7
Mikrotik CAPMAN WLAN Client authentification
Hallo,
ich möchte den CAPSMAN so konfigurieren, dass er den WLAN Endgeräten, abhängig von seiner MAC, ein bestimmtes VLAN zuweist.
Aktuell spanne ich über die CAPs diverse VLANS mit unterschiedlichen SSIDs auf. Künftig soll es nur eine SSID geben, die Authentifizierung erfolgt mittels RADIUS, aktuell auf einem Cisco SG350x.
Auf dem RADIUS habe ich folgendes konfiguriert:
Über das Testtool antwortet der RADIUS Server auch:.
Auf dem Miktotik habe ich:
im CAPSMAN:
Unter einer separaten SSID wird das Netzt bereitgestellt.
Der User verbindet sich mit dem WLAN und bekommt das DEFAULT VLAN zugewiesen, nicht dass, was im RADIUS konfiguriert ist.
Ich sehe überhaupt nicht, dass der RADIUS Client am Mikrotik irgendwie arbeitet. Man kann im Log nichts sehen, und auf dem Radius Server ist auch nichts zu erkennen, dass es fehlerhafte Anfragen gibt. Was tun?
Danke.
ich möchte den CAPSMAN so konfigurieren, dass er den WLAN Endgeräten, abhängig von seiner MAC, ein bestimmtes VLAN zuweist.
Aktuell spanne ich über die CAPs diverse VLANS mit unterschiedlichen SSIDs auf. Künftig soll es nur eine SSID geben, die Authentifizierung erfolgt mittels RADIUS, aktuell auf einem Cisco SG350x.
Auf dem RADIUS habe ich folgendes konfiguriert:
- NAS: die IP des Mikrotik-Routers auf dem der RADIUS Client läuft
- USER: der WLAN User mit MAC-Adresse und Passwort.
Über das Testtool antwortet der RADIUS Server auch:.
Auf dem Miktotik habe ich:
- den RADIUS konfiguriert
- unter System, Users, AAA: die Radius Authentifizierung zugelassen
im CAPSMAN:
- unter AAA, MACMode: User+Passwort zugelassen
- Datapath: Bridge konfiguriert +VLAN-Tag: useTag
- Security: AutheticationType, WPA2EAP; Encryption aes; Passphrase <geheim>; EAPMethods: passthrough
Unter einer separaten SSID wird das Netzt bereitgestellt.
Der User verbindet sich mit dem WLAN und bekommt das DEFAULT VLAN zugewiesen, nicht dass, was im RADIUS konfiguriert ist.
Ich sehe überhaupt nicht, dass der RADIUS Client am Mikrotik irgendwie arbeitet. Man kann im Log nichts sehen, und auf dem Radius Server ist auch nichts zu erkennen, dass es fehlerhafte Anfragen gibt. Was tun?
Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 501158
Url: https://administrator.de/contentid/501158
Printed on: April 19, 2024 at 01:04 o'clock
7 Comments
Latest comment
Hallo,
zumindest bin ich etwas weiter. Die IP des RADIUS hatte einen Zahlendreher. Wenn sich der Client nun mit dem WLAN verbinden will, muss ich die Identität eingeben. Offensichtlich wird die MAC-Adresse nicht als Username übertragen. Habe ich zu Fuß geändert, aber irgendetwas stimmt immer noch nicht.
Hier der Fehler:
Und das liefert mir das Test Tool zurück:
Irgendetwas muss am Mikrotik verändert werden.
Christian
zumindest bin ich etwas weiter. Die IP des RADIUS hatte einen Zahlendreher. Wenn sich der Client nun mit dem WLAN verbinden will, muss ich die Identität eingeben. Offensichtlich wird die MAC-Adresse nicht als Username übertragen. Habe ich zu Fuß geändert, aber irgendetwas stimmt immer noch nicht.
Hier der Fehler:
Und das liefert mir das Test Tool zurück:
Irgendetwas muss am Mikrotik verändert werden.
Christian
Du musst mal mit dem Wireshark mitsniffern warum der Radius Request rejected wird. Das Log ist da leider etwas einsilbig so das man die Ursache nicht kennt. 
Das ist leider immer so bei embeddeten Servern die dann keinerlei Debugging Option bieten.
Ganz häufig ist das die Schreibweise der Mac Adresse. Manchmal erwartet der Server 00:12:34 also Doppelpunkte und im Request stehen aber Punkte oder Bindestriche. Sowas führt dann natürlich zur Ablehnung der Clients.
Das ist leider immer so bei embeddeten Servern die dann keinerlei Debugging Option bieten.
Ganz häufig ist das die Schreibweise der Mac Adresse. Manchmal erwartet der Server 00:12:34 also Doppelpunkte und im Request stehen aber Punkte oder Bindestriche. Sowas führt dann natürlich zur Ablehnung der Clients.
Der Radius muss natürlich die entsprechenden Attribute an den Mikrotik zurückliefern
Bei Mikrotik heißt das Attribut für die VLAN Zuordnung
Mikrotik-Wireless-VLANID
Wie das alles konfiguriert wird steht in folgender Anleitung
https://www.google.de/url?sa=t&source=web&rct=j&url=https:// ...
Und hier die Übersicht der Attribute:
https://wiki.mikrotik.com/wiki/Manual:RADIUS_Client#Supported_RADIUS_Att ...
Bei Mikrotik heißt das Attribut für die VLAN Zuordnung
Mikrotik-Wireless-VLANID
Wie das alles konfiguriert wird steht in folgender Anleitung
https://www.google.de/url?sa=t&source=web&rct=j&url=https:// ...
Und hier die Übersicht der Attribute:
https://wiki.mikrotik.com/wiki/Manual:RADIUS_Client#Supported_RADIUS_Att ...
Hallo,
danke Euch!. Die Anleitung verstehe ich nicht ganz, da der Client doch auf dem Mikrotik läuft. Ich denke, er konfiguriert in seiner Anleitung den Server und nicht den Client.....Ich muss mal gucken, welchen Server ich verwende. Der RADIUS auf dem Cisco, kann hier offenbar nicht richtig antworten. Ich glaube den vergesse ich mal und beschäftige mich mit FreeRadius mit GUI-Interface, oder etwas Vergleichbares...muss mal etwas suchen...
Christan
danke Euch!. Die Anleitung verstehe ich nicht ganz, da der Client doch auf dem Mikrotik läuft. Ich denke, er konfiguriert in seiner Anleitung den Server und nicht den Client.....Ich muss mal gucken, welchen Server ich verwende. Der RADIUS auf dem Cisco, kann hier offenbar nicht richtig antworten. Ich glaube den vergesse ich mal und beschäftige mich mit FreeRadius mit GUI-Interface, oder etwas Vergleichbares...muss mal etwas suchen...
Christan
Zitat von @Spartacus:
Ich denke, er konfiguriert in seiner Anleitung den Server und nicht den Client....
Beide Seiten! Der Server ist nur eine Beispiel-Gegenstelle.Ich denke, er konfiguriert in seiner Anleitung den Server und nicht den Client....
Die Grundlegende Config geht daraus aber eindeutig hervor.
RADIUS auf dem Cisco, kann hier offenbar nicht richtig antworten.
Wenn sich die Attribute nicht anpassen lassen ist er nicht geeignet.Ein Freeradius auf nem Raspi, ner VM oder ner pfSense und ab geht die Luzi!
Hallo,
vielen Dank für die Hilfe.
Ich habe mir jetzt Folgendes überlegt und wollte mal fragen, ob der Ansatz ok ist:
Raspberry mit FreeRadius für MAC-Auth
mySQL auf Qnap
Das ist der Plan. Ich habe aktuell weder Ahnung von RADIUS, noch von mySQL aber schauen wir mal!
vielen Dank für die Hilfe.
Ich habe mir jetzt Folgendes überlegt und wollte mal fragen, ob der Ansatz ok ist:
Raspberry mit FreeRadius für MAC-Auth
- für Wireless-User (Mikrotik cAPs)
- für Cisco SG350x kabelgebundene User (dynamic Port Assignment with MAC-Address)
- SQL Conenctor für FreeRadius zur mySQL- DB auf Qnap
mySQL auf Qnap
- Die SQL-DB ist damit unabhängig vom Radius und der Server kann später ggf. visualisiert werden. Die DB bleibt dabei in Takt. Vielleicht kann man mittels ODBC auch vom Windows PC auf die DB zugreifen um beispielsweise die User per Excel zu pflegen. Das wäre natürlich ne schicke Sache. Geht das, oder hat hier jemand eine bessere Idee?
Das ist der Plan. Ich habe aktuell weder Ahnung von RADIUS, noch von mySQL aber schauen wir mal!
Zitat von @Spartacus:
Hier steht wie's geht- SQL Conenctor für FreeRadius zur mySQL- DB auf Qnap
https://www.vpsserver.com/community/tutorials/10/setup-and-configuration ...
Den Abschnitt zur Installation des mySQL kannst du überspringen, hier ist ja nur die Config des Radius zur Benutzung der mySQL DB von Belang.
Ich habe aktuell weder Ahnung von RADIUS, noch von mySQL aber schauen wir mal!
Einmal ist immer das erste Mal 😉. Vernünftig in das Thema einlesen und schon sind die Kopfschmerzen weg.
