Mikrotik CapsMan mehrere SSIDs und unterschiedliche Radius Server bzw. Caller-IDs
Hallo zusammen,
ich hätte da einmal eine kurze Frage zum Thema Mikrotik und CapsMAN. Wir haben unser gesamtes internes WLAN auf Mikrotik mit Capsman umgestellt. Als WLAN Controller habe ich einen Cloud Core Router und als Accesspoints nutzen wir die WapAC's(ca. 15 Stück verteilt).
Wir haben drei verschiedene SSID's (Alles getrennte VLANS bzw. Bridges direkt ins Internet)
Eine zum internen Netzwerk, eine als HotSPOT mit Captive Portal und eine für mobile Geräte wie Tablets Handys etc.
Die interne SSID Authentifiziert über Radius gegen einen 2016 Server. Die Richtlinie im NPS gleicht dabei das Computerkonto im AD ab. (Computerkonto deshalb, damit ich auch vor der Anmeldung schon WLAN auf den Notebooks habe) Zum anderen halte ich mir das Netz so sauber, da sich nur Geräte aus unserer Domäne, sprich Notebooks mit gültigem AD Konto anmelden können.
Der HotSpot ist gegen Internet gebridged, Zugänge werden im Sekretariat ausgestellt
Nun kommt meine eigentliche Problem SSID , und zwar die, die für mobile Geräte gedacht ist. Diese ist auch direkt gegen Internet gebridged soll per Radius Authentifiziert werden, allerdings logischerweise nicht gegen ein Computerkonto, sondern gegen Benutzer und Passwort aus dem AD.
Dazu habe ich im NPS Server eine neue Richtlinie erstellt, welche auf AD Benutzer bzw. eine Gruppe für WLAN Benutzer schaut. Diese Gruppe habe ich mit einer Caller ID versehen.
Im Mikrotik Controller habe ich einen weiteren Radius Server angelegt, der auch auf unseren NPS schaut und die Caller ID mit übergibt. Soweit so gut.
Was jetzt passiert ist merkwürdig, scheinbar wird in der Radius Server Liste immer nur der erste genommen (außer er ist evtl. nicht erreichbar)
Mir fehlt an dieser Stelle jetzt irgendwie die Verknüpfung der SSID zum entsprechenden Radius Server. Man gibt ja pro SSID quasi nur an, wie Authentifiziert werden soll in dem Fall hier WPA2 EAP mit aes ccm und passthrough. Da fehlt mir irgendwie die Zuordnung welcher Radius Server nun benutzt werden soll, bzw. welches TAG oder welche Caller ID übergeben werden soll.
Wenn ich mir die Wireless Settings ohne Capsman anschaue, gibt es dort die Möglichkeit ein Call ID Format zu bestimmen, allerdings finde ich dazu unter den CAPS Einstellungen nichts. Hat jemand einen ähnlichen Fall evtl. und eine Lösung dazu?
Danke euch im Voraus
ich hätte da einmal eine kurze Frage zum Thema Mikrotik und CapsMAN. Wir haben unser gesamtes internes WLAN auf Mikrotik mit Capsman umgestellt. Als WLAN Controller habe ich einen Cloud Core Router und als Accesspoints nutzen wir die WapAC's(ca. 15 Stück verteilt).
Wir haben drei verschiedene SSID's (Alles getrennte VLANS bzw. Bridges direkt ins Internet)
Eine zum internen Netzwerk, eine als HotSPOT mit Captive Portal und eine für mobile Geräte wie Tablets Handys etc.
Die interne SSID Authentifiziert über Radius gegen einen 2016 Server. Die Richtlinie im NPS gleicht dabei das Computerkonto im AD ab. (Computerkonto deshalb, damit ich auch vor der Anmeldung schon WLAN auf den Notebooks habe) Zum anderen halte ich mir das Netz so sauber, da sich nur Geräte aus unserer Domäne, sprich Notebooks mit gültigem AD Konto anmelden können.
Der HotSpot ist gegen Internet gebridged, Zugänge werden im Sekretariat ausgestellt
Nun kommt meine eigentliche Problem SSID , und zwar die, die für mobile Geräte gedacht ist. Diese ist auch direkt gegen Internet gebridged soll per Radius Authentifiziert werden, allerdings logischerweise nicht gegen ein Computerkonto, sondern gegen Benutzer und Passwort aus dem AD.
Dazu habe ich im NPS Server eine neue Richtlinie erstellt, welche auf AD Benutzer bzw. eine Gruppe für WLAN Benutzer schaut. Diese Gruppe habe ich mit einer Caller ID versehen.
Im Mikrotik Controller habe ich einen weiteren Radius Server angelegt, der auch auf unseren NPS schaut und die Caller ID mit übergibt. Soweit so gut.
Was jetzt passiert ist merkwürdig, scheinbar wird in der Radius Server Liste immer nur der erste genommen (außer er ist evtl. nicht erreichbar)
Mir fehlt an dieser Stelle jetzt irgendwie die Verknüpfung der SSID zum entsprechenden Radius Server. Man gibt ja pro SSID quasi nur an, wie Authentifiziert werden soll in dem Fall hier WPA2 EAP mit aes ccm und passthrough. Da fehlt mir irgendwie die Zuordnung welcher Radius Server nun benutzt werden soll, bzw. welches TAG oder welche Caller ID übergeben werden soll.
Wenn ich mir die Wireless Settings ohne Capsman anschaue, gibt es dort die Möglichkeit ein Call ID Format zu bestimmen, allerdings finde ich dazu unter den CAPS Einstellungen nichts. Hat jemand einen ähnlichen Fall evtl. und eine Lösung dazu?
Danke euch im Voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 516661
Url: https://administrator.de/contentid/516661
Ausgedruckt am: 19.11.2024 um 23:11 Uhr
2 Kommentare
Neuester Kommentar
Das Tutorial dazu hast du gelesen ?
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Da steht eigentlich alles was du wissen musst...
Das Call ID Format setzt du bei CapsMan im AAA Button. (Tutorial, Kapitel 3.5)
Das immer nur der erste Radius bei multiplen Servern genommen wird ist normal. Das ist ja nur Redundanz. Timed der erste aus kommt der zweite. Das ist bei allen anderen Herstellern auch so.
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Da steht eigentlich alles was du wissen musst...
Das Call ID Format setzt du bei CapsMan im AAA Button. (Tutorial, Kapitel 3.5)
Das immer nur der erste Radius bei multiplen Servern genommen wird ist normal. Das ist ja nur Redundanz. Timed der erste aus kommt der zweite. Das ist bei allen anderen Herstellern auch so.