phill93
Goto Top

Mikrotik mAP2 als WLAN Client

Hallo,

ich möchte ein Gerät ohne WLAN Funktion aber mit LAN Schnittstelle über einen Miktotik mAP2 mit unserem Campus WLAN verbinden.

Nur hab ich jetzt das Problem das der mAP sich nicht am Campus WLAN Authentifizieren kann.

Das WLAN verwendet EAP-TTLS mit PAP.

Die folgenden Einstellungen hab ich auf dem mAP gemacht:

bildschirmfoto 2020-11-16 um 15.06.54

Was hab ich falsch gemacht?

Content-ID: 622983

Url: https://administrator.de/forum/mikrotik-map2-als-wlan-client-622983.html

Ausgedruckt am: 27.12.2024 um 14:12 Uhr

Printe
Printe 16.11.2020 aktualisiert um 17:20:25 Uhr
Goto Top
Das WLAN verwendet EAP-TTLS mit PAP.
Was hab ich falsch gemacht?
Wieso setzt du dann die EAP-Methode auf "PEAP" und nicht auf EAP-TTLS?? Das sind zwei verschiedene paar Schuhe ...
screenshot
Ein eingeschaltetes Debug Protokoll im System Log für die wireless topics hilft auch ungemein und du siehst schwarz auf weiß warum du keine Verbindung bekommst.
aqui
aqui 16.11.2020 aktualisiert um 17:33:19 Uhr
Goto Top
Erstmal hast du im Groben alles richtig gemacht.
Die Frage ist warum der authentisierende Radius Server den Zugriff des mAP2 auf das WLAN verweigert ?? Genau deshalb wäre ein Log Auszug des Radius Server sehr hilfreich für eine zielführende Hilfe. Leider hast du versäumt den und auch das Mikrotik Log hier zu posten face-sad
Im Log wird ganz sicher genau protokolliert sein warum der Radius Server den Zugriff ablehnt.
Mal blind geraten wird es vermutlich das Mac Adress Format XX:XX:XX:XX:XX:XX sein sofern ihr in eurem WLAN auf Mac Adressen authentisiert. Da wird der Radius sicher ein anderes Format ohne Doppelpunkte erwarten oder die Mikrotik Mac ist ohne Doppelpunkte dort registriert worden.
Wie gesagt nur ins Blaue geraten, da all diese Information wie Radius und Mikrotik Log leider fehlen... face-sad
Guckst du dazu auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Phill93
Phill93 16.11.2020 um 18:15:35 Uhr
Goto Top
Hallo,

das Log vom Radius Server kann ich nicht liefern da ich diesen nicht betreue. Ich bin nur Nutzer des WLANs, die Zuständige Abteilung sagte sie sieht keine Authentifizierungsversuche von dem Gerät.

Wir authentifizieren mit Username Passwort die Mac sollte egal sein. Peap hab ich nur mal Testweise drin gehabt.

Gruß

Phill93
Printe
Printe 16.11.2020 aktualisiert um 21:02:35 Uhr
Goto Top
die Zuständige Abteilung sagte sie sieht keine Authentifizierungsversuche von dem Gerät.
Hast du denn den Mode überhaupt auf "Station" gesetzt?
Phill93
Phill93 17.11.2020 um 09:13:42 Uhr
Goto Top
Ja der Mode steht auf Station
Phill93
Phill93 17.11.2020 um 09:18:46 Uhr
Goto Top
Hier mal noch ein Auszug aus dem Mikrotik Log mit Debug Infos

15:25:34 wireless,info 34:FC:B9:F8:D2:47@wlan1 established connection on 2452000, SSID KIT
15:25:36 wireless,info 34:FC:B9:F8:D2:47@wlan1: lost connection, 802.1x authentication failed
15:25:40 wireless,debug wlan1: must select network
15:25:40 wireless,debug 34:FC:B9:F8:BF:27: on 2412 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:BF:20: on 2412 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:BF:21: on 2412 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:BF:22: on 2412 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D3:00: on 2432 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D3:07: on 2432 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D3:02: on 2432 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:40: on 2452 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:41: on 2452 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:42: on 2452 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:47: on 2452 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:7A:C7: on 2472 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:7A:C2: on 2472 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:7A:C0: on 2472 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:7A:C1: on 2472 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D3:01: on 2432 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:76:27: on 2432 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:76:21: on 2432 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:E0: on 2452 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:E1: on 2452 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:76:20: on 2432 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:76:22: on 2432 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:E7: on 2452 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:E2: on 2452 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug wlan1: no network that satisfies connect-list,  by default choose with strongest signal
15:25:40 wireless,info 34:FC:B9:F8:D2:47@wlan1 established connection on 2452000, SSID KIT
15:25:41 wireless,info 34:FC:B9:F8:D2:47@wlan1: lost connection, 802.1x authentication failed
15:25:44 wireless,debug wlan1: must select network
15:25:44 wireless,debug 34:FC:B9:F8:BF:27: on 2412 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:BF:20: on 2412 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:BF:21: on 2412 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:BF:22: on 2412 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D3:00: on 2432 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D3:07: on 2432 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D3:02: on 2432 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:40: on 2452 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:41: on 2452 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:42: on 2452 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:47: on 2452 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:7A:C7: on 2472 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:7A:C2: on 2472 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:7A:C0: on 2472 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:7A:C1: on 2472 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D3:01: on 2432 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:76:27: on 2432 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:76:21: on 2432 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:E0: on 2452 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:76:20: on 2432 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:76:22: on 2432 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:E7: on 2452 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:E2: on 2452 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug wlan1: no network that satisfies connect-list,  by default choose with strongest signal
15:25:45 wireless,info 34:FC:B9:F8:D2:47@wlan1 established connection on 2452000, SSID KIT
15:25:46 wireless,info 34:FC:B9:F8:D2:47@wlan1: lost connection, 802.1x authentication failed
Printe
Printe 17.11.2020 aktualisiert um 09:50:51 Uhr
Goto Top
lost connection, 802.1x authentication failed
Der Mikrotik kann als Client mit EAP-TTLS nur MSCHAPv2 kein PAP, überhaupt ein Wunder warum man an einer UNI noch das vollkommen veraltetete PAP einsetzt. Mit der Verbindung wird das also nichts, denn der Radius der UNI macht wohl zwingend PAP und kein MSCHAPv2.
aqui
Lösung aqui 17.11.2020 aktualisiert um 15:59:13 Uhr
Goto Top
sagte sie sieht keine Authentifizierungsversuche von dem Gerät.
Mmmhhh das kann eigentlich nicht sein.

Ein kurzer Test brachte aber Interessantes zutage. Der Mikrotik WLAN Client verhält sich als WLAN EAP Client scheinbar genau so wie auch als 802.1x Supplicant. Sprich er will zwingend seine Mac Adresse zuerst authentisieren und erst danach authentisiert er PEAP mit MSChapv2.
Man kann das sehr gut am Debug Output des Radius Servers sehen. Die Mac Adresse 6C:3B:6B:1F:9E:92 ist die des Mikrotik WLAN Ports diese wird zuerst authentisiert (Debug Trace 0) und erst danach dann die 802.1x WLAN Username/Passwort Kombination (Debug Trace 1):
Ready to process requests
(0) Received Access-Request Id 8 from 192.168.88.1:58164 to 192.168.88.148:1812 length 154
(0)   Service-Type = Framed-User
(0)   NAS-Port-Id = "AccessPoint"
(0)   NAS-Port-Type = Wireless-802.11
(0)   User-Name = "6C3B:6B1F:9E92"
(0)   User-Password = "6C3B:6B1F:9E92"
(0)   Calling-Station-Id = "00-1D-2E-01-0A-0B"
(0)   Called-Station-Id = "00-1D-2E-01-0A-0B:TestWLAN"
(0)   NAS-Identifier = "Ruckus_R320"
(0)   NAS-IP-Address = 192.168.88.100
(0) Sent Access-Accept Id 8 from 192.168.88.148:1812 to 192.168.88.100:58164 length 0
(0) Finished request

(1) Received Access-Request Id 18 from 192.168.88.1:35799 to 192.168.88.148:1812 length 253
(1)   Service-Type = Framed-User
(1)   Framed-MTU = 1400
(1)   User-Name = "testing"
(1)   State = 0xdbeebcf4d3e7a59603afc632821875d3
(1)   NAS-Port-Id = "AccessPoint"
(1)   NAS-Port-Type = Wireless-802.11
(1)   Calling-Station-Id = "6C-3B-6B-1F-9E-92"
(1)   Called-Station-Id = "00-1D-2E-01-0A-0B:TestWLAN"
(1) Sent Access-Accept Id 18 from 192.168.88.148:1812 to 192.168.88.1:35799 length 0
(1)   User-Name = "testing"
(1)   MS-MPPE-Recv-Key = 0x61a04de7ff51c15f697abb242e93e0704ec54caff16dc837668809c3efebe594
(1)   MS-MPPE-Send-Key = 0x30484a56e1bb51755db33257b0910bfb73b5e1b125963f3cb03f1aa5919721f0
(1)   EAP-Message = 0x03090004 
Daraus folgt das du dem Radius Admin zwingend auch deine WLAN Port Mac Adresse zusenden muss die der Admin ebenfalls als User Adresse in den Radius eintragen muss. Hier im Beispiel 6C3B:6B1F:9E92. Das dazugehörige Passwort ist gleich.
Da im EduRoam auch FreeRadius zum Einsatz kommt ist der Trace also realistisch.
Passt man das so im Radius an funktioniert das absolut fehlerlos.

Die entsprechende Mikrotik WLAN Client Security Konfig sieht dann so aus:
mteapclient
Wichtig hier das die Identity und der MSChap Username gleich sein muss. Der MT Client fragt diese sonst alle einzeln beim Radius ab und stimmt nur einer nicht scheitert die Authentisierung des Mikrotik im Client Mode im WLAN.

Das WLAN Interface im Station Mode dann entsprechend:
wlaneapcli
Fazit:
Works as designed ! face-wink
Phill93
Phill93 17.11.2020 um 17:23:48 Uhr
Goto Top
Hallo,

hab jetzt alles so eingestellt bis auf den Radio Name, den gibt es bei mir nicht.
Komme immer noch nicht ins Netz

Gruß

Phill93
Phill93
Phill93 17.11.2020 um 17:25:30 Uhr
Goto Top
Korrigiere habs gefunden. (Advanced Mode)
Geh immer noch nicht
Printe
Printe 17.11.2020 aktualisiert um 17:32:24 Uhr
Goto Top
Geh immer noch nicht
Hast du wohl überlesen
Daraus folgt das du dem Radius Admin zwingend auch deine WLAN Port Mac Adresse zusenden muss die der Admin ebenfalls als User Adresse in den Radius eintragen muss
Phill93
Phill93 17.11.2020 um 17:35:57 Uhr
Goto Top
Hab mein Fehler gefunden man sollte noch EAP accounting einschalten
Phill93
Phill93 17.11.2020 um 17:43:42 Uhr
Goto Top
Hallo Printe,

wir haben keine Mac Authentifizierung im WLAN nur Username Passwort. Deshalb kann ich dem WLAN Admin auch keine Mac mitteilen.

Jetzt bekomme ich zumindest eine Verbindung dafür aber einen 802.1x Timeout nach ca 30 Sekunden:

23:49:30 wireless,info 34:FC:B9:F8:D2:47@wlan1 established connection on 2452000, SSID KIT
23:50:00 wireless,debug wlan1: start background scan
23:50:01 wireless,info 34:FC:B9:F8:D2:47@wlan1: lost connection, 802.1x authentication timeout

Gruß

Phill93
Printe
Printe 17.11.2020 aktualisiert um 17:55:48 Uhr
Goto Top
Zitat von @Phill93:
wir haben keine Mac Authentifizierung im WLAN nur Username Passwort. Deshalb kann ich dem WLAN Admin auch keine Mac mitteilen.
Schon klar, trotzdem den Hinweis lesen dann erkennst du wie der Mikrotik bei seiner Auth vorgeht.

Und wie schon gesagt MSCHAPv2 ist nicht gleich PAP !! Wenn also der Radius an der UNI nur PAP und kein MSCHAPv2 in seinem Radius Profil aktiviert hat dann wird das niemals klappen, deswegen siehst du auch den Timeout.
lost connection, 802.1x authentication timeout
aqui
aqui 17.11.2020 um 18:15:36 Uhr
Goto Top
Komme immer noch nicht ins Netz
Kein Wunder !
Oben steht doch ganz groß das du dem Radius Admin auch deine Mac des Mikrotik geben muss sonst authentisdiert der nicht. Nur der Username reicht nicht.
Thread richtig lesen hilft ! face-wink