15
Mikrotik mAP2 als WLAN Client
Hallo,
ich möchte ein Gerät ohne WLAN Funktion aber mit LAN Schnittstelle über einen Miktotik mAP2 mit unserem Campus WLAN verbinden.
Nur hab ich jetzt das Problem das der mAP sich nicht am Campus WLAN Authentifizieren kann.
Das WLAN verwendet EAP-TTLS mit PAP.
Die folgenden Einstellungen hab ich auf dem mAP gemacht:
Was hab ich falsch gemacht?
ich möchte ein Gerät ohne WLAN Funktion aber mit LAN Schnittstelle über einen Miktotik mAP2 mit unserem Campus WLAN verbinden.
Nur hab ich jetzt das Problem das der mAP sich nicht am Campus WLAN Authentifizieren kann.
Das WLAN verwendet EAP-TTLS mit PAP.
Die folgenden Einstellungen hab ich auf dem mAP gemacht:
Was hab ich falsch gemacht?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 622983
Url: https://administrator.de/contentid/622983
Printed on: April 19, 2024 at 02:04 o'clock
15 Comments
Latest comment
Das WLAN verwendet EAP-TTLS mit PAP.
Was hab ich falsch gemacht?
Wieso setzt du dann die EAP-Methode auf "PEAP" und nicht auf EAP-TTLS?? Das sind zwei verschiedene paar Schuhe ...Was hab ich falsch gemacht?
Erstmal hast du im Groben alles richtig gemacht.
Die Frage ist warum der authentisierende Radius Server den Zugriff des mAP2 auf das WLAN verweigert ?? Genau deshalb wäre ein Log Auszug des Radius Server sehr hilfreich für eine zielführende Hilfe. Leider hast du versäumt den und auch das Mikrotik Log hier zu posten
Im Log wird ganz sicher genau protokolliert sein warum der Radius Server den Zugriff ablehnt.
Mal blind geraten wird es vermutlich das Mac Adress Format XX:XX:XX:XX:XX:XX sein sofern ihr in eurem WLAN auf Mac Adressen authentisiert. Da wird der Radius sicher ein anderes Format ohne Doppelpunkte erwarten oder die Mikrotik Mac ist ohne Doppelpunkte dort registriert worden.
Wie gesagt nur ins Blaue geraten, da all diese Information wie Radius und Mikrotik Log leider fehlen...
Guckst du dazu auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Die Frage ist warum der authentisierende Radius Server den Zugriff des mAP2 auf das WLAN verweigert ?? Genau deshalb wäre ein Log Auszug des Radius Server sehr hilfreich für eine zielführende Hilfe. Leider hast du versäumt den und auch das Mikrotik Log hier zu posten
Im Log wird ganz sicher genau protokolliert sein warum der Radius Server den Zugriff ablehnt.
Mal blind geraten wird es vermutlich das Mac Adress Format XX:XX:XX:XX:XX:XX sein sofern ihr in eurem WLAN auf Mac Adressen authentisiert. Da wird der Radius sicher ein anderes Format ohne Doppelpunkte erwarten oder die Mikrotik Mac ist ohne Doppelpunkte dort registriert worden.
Wie gesagt nur ins Blaue geraten, da all diese Information wie Radius und Mikrotik Log leider fehlen...
Guckst du dazu auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Hallo,
das Log vom Radius Server kann ich nicht liefern da ich diesen nicht betreue. Ich bin nur Nutzer des WLANs, die Zuständige Abteilung sagte sie sieht keine Authentifizierungsversuche von dem Gerät.
Wir authentifizieren mit Username Passwort die Mac sollte egal sein. Peap hab ich nur mal Testweise drin gehabt.
Gruß
Phill93
das Log vom Radius Server kann ich nicht liefern da ich diesen nicht betreue. Ich bin nur Nutzer des WLANs, die Zuständige Abteilung sagte sie sieht keine Authentifizierungsversuche von dem Gerät.
Wir authentifizieren mit Username Passwort die Mac sollte egal sein. Peap hab ich nur mal Testweise drin gehabt.
Gruß
Phill93
die Zuständige Abteilung sagte sie sieht keine Authentifizierungsversuche von dem Gerät.
Hast du denn den Mode überhaupt auf "Station" gesetzt?
Ja der Mode steht auf Station
Hier mal noch ein Auszug aus dem Mikrotik Log mit Debug Infos
15:25:34 wireless,info 34:FC:B9:F8:D2:47@wlan1 established connection on 2452000, SSID KIT
15:25:36 wireless,info 34:FC:B9:F8:D2:47@wlan1: lost connection, 802.1x authentication failed
15:25:40 wireless,debug wlan1: must select network
15:25:40 wireless,debug 34:FC:B9:F8:BF:27: on 2412 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:BF:20: on 2412 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:BF:21: on 2412 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:BF:22: on 2412 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D3:00: on 2432 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D3:07: on 2432 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D3:02: on 2432 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:40: on 2452 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:41: on 2452 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:42: on 2452 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:47: on 2452 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:7A:C7: on 2472 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:7A:C2: on 2472 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:7A:C0: on 2472 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:7A:C1: on 2472 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D3:01: on 2432 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:76:27: on 2432 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:76:21: on 2432 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:E0: on 2452 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:E1: on 2452 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:76:20: on 2432 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug F0:5C:19:9A:76:22: on 2432 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:E7: on 2452 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug 34:FC:B9:F8:D2:E2: on 2452 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:40 wireless,debug wlan1: no network that satisfies connect-list, by default choose with strongest signal
15:25:40 wireless,info 34:FC:B9:F8:D2:47@wlan1 established connection on 2452000, SSID KIT
15:25:41 wireless,info 34:FC:B9:F8:D2:47@wlan1: lost connection, 802.1x authentication failed
15:25:44 wireless,debug wlan1: must select network
15:25:44 wireless,debug 34:FC:B9:F8:BF:27: on 2412 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:BF:20: on 2412 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:BF:21: on 2412 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:BF:22: on 2412 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D3:00: on 2432 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D3:07: on 2432 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D3:02: on 2432 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:40: on 2452 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:41: on 2452 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:42: on 2452 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:47: on 2452 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:7A:C7: on 2472 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:7A:C2: on 2472 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:7A:C0: on 2472 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:7A:C1: on 2472 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D3:01: on 2432 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:76:27: on 2432 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:76:21: on 2432 AP: yes SSID KA-WLAN caps 0x521 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:E0: on 2452 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:76:20: on 2432 AP: yes SSID KA-sWLAN caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug F0:5C:19:9A:76:22: on 2432 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-23 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:E7: on 2452 AP: yes SSID KIT caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug 34:FC:B9:F8:D2:E2: on 2452 AP: yes SSID eduroam caps 0x531 rates 0xOFDM:12-54 BW:1x SGI:1x HT:0-15 basic 0xOFDM:12-54 MT: no
15:25:44 wireless,debug wlan1: no network that satisfies connect-list, by default choose with strongest signal
15:25:45 wireless,info 34:FC:B9:F8:D2:47@wlan1 established connection on 2452000, SSID KIT
15:25:46 wireless,info 34:FC:B9:F8:D2:47@wlan1: lost connection, 802.1x authentication failedlost connection, 802.1x authentication failed
Der Mikrotik kann als Client mit EAP-TTLS nur MSCHAPv2 kein PAP, überhaupt ein Wunder warum man an einer UNI noch das vollkommen veraltetete PAP einsetzt. Mit der Verbindung wird das also nichts, denn der Radius der UNI macht wohl zwingend PAP und kein MSCHAPv2.sagte sie sieht keine Authentifizierungsversuche von dem Gerät.
Mmmhhh das kann eigentlich nicht sein.Ein kurzer Test brachte aber Interessantes zutage. Der Mikrotik WLAN Client verhält sich als WLAN EAP Client scheinbar genau so wie auch als 802.1x Supplicant. Sprich er will zwingend seine Mac Adresse zuerst authentisieren und erst danach authentisiert er PEAP mit MSChapv2.
Man kann das sehr gut am Debug Output des Radius Servers sehen. Die Mac Adresse 6C:3B:6B:1F:9E:92 ist die des Mikrotik WLAN Ports diese wird zuerst authentisiert (Debug Trace 0) und erst danach dann die 802.1x WLAN Username/Passwort Kombination (Debug Trace 1):
Ready to process requests
(0) Received Access-Request Id 8 from 192.168.88.1:58164 to 192.168.88.148:1812 length 154
(0) Service-Type = Framed-User
(0) NAS-Port-Id = "AccessPoint"
(0) NAS-Port-Type = Wireless-802.11
(0) User-Name = "6C3B:6B1F:9E92"
(0) User-Password = "6C3B:6B1F:9E92"
(0) Calling-Station-Id = "00-1D-2E-01-0A-0B"
(0) Called-Station-Id = "00-1D-2E-01-0A-0B:TestWLAN"
(0) NAS-Identifier = "Ruckus_R320"
(0) NAS-IP-Address = 192.168.88.100
(0) Sent Access-Accept Id 8 from 192.168.88.148:1812 to 192.168.88.100:58164 length 0
(0) Finished request
(1) Received Access-Request Id 18 from 192.168.88.1:35799 to 192.168.88.148:1812 length 253
(1) Service-Type = Framed-User
(1) Framed-MTU = 1400
(1) User-Name = "testing"
(1) State = 0xdbeebcf4d3e7a59603afc632821875d3
(1) NAS-Port-Id = "AccessPoint"
(1) NAS-Port-Type = Wireless-802.11
(1) Calling-Station-Id = "6C-3B-6B-1F-9E-92"
(1) Called-Station-Id = "00-1D-2E-01-0A-0B:TestWLAN"
(1) Sent Access-Accept Id 18 from 192.168.88.148:1812 to 192.168.88.1:35799 length 0
(1) User-Name = "testing"
(1) MS-MPPE-Recv-Key = 0x61a04de7ff51c15f697abb242e93e0704ec54caff16dc837668809c3efebe594
(1) MS-MPPE-Send-Key = 0x30484a56e1bb51755db33257b0910bfb73b5e1b125963f3cb03f1aa5919721f0
(1) EAP-Message = 0x03090004 Da im EduRoam auch FreeRadius zum Einsatz kommt ist der Trace also realistisch.
Passt man das so im Radius an funktioniert das absolut fehlerlos.
Die entsprechende Mikrotik WLAN Client Security Konfig sieht dann so aus:
Das WLAN Interface im Station Mode dann entsprechend:
Works as designed !
Hallo,
hab jetzt alles so eingestellt bis auf den Radio Name, den gibt es bei mir nicht.
Komme immer noch nicht ins Netz
Gruß
Phill93
hab jetzt alles so eingestellt bis auf den Radio Name, den gibt es bei mir nicht.
Komme immer noch nicht ins Netz
Gruß
Phill93
Korrigiere habs gefunden. (Advanced Mode)
Geh immer noch nicht
Geh immer noch nicht
Geh immer noch nicht
Hast du wohl überlesenDaraus folgt das du dem Radius Admin zwingend auch deine WLAN Port Mac Adresse zusenden muss die der Admin ebenfalls als User Adresse in den Radius eintragen muss
Hab mein Fehler gefunden man sollte noch EAP accounting einschalten
Hallo Printe,
wir haben keine Mac Authentifizierung im WLAN nur Username Passwort. Deshalb kann ich dem WLAN Admin auch keine Mac mitteilen.
Jetzt bekomme ich zumindest eine Verbindung dafür aber einen 802.1x Timeout nach ca 30 Sekunden:
Gruß
Phill93
wir haben keine Mac Authentifizierung im WLAN nur Username Passwort. Deshalb kann ich dem WLAN Admin auch keine Mac mitteilen.
Jetzt bekomme ich zumindest eine Verbindung dafür aber einen 802.1x Timeout nach ca 30 Sekunden:
23:49:30 wireless,info 34:FC:B9:F8:D2:47@wlan1 established connection on 2452000, SSID KIT
23:50:00 wireless,debug wlan1: start background scan
23:50:01 wireless,info 34:FC:B9:F8:D2:47@wlan1: lost connection, 802.1x authentication timeoutGruß
Phill93
Zitat von @Phill93:
wir haben keine Mac Authentifizierung im WLAN nur Username Passwort. Deshalb kann ich dem WLAN Admin auch keine Mac mitteilen.
Schon klar, trotzdem den Hinweis lesen dann erkennst du wie der Mikrotik bei seiner Auth vorgeht.wir haben keine Mac Authentifizierung im WLAN nur Username Passwort. Deshalb kann ich dem WLAN Admin auch keine Mac mitteilen.
Und wie schon gesagt MSCHAPv2 ist nicht gleich PAP !! Wenn also der Radius an der UNI nur PAP und kein MSCHAPv2 in seinem Radius Profil aktiviert hat dann wird das niemals klappen, deswegen siehst du auch den Timeout.
lost connection, 802.1x authentication timeout
Komme immer noch nicht ins Netz
Kein Wunder !Oben steht doch ganz groß das du dem Radius Admin auch deine Mac des Mikrotik geben muss sonst authentisdiert der nicht. Nur der Username reicht nicht.
Thread richtig lesen hilft !
