Server und nicht den Client....
Beide Seiten! Der Server ist nur eine Beispiel-Gegenstelle.
Die Grundlegende Config geht daraus aber eindeutig hervor.
RADIUS auf dem Cisco, kann hier offenbar nicht richtig antworten.
Wenn sich die Attribute nicht anpassen lassen ist er nicht geeignet.
Ein Freeradius auf nem Raspi, ner VM oder ner pfSense und ab geht die Luzi!
Spartacus
Spartacus 04.10.2019 um 08:10:54 Uhr
Goto Top
Hallo,
vielen Dank für die Hilfe.

Ich habe mir jetzt Folgendes überlegt und wollte mal fragen, ob der Ansatz ok ist:

Raspberry mit FreeRadius für MAC-Auth
  • für Wireless-User (Mikrotik cAPs)
  • für Cisco SG350x kabelgebundene User (dynamic Port Assignment with MAC-Address)
  • SQL Conenctor für FreeRadius zur mySQL- DB auf Qnap
(hier ist mir nicht ganz klar, wie der Connector auf dem Pi installiert wird und wie der heißt. Außerdem ist mir noch unklar, ob alle User in einer gemeinsamen Tabelle gepflegt werden können, oder ob hier Mikrotik und Cisco getrennt sein müssen)

mySQL auf Qnap
  • Die SQL-DB ist damit unabhängig vom Radius und der Server kann später ggf. visualisiert werden. Die DB bleibt dabei in Takt. Vielleicht kann man mittels ODBC auch vom Windows PC auf die DB zugreifen um beispielsweise die User per Excel zu pflegen. Das wäre natürlich ne schicke Sache. Geht das, oder hat hier jemand eine bessere Idee?

Das ist der Plan. Ich habe aktuell weder Ahnung von RADIUS, noch von mySQL aber schauen wir mal!
141320
141320 04.10.2019 aktualisiert um 08:54:46 Uhr
Goto Top
Zitat von @Spartacus:

  • SQL Conenctor für FreeRadius zur mySQL- DB auf Qnap
(hier ist mir nicht ganz klar, wie der Connector auf dem Pi installiert wird und wie der heißt.
Hier steht wie's geht
https://www.vpsserver.com/community/tutorials/10/setup-and-configuration ...
Den Abschnitt zur Installation des mySQL kannst du überspringen, hier ist ja nur die Config des Radius zur Benutzung der mySQL DB von Belang.
Ich habe aktuell weder Ahnung von RADIUS, noch von mySQL aber schauen wir mal!
Einmal ist immer das erste Mal 😉. Vernünftig in das Thema einlesen und schon sind die Kopfschmerzen weg.