niffchen
Goto Top

Mikrotik hEX CAPsMAN + Radius + User-Manager - Authentifizierung für WLAN funktioniert nicht

Hallo,

so langsam wage ich mich in neue Dimensionen vor und bin prompt wieder auf Probleme gestoßen.
Ich wollte für mein WLAN eine Username/Passwort Authentifizierung vorschalten. Der Gedanke war dafür das Zusatz-Package "User-Manager" als Radius-Server zu nutzen. Parallel habe ich die Funktion "IP - Radius" als Radius-Client aktiviert. Alles wurde auf dem hEX installiert/aktiviert, welcher auch der CAPsMAN ist. Folgendes habe ich damit alles angestellt:

Den User-Manager habe ich nach Manual installiert. Der Adminuser hat ein neues Passwort erhalten. Dann habe ich ein Profil ohne Limitierungen angelegt. Danach habe ich User angelegt, welche dieses Profil bekommen haben. Wenn die User gespeichert werden, sehe ich auch wie der Countdown bis zum Ablauf des Zugriffs heruntergezählt wird. Ich habe mich an "normalen" Usern versucht. Also ein richtiger Usernamen mit einem Passwort. Dann habe ich auch User mit den MAC-Adressen der Interfaces einiger Endgeräte hinterlegt, mal mit und mal ohne dediziertes Passwort. Das habe ich gemacht, weil ich meinte verstanden zu haben, dass der CAPsMAN über die Funktion "CAPsMAN - AAA" die MAC als Authentifizierungsmerkmal in Form des Usernamens oder auch als Passwort übergeben kann.
Danach habe ich noch unter "Router" meinen CAPsMAN hinterlegt, auf dem alle Komponenten installiert sind. Ich habe als IP die 127.0.0.1 (testweise auch 192.168.x.y, welches die IP der MainBridge dieses hEX ist) angegeben und ein Secret vergeben.

Danach habe ich den Radius-Client aktiviert. Ich habe ihm gesagt, dass er sich an den Server unter 127.0.0.1 wenden soll. Ein anderer Versuch war mit der IP der Bridge auf dem hEX, worauf Client und Server installiert sind - 192.168.x.y. Danach habe ich das Secret hinterlegt, welches ich zuvor im User-Manager für den Router vergeben habe. Alles wurde gespeichert.

Nun musste ich noch die CAPsMAN Konfigurationen anpassen. Dazu habe ich auf Authentication WPA2-PSK umgestellt. Dann habe ich es auch mit EAP method "passthrough" und encryption aes-ccm sowie group encryption aes-ccm versucht. Ich habe auch mit "CAPsMAN - AAA" experimentiert "as usernamen" sowie "as usernamen and password" ausprobiert. Auch eine Access Rule mit "action=query-radius" habe ich ausprobiert.
Leider klappt die Authentifizierung nie. Weder mit normalem User und zugehörigen Passwort, noch mit den MAC- Adrssen. Ich bekomme die Meldungen, dass entweder Usernamen und Passwort falsch sind oder dass keine Verbindung hergestellt werden kann.

Bin ich von den grundlegendem Umgebungen, welche Komponenetn da mitspielen, aif dem richtigen Wege oder habe ich da die Unktionen der akonponenten falsch verstanden? Könnt ihr mir Hinweise geben worauf ich achten sollte, damit ich eine Chance habe das ganze ans laufen zu bekommen?

Ich bin für jeden Hinweis dankbar.

Gruß,
Jens

Content-Key: 383188

Url: https://administrator.de/contentid/383188

Printed on: September 29, 2023 at 12:09 o'clock

Member: aqui
aqui Aug 12, 2018 updated at 16:33:43 (UTC)
Goto Top
Ich wollte für mein WLAN eine Username/Passwort Authentifizierung vorschalten.
Wie denn ??
Mit einem Captivel Portal oder einer Nutzer Authentisierung nach 802.1x ? Hier bist du leider sehr oberflächlich. Der MT kann ja beides ?
Hast du den Radius mal mit einem entsprechenden Test Tool wie NTRadping getestet:
https://www.novell.com/coolsolutions/tools/14377.html
Antwortet hier der Radius wie er soll ?
Es ist fraglich ob der MT Loopback Adressen supportet. Besser ist es den Radius an eine wirkliche IP z.B. die des Management Netzes zu binden.
Wichtig ist erstmal den Radius genau zu testen das er sicher funktioniert und Client Anfragen dort auc h ankommen, ansonsten stocherst du weiter im Trüben.
Weitere Infos dazu auch hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
...sofern du denn mit 802.1x arbeitest.
Oder hier, wenn es ein Captive Portal ist:
https://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...
Member: colinardo
colinardo Aug 12, 2018 updated at 18:27:55 (UTC)
Goto Top
Servus,
Das kannst du so direkt knicken mit dem Usermanager, denn der Usermanager versteht kein (P)EAP für WPA2-Enterprise. Es ist eben kein vollwertiger Radius-Ersatz mit allen Spezialitäten. Nimm das Captive-Portal des MK mit diesem klappt das Zusammenspiel auch mit dem Usermanager, auch mit MAC Auth wenn einem das reicht.
Wie das dafür geht habe ich hier auch schon mal in einem Beitrag geschrieben.

Oder alternativ eben einen vollwertigen Freeradius ins Netz packen.

Grüße Uwe
Member: Niffchen
Niffchen Aug 13, 2018 at 08:52:12 (UTC)
Goto Top
Moin ihr beiden,

danke schon mal für die Rückmeldungen!
Ich stelle fest, dass ich wohl ein wenig von falschen Voraussetzungen ausgegangen bin. Ich hatte eben kein Portal, also den Hotspot, dafür genutzt. Leider ging für mich aus keiner der Dokumentationen hervor, welches der kleinen Helferlein wofür überhaupt benötigt wird oder was man damit nicht machen kann. Ich hatte auch schon einiges zu dem Portal von Mikrotik gelesen, aber nie wirklich verstanden wann ich das brauche und wann nicht. Des wegen meine etwas hilflose Frage.
Aber ich werde mir all Eure Links mal jetzt ganz in Ruhe zu Gemüte führen.

Eigentlich will ich nicht unnötig Software auf meine Raspi packen, sondern lieber Mikrotik out-of-the-box nutzen. Somit tendiere ich am Ende mehr zum Portal. Leider ist mir noch nicht ganz klar wo die sicherheitstechnischen bzw. funktionalen Unterschiede zum Radius-Server sind.
Habt Ihr da noch sachdienliche Hinweise oder Lektüre? Dann würde ich mich da auch gleich durcharbeiten wollen.

Schon mal vielen Dank für Eure Mühe!
Member: aqui
aqui Aug 13, 2018 updated at 09:17:46 (UTC)
Goto Top
Ein Captive Portal ist sowas wie eine "Zwangs Webseite". Sowas kann man sowohl auf einem LAN als auch einem WLAN aktivieren.
Ein Client in diesem Netzsegment der einen Internet Browser (Firefox, Chrome, Safari etc.) öffnet bekommt dann durch den Switch/Router automatisch eine Webseite zu Gesicht die Benutzer Zugangsdaten abfragt.
Das kann dann wieder eine User Passwort Kombination sein, ein Einmal Passwort (Voucher) usw.
Hat er sich damit authentisiert wir der Zugang in andere Netze (Internet usw.) freigeschaltet. Entweder komplett oder Zeit limitiert.
Quasi also ein Hotspot wie man es von Hotels, Cafes, Kneipen, Flughafen, Bahnhof usw. kennt.
Das Captive Portal kann dann diese Userdaten wieder gegen einen Radius Server prüfen oder eben über eine lokale Datenbank.

Im Gegensatz zum Captive Portal erfordert die 802.1x basierte User Authentisierung einen entsprechenden 802.1x Client auf den Endgeräten der aktiviert sein muss. Im WLAN nennt man sowas gelegentlich auch WPA Enterprise.
Auch hier kann die Abfrage der User Daten entweder lokal geschehen oder via Radius.
Allerdings gibt es hier Inkonsistenten wie der Kollege colinardo oben zu Recht schon angesprochen hat die man kennen muss um nicht Schiffbruch zu erleiden.

Sicherheitstechnisch gibt es keinen Unterschied. Funktional schon, da eben unterschiedliche Verfahren, einmal via HTTP Browser und einmal eben direkt mit einem .1x Client am Endgeräte Netzwerk Interface im Hintergrund.
Vielleicht helfen die hiesigen Tutorials zu beiden Themenkomplexen dir zusätzlich etwas Licht in dein Dunkel zu bringen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Member: Niffchen
Niffchen Aug 13, 2018 at 09:26:10 (UTC)
Goto Top
Klasse, danke Dir!
Das hat schon wieder ein bisschen Licht ins Dunkel gebracht. Jetzt habe ich definitiv mal ein bisschen Lesestoff für heute Abend face-smile
Member: Niffchen
Niffchen Aug 13, 2018 at 20:53:26 (UTC)
Goto Top
Hallo ihr beiden,

also ich habe mich mal an den Hotspot gemacht, aber irgendwie bekomme ich das nicht so simpel hin. Er verlangt von mir immer Username und Passwort, sprich irgendetwas muss da noch im argen sein.

Ich habe auf meiner HauptBridge alle VLANs intern, die sich sehen dürfen gelegt. Nebenbei habe ich eine SubBridge auf der das WLAN terminiert wird, um es von dem restlichen Traffic erstmal abgetrennt zu haben. Der CAPsMan lauscht überall nach seinen Signalen.
Nun mal ein paar Fragen dazu. Konfiguration habt Ihr unten, falls Ihr da noch etwas an Infos zu meinen Ausführungen braucht.

Ich denke wohl, wenn es um das WLAN geht, dass ich in meinem Fall den Hotpot auf die "SubBridge" legen muss. Korrekt?
Ich denke auch, wenn ich den Hotspot anlege, muss ich wohl an meinen CAPsMAN Configurations.Sets etwas anpassen. Bisher war dort ja WPA2-PSK drinnen. Ich muss dann sicherlich auch WPA2-EAP wechseln, oder? Das waren die ersten Sachen, die mir etwas komisch vorkamen bzw. wo ich mir nicht sicher war, ob ich da schon den großen Fehler einbaue.#Ferner gibt man ihm ja einen Adress-Pool mit. Benötige ich den DHCP auf den VLAN40, was mein VLAN für das WLAN ist, überhaupt noch? Oder behackt sich das vlld. sogar, wenn der Hotspot und der DHCP-Server denselben Pool verwenden?
Vielleicht könnt Ihr mir noch ein wenig, mich an das Thema anzunähern. Bisher schien es mir nach den Erläuterungen doch gar nicht so schwer, aber der Teufel steckt mal wieder im Detail, wie es scheint face-wink

Anbei mal meine Config vom CAPsMAN:

# aug/02/2018 21:58:23 by RouterOS 6.42.6
# software id = G7JR-VZNY
#
# model = 960PGS
# serial number = 89F908AE5EB1
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=XX frequency=\
    2412,2427 name="2GHz Auswahlliste"  
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX \
    frequency=5180,5260,5280,5300,5320 name="5GHz Auswahlliste"  
add frequency=2472 name=3
add frequency=5180 name=36
add frequency=5200 name=40
add frequency=5220 name=44
add frequency=5240 name=48
add frequency=5260 name=52
add frequency=5280 name=56
add frequency=5300 name=60
add frequency=5320 name=64
add frequency=5500 name=100
add frequency=5520 name=104
add frequency=5540 name=108
add frequency=5560 name=112
add frequency=5580 name=116
add frequency=5600 name=120
add frequency=5620 name=124
add frequency=5600 name=128
add frequency=5660 name=132
add frequency=5680 name=136
add frequency=5700 name=140
/interface bridge
add admin-mac=CC:2D:E0:68:3D:3E auto-mac=no comment=defconf name=MainBridge \
    pvid=5 vlan-filtering=yes
add fast-forward=no name=SubBridge
/interface ethernet
set [ find default-name=ether2 ] poe-out=off
set [ find default-name=sfp1 ] disabled=yes
/interface vlan
add interface=MainBridge name=VLAN5 vlan-id=5
add interface=MainBridge name=VLAN40 vlan-id=40
add interface=MainBridge name=VLAN110 vlan-id=110
add interface=MainBridge name=VLAN120 vlan-id=120
add interface=MainBridge name=VLAN130 vlan-id=130
add interface=MainBridge name=VLAN140 vlan-id=140
add interface=MainBridge name=VLAN150 vlan-id=150
add interface=MainBridge name=VLAN160 vlan-id=160
add interface=MainBridge name=VLAN170 vlan-id=170
/caps-man datapath
add bridge=SubBridge client-to-client-forwarding=yes l2mtu=1500 \
    local-forwarding=no name=datapathSubBridgeWlan
/caps-man configuration
add channel.band=5ghz-n/ac channel.extension-channel=XX channel.frequency=\
    5260 channel.skip-dfs-channels=yes country=germany datapath=\
    datapathSubBridgeWlan datapath.client-to-client-forwarding=no name=\
    Config5GHz_Woodroot_Wohnzimmer rx-chains=0,1,2 \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-key-update=2h security.passphrase=passphrase ssid=Woodroot5 \
    tx-chains=0,1,2
add channel.band=2ghz-g/n channel.extension-channel=XX channel.frequency=2412 \
    channel.skip-dfs-channels=yes country=germany datapath=\
    datapathSubBridgeWlan datapath.client-to-client-forwarding=no name=\
    Config2GHz_Woodroot_Outdoor rx-chains=0,1,2 \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-key-update=2h security.passphrase=passphrase ssid=Woodroot \
    tx-chains=0,1,2
add channel.band=2ghz-g/n channel.extension-channel=XX channel.frequency=2472 \
    channel.skip-dfs-channels=yes country=germany datapath=\
    datapathSubBridgeWlan datapath.client-to-client-forwarding=no name=\
    Config2GHz_Woodroot_Wohnzimmer rx-chains=0,1,2 \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-key-update=2h security.passphrase=passphrase ssid=Woodroot \
    tx-chains=0,1,2
add channel.band=2ghz-g/n channel.control-channel-width=10mhz \
    channel.extension-channel=XX channel.frequency=2427 \
    channel.skip-dfs-channels=yes country=germany datapath=\
    datapathSubBridgeWlan datapath.client-to-client-forwarding=no name=\
    Config2GHz_Woodroot_Balkonzimmer rx-chains=0,1,2 \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-key-update=2h security.passphrase=passphrase ssid=Woodroot \
    tx-chains=0,1,2
add channel.band=5ghz-n/ac channel.extension-channel=XX channel.frequency=\
    5520 channel.skip-dfs-channels=yes country=germany datapath=\
    datapathSubBridgeWlan datapath.client-to-client-forwarding=no name=\
    Config5GHz_Woodroot_Balkonzimmer rx-chains=0,1,2 \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-key-update=2h security.passphrase=passphrase ssid=Woodroot5 \
    tx-chains=0,1,2
add channel.band=5ghz-n/ac channel.extension-channel=XX channel.frequency=\
    5320 channel.skip-dfs-channels=yes country=germany datapath=\
    datapathSubBridgeWlan datapath.client-to-client-forwarding=no name=\
    Config5GHz_Woodroot_Outdoor rx-chains=0,1,2 \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-key-update=2h security.passphrase=passphrase ssid=Woodroot5 \
    tx-chains=0,2
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=192.168.110.150-192.168.110.200
add name=dhcp_pool2 ranges=192.168.120.150-192.168.120.200
add name=dhcp_pool3 ranges=192.168.130.150-192.168.130.200
add name=dhcp_pool4 ranges=192.168.140.150-192.168.140.200
add name=dhcp_pool5 ranges=192.168.150.150-192.168.150.200
add name=dhcp_pool6 ranges=192.168.160.150-192.168.160.200
add name=dhcp_pool7 ranges=192.168.170.150-192.168.170.200
add name=dhcp_pool8 ranges=192.168.40.150-192.168.40.200
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=VLAN110 name=dhcp1
add address-pool=dhcp_pool2 disabled=no interface=VLAN120 name=dhcp2
add address-pool=dhcp_pool3 disabled=no interface=VLAN130 name=dhcp3
add address-pool=dhcp_pool4 disabled=no interface=VLAN140 name=dhcp4
add address-pool=dhcp_pool5 disabled=no interface=VLAN150 name=dhcp5
add address-pool=dhcp_pool6 disabled=no interface=VLAN160 name=dhcp6
add address-pool=dhcp_pool7 disabled=no interface=VLAN170 name=dhcp7
add address-pool=dhcp_pool8 disabled=no interface=SubBridge lease-time=23h59m \
    name=dhcp8
/caps-man access-list
add action=accept allow-signal-out-of-range=1s disabled=no interface=any \
    signal-range=-85..120 ssid-regexp="" time=\  
    0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=reject allow-signal-out-of-range=10s disabled=no interface=any \
    signal-range=-120..-86 ssid-regexp="" time=\  
    0s-1d,sun,mon,tue,wed,thu,fri,sat
/caps-man manager
set enabled=yes
/caps-man manager interface
add
add interface=VLAN40
add forbid=yes interface=MainBridge
add interface=SubBridge
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn identity-regexp=\
    MikroTik-AP-Wohnzimmer master-configuration=\
    Config2GHz_Woodroot_Wohnzimmer
add action=create-dynamic-enabled hw-supported-modes=gn identity-regexp=\
    MikroTik-AP-Outdoor master-configuration=Config2GHz_Woodroot_Outdoor
add action=create-dynamic-enabled hw-supported-modes=gn identity-regexp=\
    MikroTik-Balkonzimmer master-configuration=\
    Config2GHz_Woodroot_Balkonzimmer
add action=create-dynamic-enabled hw-supported-modes=ac identity-regexp=\
    MikroTik-AP-Wohnzimmer master-configuration=\
    Config5GHz_Woodroot_Wohnzimmer
add action=create-dynamic-enabled hw-supported-modes=ac identity-regexp=\
    MikroTik-Balkonzimmer master-configuration=\
    Config5GHz_Woodroot_Balkonzimmer
add action=create-dynamic-enabled hw-supported-modes=ac identity-regexp=\
    MikroTik-AP-Outdoor master-configuration=Config5GHz_Woodroot_Outdoor
/interface bridge port
add bridge=MainBridge comment=defconf interface=ether2 pvid=5
add bridge=MainBridge comment=defconf hw=no interface=ether3
add bridge=MainBridge comment=defconf interface=ether5
add bridge=MainBridge comment=defconf hw=no interface=sfp1 pvid=5
add bridge=SubBridge interface=VLAN40 pvid=40
add bridge=MainBridge interface=ether4
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=MainBridge tagged=MainBridge,ether2,ether5,ether3,ether4 vlan-ids=\
    40
add bridge=MainBridge tagged=ether2,MainBridge vlan-ids=110
add bridge=MainBridge tagged=ether2,MainBridge vlan-ids=120
add bridge=MainBridge tagged=ether2,MainBridge vlan-ids=130
add bridge=MainBridge tagged=ether2,MainBridge vlan-ids=140
add bridge=MainBridge tagged=ether2,MainBridge vlan-ids=150
add bridge=MainBridge tagged=ether2,MainBridge vlan-ids=160
add bridge=MainBridge tagged=ether2,MainBridge vlan-ids=170
add bridge=MainBridge tagged=ether2,ether5,ether3,ether4 vlan-ids=5
/interface list member
add comment=defconf interface=MainBridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=ether4 list=LAN
add interface=VLAN110 list=LAN
add interface=VLAN120 list=LAN
add interface=VLAN130 list=LAN
add interface=VLAN140 list=LAN
add interface=VLAN150 list=LAN
add interface=VLAN160 list=LAN
add interface=VLAN170 list=LAN
add interface=VLAN5 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether5 list=LAN
add disabled=yes list=LAN
add disabled=yes list=LAN
add disabled=yes interface=SubBridge list=LAN
add interface=VLAN40 list=LAN
/ip address
add address=192.168.15.15/24 disabled=yes interface=ether4 network=\
    192.168.15.0
add address=192.168.40.1/24 disabled=yes interface=VLAN40 network=\
    192.168.40.0
add address=192.168.110.1/24 interface=VLAN110 network=192.168.110.0
add address=192.168.120.1/24 interface=VLAN120 network=192.168.120.0
add address=192.168.130.1/24 interface=VLAN130 network=192.168.130.0
add address=192.168.140.1/24 interface=VLAN140 network=192.168.140.0
add address=192.168.150.1/24 interface=VLAN150 network=192.168.150.0
add address=192.168.160.1/24 interface=VLAN160 network=192.168.160.0
add address=192.168.170.1/24 interface=VLAN170 network=192.168.170.0
add address=192.168.5.1/24 interface=MainBridge network=192.168.5.0
add address=192.168.40.1/24 interface=SubBridge network=192.168.40.0
add address=192.168.2.10/24 interface=ether1 network=192.168.2.0
add address=192.168.5.10/24 disabled=yes interface=VLAN5 network=192.168.5.0
/ip dhcp-server network
add address=192.168.40.0/24 dns-server=192.168.40.1,192.168.2.1 gateway=\
    192.168.40.1
add address=192.168.110.0/24 dns-server=192.168.110.1,192.168.2.1 gateway=\
    192.168.110.1
add address=192.168.120.0/24 dns-server=192.168.120.1,192.168.2.1 gateway=\
    192.168.120.1
add address=192.168.130.0/24 dns-server=192.168.130.1,192.168.2.1 gateway=\
    192.168.130.1
add address=192.168.140.0/24 dns-server=192.168.140.1,192.168.2.1 gateway=\
    192.168.140.1
add address=192.168.150.0/24 dns-server=192.168.150.1,192.168.2.1 gateway=\
    192.168.150.1
add address=192.168.160.0/24 dns-server=192.168.160.1,192.168.2.1 gateway=\
    192.168.160.1
add address=192.168.170.0/24 dns-server=192.168.170.1,192.168.2.1 gateway=\
    192.168.170.1
/ip dns
set allow-remote-requests=yes servers=192.168.2.1
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\  
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
add action=drop chain=input comment="defconf: drop all not coming from LAN" \  
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \  
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \  
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \  
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\  
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \  
    connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \  
    ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 gateway=192.168.2.1
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=MikroTik-Keller2
/system logging
add topics=wireless,debug
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Member: colinardo
colinardo Aug 14, 2018 updated at 10:18:13 (UTC)
Goto Top
Zitat von @Niffchen:
Ich habe auf meiner HauptBridge alle VLANs intern, die sich sehen dürfen gelegt. Nebenbei habe ich eine SubBridge auf der das WLAN terminiert wird, um es von dem restlichen Traffic erstmal abgetrennt zu haben. Der CAPsMan lauscht überall nach seinen Signalen.
Nun mal ein paar Fragen dazu. Konfiguration habt Ihr unten, falls Ihr da noch etwas an Infos zu meinen Ausführungen braucht.

Ich denke wohl, wenn es um das WLAN geht, dass ich in meinem Fall den Hotpot auf die "SubBridge" legen muss. Korrekt?
Richtig. Der Hotspot wenn es ja ein echter Hotspot werden soll, sollte auch sein eigenes Netz bekommen. Das Capsman-Interface wird ja per Datapath dynamisch deiner SubBridge als Port hinzugefügt und ist damit automatisch in der Hotspot-Layer2 Domain und die User die auf dieses WLAN verbinden werden dann zur Authentifizierung automatisch per Firewall-NAT-Redirection auf das Captive-Portal umgeleitet.
Ich denke auch, wenn ich den Hotspot anlege, muss ich wohl an meinen CAPsMAN Configurations.Sets etwas anpassen. Bisher war dort ja WPA2-PSK drinnen. Ich muss dann sicherlich auch WPA2-EAP wechseln, oder?
Ein Hotspot ist normalerweise generell unverschlüsselt, denn wie sonst sollte sich jemand damit verbinden wenn ihm der WPA Schlüssel fehlt den er ja als Gast nicht kennt. D.h. der Client verbindet sich direkt mit dem unverschlüsselten Hotspot und erst dann werden dessen Anfragen auf das Captive-Portal umgeleitet wo sich dieser je nach Hotspot mit Usernamen/Password-Eingaben in ein Formular (das die Daten seinerseits an einen Radius senden kann) authentifiziert oder wie in meinem Beispiel per MAC automatisch freigeschaltet wird.

Eine echte WPA2-Enterprise Auth per WLAN bekommst du beim Mikrotik nur über einen externen Radius Server hin (oder wenn dein MK es supported per METARouter-Instanz), da der Mikrotik wie gesagt das nicht supportet.

Das waren die ersten Sachen, die mir etwas komisch vorkamen bzw. wo ich mir nicht sicher war, ob ich da schon den großen Fehler einbaue.
Wohl ein grundsätzliches Verständnisproblem, unterschied WPA bzw. Captive-Portal.

#Ferner gibt man ihm ja einen Adress-Pool mit. Benötige ich den DHCP auf den VLAN40, was mein VLAN für das WLAN ist, überhaupt noch? Oder behackt sich das vlld. sogar, wenn der Hotspot und der DHCP-Server denselben Pool verwenden?
Hier hast du mehrere Möglichkeiten. Entweder du gibst dort einen Adress-Pool an dann brauchst du keinen DHCP-Server mehr in der Bridge, da der Hotspot die IP-Zuweisung übernimmt, oder du lässt das Feld leer und lässt das deinen DHCP-Server in der Bridge übernehmen. Wenn du beides aktiv hast, also Pool in den Hotspot-Settings und einen aktiven DHCP, geht das auch, nur wirst du dann in der Hotspot-Clientübersicht feststellen das jeder Hotspot-Client zwei IP-Adressen zugewiesen bekommt (Pool und DHCP-Server). In die Quere kommen sich beide Einstellungen aber nicht, nur das du alles doppelt hast (nicht so schön und verbraucht ja doppelt so viele Adressen wie nötig).

Vielleicht könnt Ihr mir noch ein wenig, mich an das Thema anzunähern. Bisher schien es mir nach den Erläuterungen doch gar nicht so schwer, aber der Teufel steckt mal wieder im Detail, wie es scheint face-wink
Gerne kann ich dir anbieten dir mal live so eine Config anzusehen (Teamviewer), habe ich hier im Setup laufen. Kurze PN mit Terminabstimmung reicht.

Grüße Uwe
Member: Niffchen
Niffchen Aug 14, 2018 at 13:03:41 (UTC)
Goto Top
Zitat von @colinardo:
Ein Hotspot ist normalerweise generell unverschlüsselt, denn wie sonst sollte sich jemand damit verbinden wenn ihm der WPA Schlüssel fehlt den er ja als Gast nicht kennt. D.h. der Client verbindet sich direkt mit dem unverschlüsselten Hotspot und erst dann werden dessen Anfragen auf das Captive-Portal umgeleitet wo sich dieser je nach Hotspot mit Usernamen/Password-Eingaben in ein Formular (das die Daten seinerseits an einen Radius senden kann) authentifiziert oder wie in meinem Beispiel per MAC automatisch freigeschaltet wird.

OK, ich bin jetzt nicht der Verschlüsselungsprofi, aber bedeutet das dann nicht, dass danach der komplette WLAN-Verkehr unverschlüsselt übertragen wird? Ich merke es gibt echt noch viel zu lernen ... wie war das mit "Man lernt nie aus" face-wink

Zitat von @colinardo:
Eine echte WPA2-Enterprise Auth per WLAN bekommst du beim Mikrotik nur über einen externen Radius Server hin (oder wenn dein MK es supported per METARouter-Instanz), da der Mikrotik wie gesagt das nicht supportet.

Das wäre dann die Kombination Radius-Client auf dem MK und dann auf dem Raspi z. Bsp. den Radius-Server?
Was auch immer jetzt eine METARouter Instanz ist ... immer diese Fremdworte ... Ich sage nur Lernkurve!
Member: colinardo
colinardo Aug 14, 2018 updated at 13:23:23 (UTC)
Goto Top
Zitat von @Niffchen:
OK, ich bin jetzt nicht der Verschlüsselungsprofi, aber bedeutet das dann nicht, dass danach der komplette WLAN-Verkehr unverschlüsselt übertragen wird? Ich merke es gibt echt noch viel zu lernen ... wie war das mit "Man lernt nie aus" face-wink
Rischtisch der WLAN Verkehr schon, die Clientverbindungen ins Web nicht unbedingt. So wie an jedem öffentlichen Hotspot in der Welt auch sollte man die Client-Verbindungen immer schützen WPA schützt nicht vor allem.

Zitat von @colinardo:
Das wäre dann die Kombination Radius-Client auf dem MK und dann auf dem Raspi z. Bsp. den Radius-Server?
Jepp.
Was auch immer jetzt eine METARouter Instanz ist ... immer diese Fremdworte ... Ich sage nur Lernkurve!
Das ist eine virtuelle Maschine auf dem Mikrotik in der z.B. in einem OpenWRT ein Freeradius laufen könnte, das unterstützen aber nur eine begrenzte Zahl an Mikrotik-Devices.
Beispiel was sich mit sowas alles realisieren lässt
Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen
Member: Niffchen
Niffchen Aug 14, 2018 updated at 16:04:36 (UTC)
Goto Top
Zitat von @colinardo:

Rischtisch der WLAN Verkehr schon, die Clientverbindungen ins Web nicht unbedingt. So wie an jedem öffentlichen Hotspot in der Welt auch sollte man die Client-Verbindungen immer schützen WPA schützt nicht vor allem.

Hm, so langsam verstehe ich nach und nach ein wenig mehr davon. Was mich jetzt aber nicht beruhigt.
Grob übersetzt bedeutet das ja, dass ich beim Wechsel WPA2-PSK auf den Hotspot hinsichtlich WLAN-Sicherheit nicht unbedingt gewinne. Die Authentifizierung ist zumindest fernab von dem allgemeinen Passwort, dafür verliere ich die Verschlüsselung des WLAN-Verkehrs. Habe ich das richtig verstanden?

Was meinst Du mit der Clientverbindung ins Web? Und was meinst Du damit, dass sie nicht unbedingt unverschlüsselt ist?
Member: colinardo
colinardo Aug 14, 2018 updated at 16:32:10 (UTC)
Goto Top
Zitat von @Niffchen:
Grob übersetzt bedeutet das ja, dass ich beim Wechsel WPA2-PSK auf den Hotspot hinsichtlich WLAN-Sicherheit nicht unbedingt gewinne.
Ja, es ist ein Hotspot, wie der Name schon sagt hauptsächlich für Gäste & Co gedacht. Natürlich kannst du auch den Hotspot per WPA schützen musst dann aber den Usern den WPA Schlüssel mitteilen wenn oder eben einen externen Radius verwenden und dem User Benutzername und Kennwort mitteilen.

Die Authentifizierung ist zumindest fernab von dem allgemeinen Passwort, dafür verliere ich die Verschlüsselung des WLAN-Verkehrs. Habe ich das richtig verstanden?
Ja, wenn du mit dem "allgemeinen Passwort" den PSK meinst. Es sind zwei paar Schuhe, die WPA Auth ist eine Methode ein Netzwerk zu schützen. Ein unverschlüsseltes WLAN ohne WPA aber mit Captive Portal lässt erst mal jeden mit dem Netz verbinden aber der User kann sich erst mit anderen Netzen verbinden wenn er sich über das Captive-Portal legitimiert hat, denn dieses NATet alle Verbindungsanfragen im ersten Schritt auf das CP damit sich der User im Formular legitimiert. Alles was in diesem unverschlüsselten Netz passiert kann jeder aus dem Äther im Klartext mitlesen, aber nur solange der Client z.B. seine Mailverbindung nicht auch verschlüsselt, dann sieht der andere auch nur Datenmüll.

Was meinst Du mit der Clientverbindung ins Web? Und was meinst Du damit, dass sie nicht unbedingt unverschlüsselt ist?
Mailclient-Verbindung, Web-Anfragen (http,https). usw....

Es kommt halt primär darauf an was für eine Art Netz und für wen du es aufsetzen willst. Daran passt man seine Strategie an.

Ein Gastnetz hat andere Anforderungen als ein Verwaltungsnetz.
Member: Niffchen
Niffchen Aug 14, 2018 at 17:50:17 (UTC)
Goto Top
Ich danke Dir für die schöne Differenzierung! Über einiges habe ich mir im Vorfeld gar keine Gedanken gemacht.
Im Moment wollte ich darüber unser Standard-WLAN absichern und noch kein Guest-WLAN. Wenn ich mir das aber genau überlege, komme ich dabei nicht um einen Radius-Server herum. Schade, weil es das ganze aufwändiger macht, aber gut dass ich jetzt realisiere.

Dann mache ich mich mal an die Verlinkungen bzgl Radius und gehe vermehrt in diese Richtung. Also bitte nicht wundern, wenn demnächst ganz andere Fragen von mir geäußert werden face-wink
Member: aqui
aqui Aug 16, 2018, updated at Nov 19, 2019 at 11:02:39 (UTC)
Goto Top
dafür verliere ich die Verschlüsselung des WLAN-Verkehrs.
Das ist aus bekannten Gründen generell immer so bei Gast- oder öffentlichen Hotspots. Wie der Kollege @colinardo oben schon richtig sagt macht es ja sehr wenig Sinn auf so einem Hotsport ein statisches WPA Passwort zu vergeben.
Das hätte zur Folge das du jedem Gast oder öffentlichen Nutzer dann dieses Passwort verraten musst. Dann kannst du am Eingangstor gleich ein großes Poster aufhängen mit der Inschrift: "Das WLAN Passwort hier lautet xyz !".
Wie sinnfrei und komplett nutzlos sowas dann ist, leuchtet dir sicher auch selber ein. Man kann es also auch gleich bleiben lassen, denn spätestens 2 Tage später kennt das Passwort die ganze Welt wenn du es nicht stündlich manuell änderst...
Deshalb sind Gast- oder öffentlichen Hotspots immer offen und es gilt dort grundsätzlich:
Für die Sicherheit ist der Client SELBER verantwortlich !!! Nutzt man sowas sollte man sich dessen immer bewusst sein und logischerweise niemals Sicherheits relevante Anwendungen ausführen (Banking) usw. Am sinnvollsten ist dann ein VPN zu nutzen an solch öffentlichen WLANs.
Das sagt einem aber auch schon der gesunde Menschenverstand und gehört zum Thema Eigenverantwortung. Muss man sicher hier nicht noch weiter kommentieren.
Soviel zum technischen Aspekt.

Der Hostspot bzw. das Captive Portal fragt den User ab, zeigt ihm eine Login Webseite mit ggf. rechtlichen Hinweisen und gibt ihm zeitlich limitierten Zugang zum WLAN je nach Authentisierungsdaten die dann entweder lokal oder per Radius verifiziert werden.
Auch wenn das Recht bei öffentlichen WLANs in Bezug auf Urheber Rechtsverletzungen etwas gelockert wurde:
https://www.heise.de/newsticker/meldung/BGH-urteilt-zur-Haftung-fuer-off ...
entbindet es einen Betreiber NICHT vom Tracking der Benutzer und vom rechtlichen Nachweis wer wann das Netz genutzt hat. Denn werden Straftaten über dieses Hotspot WLAN begangen ist man als Anschlussinhaber rechtlich zur Herausgabe dieser Daten an Strafverfolgungsbehörden verpflichtet wenn man keine gerichtliche Sperrverfügung riskieren will.
Komplett rechtlicher Freiraum sind offene WLANs also weiterhin keineswegs !!!

Mittlerweile gibt es zum Thread Thema ein komplettes Tutorial wo alle Konfig ToDos umfassend erklärt werden:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik