Mikrotik hEX CAPsMAN + Radius + User-Manager - Authentifizierung für WLAN funktioniert nicht
Hallo,
so langsam wage ich mich in neue Dimensionen vor und bin prompt wieder auf Probleme gestoßen.
Ich wollte für mein WLAN eine Username/Passwort Authentifizierung vorschalten. Der Gedanke war dafür das Zusatz-Package "User-Manager" als Radius-Server zu nutzen. Parallel habe ich die Funktion "IP - Radius" als Radius-Client aktiviert. Alles wurde auf dem hEX installiert/aktiviert, welcher auch der CAPsMAN ist. Folgendes habe ich damit alles angestellt:
Den User-Manager habe ich nach Manual installiert. Der Adminuser hat ein neues Passwort erhalten. Dann habe ich ein Profil ohne Limitierungen angelegt. Danach habe ich User angelegt, welche dieses Profil bekommen haben. Wenn die User gespeichert werden, sehe ich auch wie der Countdown bis zum Ablauf des Zugriffs heruntergezählt wird. Ich habe mich an "normalen" Usern versucht. Also ein richtiger Usernamen mit einem Passwort. Dann habe ich auch User mit den MAC-Adressen der Interfaces einiger Endgeräte hinterlegt, mal mit und mal ohne dediziertes Passwort. Das habe ich gemacht, weil ich meinte verstanden zu haben, dass der CAPsMAN über die Funktion "CAPsMAN - AAA" die MAC als Authentifizierungsmerkmal in Form des Usernamens oder auch als Passwort übergeben kann.
Danach habe ich noch unter "Router" meinen CAPsMAN hinterlegt, auf dem alle Komponenten installiert sind. Ich habe als IP die 127.0.0.1 (testweise auch 192.168.x.y, welches die IP der MainBridge dieses hEX ist) angegeben und ein Secret vergeben.
Danach habe ich den Radius-Client aktiviert. Ich habe ihm gesagt, dass er sich an den Server unter 127.0.0.1 wenden soll. Ein anderer Versuch war mit der IP der Bridge auf dem hEX, worauf Client und Server installiert sind - 192.168.x.y. Danach habe ich das Secret hinterlegt, welches ich zuvor im User-Manager für den Router vergeben habe. Alles wurde gespeichert.
Nun musste ich noch die CAPsMAN Konfigurationen anpassen. Dazu habe ich auf Authentication WPA2-PSK umgestellt. Dann habe ich es auch mit EAP method "passthrough" und encryption aes-ccm sowie group encryption aes-ccm versucht. Ich habe auch mit "CAPsMAN - AAA" experimentiert "as usernamen" sowie "as usernamen and password" ausprobiert. Auch eine Access Rule mit "action=query-radius" habe ich ausprobiert.
Leider klappt die Authentifizierung nie. Weder mit normalem User und zugehörigen Passwort, noch mit den MAC- Adrssen. Ich bekomme die Meldungen, dass entweder Usernamen und Passwort falsch sind oder dass keine Verbindung hergestellt werden kann.
Bin ich von den grundlegendem Umgebungen, welche Komponenetn da mitspielen, aif dem richtigen Wege oder habe ich da die Unktionen der akonponenten falsch verstanden? Könnt ihr mir Hinweise geben worauf ich achten sollte, damit ich eine Chance habe das ganze ans laufen zu bekommen?
Ich bin für jeden Hinweis dankbar.
Gruß,
Jens
so langsam wage ich mich in neue Dimensionen vor und bin prompt wieder auf Probleme gestoßen.
Ich wollte für mein WLAN eine Username/Passwort Authentifizierung vorschalten. Der Gedanke war dafür das Zusatz-Package "User-Manager" als Radius-Server zu nutzen. Parallel habe ich die Funktion "IP - Radius" als Radius-Client aktiviert. Alles wurde auf dem hEX installiert/aktiviert, welcher auch der CAPsMAN ist. Folgendes habe ich damit alles angestellt:
Den User-Manager habe ich nach Manual installiert. Der Adminuser hat ein neues Passwort erhalten. Dann habe ich ein Profil ohne Limitierungen angelegt. Danach habe ich User angelegt, welche dieses Profil bekommen haben. Wenn die User gespeichert werden, sehe ich auch wie der Countdown bis zum Ablauf des Zugriffs heruntergezählt wird. Ich habe mich an "normalen" Usern versucht. Also ein richtiger Usernamen mit einem Passwort. Dann habe ich auch User mit den MAC-Adressen der Interfaces einiger Endgeräte hinterlegt, mal mit und mal ohne dediziertes Passwort. Das habe ich gemacht, weil ich meinte verstanden zu haben, dass der CAPsMAN über die Funktion "CAPsMAN - AAA" die MAC als Authentifizierungsmerkmal in Form des Usernamens oder auch als Passwort übergeben kann.
Danach habe ich noch unter "Router" meinen CAPsMAN hinterlegt, auf dem alle Komponenten installiert sind. Ich habe als IP die 127.0.0.1 (testweise auch 192.168.x.y, welches die IP der MainBridge dieses hEX ist) angegeben und ein Secret vergeben.
Danach habe ich den Radius-Client aktiviert. Ich habe ihm gesagt, dass er sich an den Server unter 127.0.0.1 wenden soll. Ein anderer Versuch war mit der IP der Bridge auf dem hEX, worauf Client und Server installiert sind - 192.168.x.y. Danach habe ich das Secret hinterlegt, welches ich zuvor im User-Manager für den Router vergeben habe. Alles wurde gespeichert.
Nun musste ich noch die CAPsMAN Konfigurationen anpassen. Dazu habe ich auf Authentication WPA2-PSK umgestellt. Dann habe ich es auch mit EAP method "passthrough" und encryption aes-ccm sowie group encryption aes-ccm versucht. Ich habe auch mit "CAPsMAN - AAA" experimentiert "as usernamen" sowie "as usernamen and password" ausprobiert. Auch eine Access Rule mit "action=query-radius" habe ich ausprobiert.
Leider klappt die Authentifizierung nie. Weder mit normalem User und zugehörigen Passwort, noch mit den MAC- Adrssen. Ich bekomme die Meldungen, dass entweder Usernamen und Passwort falsch sind oder dass keine Verbindung hergestellt werden kann.
Bin ich von den grundlegendem Umgebungen, welche Komponenetn da mitspielen, aif dem richtigen Wege oder habe ich da die Unktionen der akonponenten falsch verstanden? Könnt ihr mir Hinweise geben worauf ich achten sollte, damit ich eine Chance habe das ganze ans laufen zu bekommen?
Ich bin für jeden Hinweis dankbar.
Gruß,
Jens
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 383188
Url: https://administrator.de/forum/mikrotik-hex-capsman-radius-user-manager-authentifizierung-fuer-wlan-funktioniert-nicht-383188.html
Ausgedruckt am: 22.12.2024 um 05:12 Uhr
13 Kommentare
Neuester Kommentar
Ich wollte für mein WLAN eine Username/Passwort Authentifizierung vorschalten.
Wie denn ??Mit einem Captivel Portal oder einer Nutzer Authentisierung nach 802.1x ? Hier bist du leider sehr oberflächlich. Der MT kann ja beides ?
Hast du den Radius mal mit einem entsprechenden Test Tool wie NTRadping getestet:
https://www.novell.com/coolsolutions/tools/14377.html
Antwortet hier der Radius wie er soll ?
Es ist fraglich ob der MT Loopback Adressen supportet. Besser ist es den Radius an eine wirkliche IP z.B. die des Management Netzes zu binden.
Wichtig ist erstmal den Radius genau zu testen das er sicher funktioniert und Client Anfragen dort auc h ankommen, ansonsten stocherst du weiter im Trüben.
Weitere Infos dazu auch hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
...sofern du denn mit 802.1x arbeitest.
Oder hier, wenn es ein Captive Portal ist:
https://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...
Servus,
Das kannst du so direkt knicken mit dem Usermanager, denn der Usermanager versteht kein (P)EAP für WPA2-Enterprise. Es ist eben kein vollwertiger Radius-Ersatz mit allen Spezialitäten. Nimm das Captive-Portal des MK mit diesem klappt das Zusammenspiel auch mit dem Usermanager, auch mit MAC Auth wenn einem das reicht.
Wie das dafür geht habe ich hier auch schon mal in einem Beitrag geschrieben.
Oder alternativ eben einen vollwertigen Freeradius ins Netz packen.
Grüße Uwe
Das kannst du so direkt knicken mit dem Usermanager, denn der Usermanager versteht kein (P)EAP für WPA2-Enterprise. Es ist eben kein vollwertiger Radius-Ersatz mit allen Spezialitäten. Nimm das Captive-Portal des MK mit diesem klappt das Zusammenspiel auch mit dem Usermanager, auch mit MAC Auth wenn einem das reicht.
Wie das dafür geht habe ich hier auch schon mal in einem Beitrag geschrieben.
Oder alternativ eben einen vollwertigen Freeradius ins Netz packen.
Grüße Uwe
Ein Captive Portal ist sowas wie eine "Zwangs Webseite". Sowas kann man sowohl auf einem LAN als auch einem WLAN aktivieren.
Ein Client in diesem Netzsegment der einen Internet Browser (Firefox, Chrome, Safari etc.) öffnet bekommt dann durch den Switch/Router automatisch eine Webseite zu Gesicht die Benutzer Zugangsdaten abfragt.
Das kann dann wieder eine User Passwort Kombination sein, ein Einmal Passwort (Voucher) usw.
Hat er sich damit authentisiert wir der Zugang in andere Netze (Internet usw.) freigeschaltet. Entweder komplett oder Zeit limitiert.
Quasi also ein Hotspot wie man es von Hotels, Cafes, Kneipen, Flughafen, Bahnhof usw. kennt.
Das Captive Portal kann dann diese Userdaten wieder gegen einen Radius Server prüfen oder eben über eine lokale Datenbank.
Im Gegensatz zum Captive Portal erfordert die 802.1x basierte User Authentisierung einen entsprechenden 802.1x Client auf den Endgeräten der aktiviert sein muss. Im WLAN nennt man sowas gelegentlich auch WPA Enterprise.
Auch hier kann die Abfrage der User Daten entweder lokal geschehen oder via Radius.
Allerdings gibt es hier Inkonsistenten wie der Kollege colinardo oben zu Recht schon angesprochen hat die man kennen muss um nicht Schiffbruch zu erleiden.
Sicherheitstechnisch gibt es keinen Unterschied. Funktional schon, da eben unterschiedliche Verfahren, einmal via HTTP Browser und einmal eben direkt mit einem .1x Client am Endgeräte Netzwerk Interface im Hintergrund.
Vielleicht helfen die hiesigen Tutorials zu beiden Themenkomplexen dir zusätzlich etwas Licht in dein Dunkel zu bringen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Ein Client in diesem Netzsegment der einen Internet Browser (Firefox, Chrome, Safari etc.) öffnet bekommt dann durch den Switch/Router automatisch eine Webseite zu Gesicht die Benutzer Zugangsdaten abfragt.
Das kann dann wieder eine User Passwort Kombination sein, ein Einmal Passwort (Voucher) usw.
Hat er sich damit authentisiert wir der Zugang in andere Netze (Internet usw.) freigeschaltet. Entweder komplett oder Zeit limitiert.
Quasi also ein Hotspot wie man es von Hotels, Cafes, Kneipen, Flughafen, Bahnhof usw. kennt.
Das Captive Portal kann dann diese Userdaten wieder gegen einen Radius Server prüfen oder eben über eine lokale Datenbank.
Im Gegensatz zum Captive Portal erfordert die 802.1x basierte User Authentisierung einen entsprechenden 802.1x Client auf den Endgeräten der aktiviert sein muss. Im WLAN nennt man sowas gelegentlich auch WPA Enterprise.
Auch hier kann die Abfrage der User Daten entweder lokal geschehen oder via Radius.
Allerdings gibt es hier Inkonsistenten wie der Kollege colinardo oben zu Recht schon angesprochen hat die man kennen muss um nicht Schiffbruch zu erleiden.
Sicherheitstechnisch gibt es keinen Unterschied. Funktional schon, da eben unterschiedliche Verfahren, einmal via HTTP Browser und einmal eben direkt mit einem .1x Client am Endgeräte Netzwerk Interface im Hintergrund.
Vielleicht helfen die hiesigen Tutorials zu beiden Themenkomplexen dir zusätzlich etwas Licht in dein Dunkel zu bringen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Zitat von @Niffchen:
Ich habe auf meiner HauptBridge alle VLANs intern, die sich sehen dürfen gelegt. Nebenbei habe ich eine SubBridge auf der das WLAN terminiert wird, um es von dem restlichen Traffic erstmal abgetrennt zu haben. Der CAPsMan lauscht überall nach seinen Signalen.
Nun mal ein paar Fragen dazu. Konfiguration habt Ihr unten, falls Ihr da noch etwas an Infos zu meinen Ausführungen braucht.
Ich denke wohl, wenn es um das WLAN geht, dass ich in meinem Fall den Hotpot auf die "SubBridge" legen muss. Korrekt?
Richtig. Der Hotspot wenn es ja ein echter Hotspot werden soll, sollte auch sein eigenes Netz bekommen. Das Capsman-Interface wird ja per Datapath dynamisch deiner SubBridge als Port hinzugefügt und ist damit automatisch in der Hotspot-Layer2 Domain und die User die auf dieses WLAN verbinden werden dann zur Authentifizierung automatisch per Firewall-NAT-Redirection auf das Captive-Portal umgeleitet.Ich habe auf meiner HauptBridge alle VLANs intern, die sich sehen dürfen gelegt. Nebenbei habe ich eine SubBridge auf der das WLAN terminiert wird, um es von dem restlichen Traffic erstmal abgetrennt zu haben. Der CAPsMan lauscht überall nach seinen Signalen.
Nun mal ein paar Fragen dazu. Konfiguration habt Ihr unten, falls Ihr da noch etwas an Infos zu meinen Ausführungen braucht.
Ich denke wohl, wenn es um das WLAN geht, dass ich in meinem Fall den Hotpot auf die "SubBridge" legen muss. Korrekt?
Ich denke auch, wenn ich den Hotspot anlege, muss ich wohl an meinen CAPsMAN Configurations.Sets etwas anpassen. Bisher war dort ja WPA2-PSK drinnen. Ich muss dann sicherlich auch WPA2-EAP wechseln, oder?
Ein Hotspot ist normalerweise generell unverschlüsselt, denn wie sonst sollte sich jemand damit verbinden wenn ihm der WPA Schlüssel fehlt den er ja als Gast nicht kennt. D.h. der Client verbindet sich direkt mit dem unverschlüsselten Hotspot und erst dann werden dessen Anfragen auf das Captive-Portal umgeleitet wo sich dieser je nach Hotspot mit Usernamen/Password-Eingaben in ein Formular (das die Daten seinerseits an einen Radius senden kann) authentifiziert oder wie in meinem Beispiel per MAC automatisch freigeschaltet wird.Eine echte WPA2-Enterprise Auth per WLAN bekommst du beim Mikrotik nur über einen externen Radius Server hin (oder wenn dein MK es supported per METARouter-Instanz), da der Mikrotik wie gesagt das nicht supportet.
Das waren die ersten Sachen, die mir etwas komisch vorkamen bzw. wo ich mir nicht sicher war, ob ich da schon den großen Fehler einbaue.
Wohl ein grundsätzliches Verständnisproblem, unterschied WPA bzw. Captive-Portal.#Ferner gibt man ihm ja einen Adress-Pool mit. Benötige ich den DHCP auf den VLAN40, was mein VLAN für das WLAN ist, überhaupt noch? Oder behackt sich das vlld. sogar, wenn der Hotspot und der DHCP-Server denselben Pool verwenden?
Hier hast du mehrere Möglichkeiten. Entweder du gibst dort einen Adress-Pool an dann brauchst du keinen DHCP-Server mehr in der Bridge, da der Hotspot die IP-Zuweisung übernimmt, oder du lässt das Feld leer und lässt das deinen DHCP-Server in der Bridge übernehmen. Wenn du beides aktiv hast, also Pool in den Hotspot-Settings und einen aktiven DHCP, geht das auch, nur wirst du dann in der Hotspot-Clientübersicht feststellen das jeder Hotspot-Client zwei IP-Adressen zugewiesen bekommt (Pool und DHCP-Server). In die Quere kommen sich beide Einstellungen aber nicht, nur das du alles doppelt hast (nicht so schön und verbraucht ja doppelt so viele Adressen wie nötig).Vielleicht könnt Ihr mir noch ein wenig, mich an das Thema anzunähern. Bisher schien es mir nach den Erläuterungen doch gar nicht so schwer, aber der Teufel steckt mal wieder im Detail, wie es scheint
Gerne kann ich dir anbieten dir mal live so eine Config anzusehen (Teamviewer), habe ich hier im Setup laufen. Kurze PN mit Terminabstimmung reicht.Grüße Uwe
Zitat von @Niffchen:
OK, ich bin jetzt nicht der Verschlüsselungsprofi, aber bedeutet das dann nicht, dass danach der komplette WLAN-Verkehr unverschlüsselt übertragen wird? Ich merke es gibt echt noch viel zu lernen ... wie war das mit "Man lernt nie aus"
Rischtisch der WLAN Verkehr schon, die Clientverbindungen ins Web nicht unbedingt. So wie an jedem öffentlichen Hotspot in der Welt auch sollte man die Client-Verbindungen immer schützen WPA schützt nicht vor allem.OK, ich bin jetzt nicht der Verschlüsselungsprofi, aber bedeutet das dann nicht, dass danach der komplette WLAN-Verkehr unverschlüsselt übertragen wird? Ich merke es gibt echt noch viel zu lernen ... wie war das mit "Man lernt nie aus"
Das wäre dann die Kombination Radius-Client auf dem MK und dann auf dem Raspi z. Bsp. den Radius-Server?
Jepp.Was auch immer jetzt eine METARouter Instanz ist ... immer diese Fremdworte ... Ich sage nur Lernkurve!
Das ist eine virtuelle Maschine auf dem Mikrotik in der z.B. in einem OpenWRT ein Freeradius laufen könnte, das unterstützen aber nur eine begrenzte Zahl an Mikrotik-Devices.Beispiel was sich mit sowas alles realisieren lässt
Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen
Zitat von @Niffchen:
Grob übersetzt bedeutet das ja, dass ich beim Wechsel WPA2-PSK auf den Hotspot hinsichtlich WLAN-Sicherheit nicht unbedingt gewinne.
Ja, es ist ein Hotspot, wie der Name schon sagt hauptsächlich für Gäste & Co gedacht. Natürlich kannst du auch den Hotspot per WPA schützen musst dann aber den Usern den WPA Schlüssel mitteilen wenn oder eben einen externen Radius verwenden und dem User Benutzername und Kennwort mitteilen.Grob übersetzt bedeutet das ja, dass ich beim Wechsel WPA2-PSK auf den Hotspot hinsichtlich WLAN-Sicherheit nicht unbedingt gewinne.
Die Authentifizierung ist zumindest fernab von dem allgemeinen Passwort, dafür verliere ich die Verschlüsselung des WLAN-Verkehrs. Habe ich das richtig verstanden?
Ja, wenn du mit dem "allgemeinen Passwort" den PSK meinst. Es sind zwei paar Schuhe, die WPA Auth ist eine Methode ein Netzwerk zu schützen. Ein unverschlüsseltes WLAN ohne WPA aber mit Captive Portal lässt erst mal jeden mit dem Netz verbinden aber der User kann sich erst mit anderen Netzen verbinden wenn er sich über das Captive-Portal legitimiert hat, denn dieses NATet alle Verbindungsanfragen im ersten Schritt auf das CP damit sich der User im Formular legitimiert. Alles was in diesem unverschlüsselten Netz passiert kann jeder aus dem Äther im Klartext mitlesen, aber nur solange der Client z.B. seine Mailverbindung nicht auch verschlüsselt, dann sieht der andere auch nur Datenmüll.Was meinst Du mit der Clientverbindung ins Web? Und was meinst Du damit, dass sie nicht unbedingt unverschlüsselt ist?
Mailclient-Verbindung, Web-Anfragen (http,https). usw....Es kommt halt primär darauf an was für eine Art Netz und für wen du es aufsetzen willst. Daran passt man seine Strategie an.
Ein Gastnetz hat andere Anforderungen als ein Verwaltungsnetz.
dafür verliere ich die Verschlüsselung des WLAN-Verkehrs.
Das ist aus bekannten Gründen generell immer so bei Gast- oder öffentlichen Hotspots. Wie der Kollege @colinardo oben schon richtig sagt macht es ja sehr wenig Sinn auf so einem Hotsport ein statisches WPA Passwort zu vergeben.Das hätte zur Folge das du jedem Gast oder öffentlichen Nutzer dann dieses Passwort verraten musst. Dann kannst du am Eingangstor gleich ein großes Poster aufhängen mit der Inschrift: "Das WLAN Passwort hier lautet xyz !".
Wie sinnfrei und komplett nutzlos sowas dann ist, leuchtet dir sicher auch selber ein. Man kann es also auch gleich bleiben lassen, denn spätestens 2 Tage später kennt das Passwort die ganze Welt wenn du es nicht stündlich manuell änderst...
Deshalb sind Gast- oder öffentlichen Hotspots immer offen und es gilt dort grundsätzlich:
Für die Sicherheit ist der Client SELBER verantwortlich !!! Nutzt man sowas sollte man sich dessen immer bewusst sein und logischerweise niemals Sicherheits relevante Anwendungen ausführen (Banking) usw. Am sinnvollsten ist dann ein VPN zu nutzen an solch öffentlichen WLANs.
Das sagt einem aber auch schon der gesunde Menschenverstand und gehört zum Thema Eigenverantwortung. Muss man sicher hier nicht noch weiter kommentieren.
Soviel zum technischen Aspekt.
Der Hostspot bzw. das Captive Portal fragt den User ab, zeigt ihm eine Login Webseite mit ggf. rechtlichen Hinweisen und gibt ihm zeitlich limitierten Zugang zum WLAN je nach Authentisierungsdaten die dann entweder lokal oder per Radius verifiziert werden.
Auch wenn das Recht bei öffentlichen WLANs in Bezug auf Urheber Rechtsverletzungen etwas gelockert wurde:
https://www.heise.de/newsticker/meldung/BGH-urteilt-zur-Haftung-fuer-off ...
entbindet es einen Betreiber NICHT vom Tracking der Benutzer und vom rechtlichen Nachweis wer wann das Netz genutzt hat. Denn werden Straftaten über dieses Hotspot WLAN begangen ist man als Anschlussinhaber rechtlich zur Herausgabe dieser Daten an Strafverfolgungsbehörden verpflichtet wenn man keine gerichtliche Sperrverfügung riskieren will.
Komplett rechtlicher Freiraum sind offene WLANs also weiterhin keineswegs !!!
Mittlerweile gibt es zum Thread Thema ein komplettes Tutorial wo alle Konfig ToDos umfassend erklärt werden:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik