gelöst Mikrotik mAP2 als WLAN Client

Mitglied: Phill93

Phill93 (Level 1) - Jetzt verbinden

16.11.2020 um 15:08 Uhr, 391 Aufrufe, 15 Kommentare

Hallo,

ich möchte ein Gerät ohne WLAN Funktion aber mit LAN Schnittstelle über einen Miktotik mAP2 mit unserem Campus WLAN verbinden.

Nur hab ich jetzt das Problem das der mAP sich nicht am Campus WLAN Authentifizieren kann.

Das WLAN verwendet EAP-TTLS mit PAP.

Die folgenden Einstellungen hab ich auf dem mAP gemacht:

https://administrator.de/images/c/1/6/58c0f051e86a08d7570db64115181dc8.j ...

Was hab ich falsch gemacht?
bildschirmfoto 2020-11-16 um 15.06.54 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Printe
16.11.2020, aktualisiert um 17:20 Uhr
Das WLAN verwendet EAP-TTLS mit PAP.
Was hab ich falsch gemacht?
Wieso setzt du dann die EAP-Methode auf "PEAP" und nicht auf EAP-TTLS?? Das sind zwei verschiedene paar Schuhe ...
screenshot - Klicke auf das Bild, um es zu vergrößern
Ein eingeschaltetes Debug Protokoll im System Log für die wireless topics hilft auch ungemein und du siehst schwarz auf weiß warum du keine Verbindung bekommst.
Bitte warten ..
Mitglied: aqui
16.11.2020, aktualisiert um 17:33 Uhr
Erstmal hast du im Groben alles richtig gemacht.
Die Frage ist warum der authentisierende Radius Server den Zugriff des mAP2 auf das WLAN verweigert ?? Genau deshalb wäre ein Log Auszug des Radius Server sehr hilfreich für eine zielführende Hilfe. Leider hast du versäumt den und auch das Mikrotik Log hier zu posten
Im Log wird ganz sicher genau protokolliert sein warum der Radius Server den Zugriff ablehnt.
Mal blind geraten wird es vermutlich das Mac Adress Format XX:XX:XX:XX:XX:XX sein sofern ihr in eurem WLAN auf Mac Adressen authentisiert. Da wird der Radius sicher ein anderes Format ohne Doppelpunkte erwarten oder die Mikrotik Mac ist ohne Doppelpunkte dort registriert worden.
Wie gesagt nur ins Blaue geraten, da all diese Information wie Radius und Mikrotik Log leider fehlen...
Guckst du dazu auch hier:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...
Bitte warten ..
Mitglied: Phill93
16.11.2020 um 18:15 Uhr
Hallo,

das Log vom Radius Server kann ich nicht liefern da ich diesen nicht betreue. Ich bin nur Nutzer des WLANs, die Zuständige Abteilung sagte sie sieht keine Authentifizierungsversuche von dem Gerät.

Wir authentifizieren mit Username Passwort die Mac sollte egal sein. Peap hab ich nur mal Testweise drin gehabt.

Gruß

Phill93
Bitte warten ..
Mitglied: Printe
16.11.2020, aktualisiert um 21:02 Uhr
die Zuständige Abteilung sagte sie sieht keine Authentifizierungsversuche von dem Gerät.
Hast du denn den Mode überhaupt auf "Station" gesetzt?
Bitte warten ..
Mitglied: Phill93
17.11.2020 um 09:13 Uhr
Ja der Mode steht auf Station
Bitte warten ..
Mitglied: Phill93
17.11.2020 um 09:18 Uhr
Hier mal noch ein Auszug aus dem Mikrotik Log mit Debug Infos

Bitte warten ..
Mitglied: Printe
17.11.2020, aktualisiert um 09:50 Uhr
lost connection, 802.1x authentication failed
Der Mikrotik kann als Client mit EAP-TTLS nur MSCHAPv2 kein PAP, überhaupt ein Wunder warum man an einer UNI noch das vollkommen veraltetete PAP einsetzt. Mit der Verbindung wird das also nichts, denn der Radius der UNI macht wohl zwingend PAP und kein MSCHAPv2.
Bitte warten ..
Mitglied: aqui
LÖSUNG 17.11.2020, aktualisiert um 15:59 Uhr
sagte sie sieht keine Authentifizierungsversuche von dem Gerät.
Mmmhhh das kann eigentlich nicht sein.

Ein kurzer Test brachte aber Interessantes zutage. Der Mikrotik WLAN Client verhält sich als WLAN EAP Client scheinbar genau so wie auch als 802.1x Supplicant. Sprich er will zwingend seine Mac Adresse zuerst authentisieren und erst danach authentisiert er PEAP mit MSChapv2.
Man kann das sehr gut am Debug Output des Radius Servers sehen. Die Mac Adresse 6C:3B:6B:1F:9E:92 ist die des Mikrotik WLAN Ports diese wird zuerst authentisiert (Debug Trace 0) und erst danach dann die 802.1x WLAN Username/Passwort Kombination (Debug Trace 1):
Daraus folgt das du dem Radius Admin zwingend auch deine WLAN Port Mac Adresse zusenden muss die der Admin ebenfalls als User Adresse in den Radius eintragen muss. Hier im Beispiel 6C3B:6B1F:9E92. Das dazugehörige Passwort ist gleich.
Da im EduRoam auch FreeRadius zum Einsatz kommt ist der Trace also realistisch.
Passt man das so im Radius an funktioniert das absolut fehlerlos.

Die entsprechende Mikrotik WLAN Client Security Konfig sieht dann so aus:
mteapclient - Klicke auf das Bild, um es zu vergrößern
Wichtig hier das die Identity und der MSChap Username gleich sein muss. Der MT Client fragt diese sonst alle einzeln beim Radius ab und stimmt nur einer nicht scheitert die Authentisierung des Mikrotik im Client Mode im WLAN.

Das WLAN Interface im Station Mode dann entsprechend:
wlaneapcli - Klicke auf das Bild, um es zu vergrößern
Fazit:
Works as designed !
Bitte warten ..
Mitglied: Phill93
17.11.2020 um 17:23 Uhr
Hallo,

hab jetzt alles so eingestellt bis auf den Radio Name, den gibt es bei mir nicht.
Komme immer noch nicht ins Netz

Gruß

Phill93
Bitte warten ..
Mitglied: Phill93
17.11.2020 um 17:25 Uhr
Korrigiere habs gefunden. (Advanced Mode)
Geh immer noch nicht
Bitte warten ..
Mitglied: Printe
17.11.2020, aktualisiert um 17:32 Uhr
Geh immer noch nicht
Hast du wohl überlesen
Daraus folgt das du dem Radius Admin zwingend auch deine WLAN Port Mac Adresse zusenden muss die der Admin ebenfalls als User Adresse in den Radius eintragen muss
Bitte warten ..
Mitglied: Phill93
17.11.2020 um 17:35 Uhr
Hab mein Fehler gefunden man sollte noch EAP accounting einschalten
Bitte warten ..
Mitglied: Phill93
17.11.2020 um 17:43 Uhr
Hallo Printe,

wir haben keine Mac Authentifizierung im WLAN nur Username Passwort. Deshalb kann ich dem WLAN Admin auch keine Mac mitteilen.

Jetzt bekomme ich zumindest eine Verbindung dafür aber einen 802.1x Timeout nach ca 30 Sekunden:

Gruß

Phill93
Bitte warten ..
Mitglied: Printe
17.11.2020, aktualisiert um 17:55 Uhr
Zitat von Phill93:
wir haben keine Mac Authentifizierung im WLAN nur Username Passwort. Deshalb kann ich dem WLAN Admin auch keine Mac mitteilen.
Schon klar, trotzdem den Hinweis lesen dann erkennst du wie der Mikrotik bei seiner Auth vorgeht.

Und wie schon gesagt MSCHAPv2 ist nicht gleich PAP !! Wenn also der Radius an der UNI nur PAP und kein MSCHAPv2 in seinem Radius Profil aktiviert hat dann wird das niemals klappen, deswegen siehst du auch den Timeout.
lost connection, 802.1x authentication timeout
Bitte warten ..
Mitglied: aqui
17.11.2020 um 18:15 Uhr
Komme immer noch nicht ins Netz
Kein Wunder !
Oben steht doch ganz groß das du dem Radius Admin auch deine Mac des Mikrotik geben muss sonst authentisdiert der nicht. Nur der Username reicht nicht.
Thread richtig lesen hilft !
Bitte warten ..
Heiß diskutierte Inhalte
Peripheriegeräte
Suchen Outdoor Wandler von LWL auf Cat 7 Kabel
pavelruFragePeripheriegeräte13 Kommentare

Hallo Zusammen, wir suchen einen Outdoor Konverter welcher von einem kommenden LWL Kabel auf CAT 7 Lan Kabel weiter ...

Netzwerkgrundlagen
Verständnisfrage zu Switchen in einem Netzwerk
kaloschkeFrageNetzwerkgrundlagen13 Kommentare

Hallo, nur interessehalber: Ich habe in meinem Heimnetzwerk einen Smarthomecontroller (Innogy) an einem Switch und einen Raspberry Pi mit ...

Festplatten, SSD, Raid
Synology NAS SHR auflösen
chkdskFrageFestplatten, SSD, Raid12 Kommentare

Mahlzeit zusammen, ich hab schon ein bisschen recherchiert, allerdings keine "aktuelle" Information gefunden. Kurz zu meinem Problem: Ich habe ...

Benchmarks
M.2 SSD und RAM zu langsam
MarkowitschFrageBenchmarks12 Kommentare

Hallo zusammen, ich habe mir folgenden PC zusammengestellt : MB: ASUS - ROG Strix Z490-E Gaming Mainboard (90MB12P0-M0EAY0) CPU: ...

Batch & Shell
Script zum festellen welche datein noch ganz sind
ricardobohnerFrageBatch & Shell10 Kommentare

Hallo Leute, Ich hab da ne frage: Kann man per script feststellen ob eine Datein noch 100% ist? Zum ...

Batch & Shell
Prozess beenden welcher eine bestimmte Datei verwendet
gelöst Ralus67FrageBatch & Shell10 Kommentare

Hallo Community Ich bin auf der Suche nach einer Lösung um einen bestimmten Prozess zu löschen, welcher von einer ...

Ähnliche Inhalte
MikroTik RouterOS
MikroTik als Gast-WLAN-Client
gelöst Alex29FrageMikroTik RouterOS23 Kommentare

Hallo zusammen, ich benötige mal wieder Eure Hilfe. Ziel ist es einen MikroTik-Router (HAP-AC2) an einem beliebigen Gastnetzwerk zu ...

Netzwerkmanagement

Mikrotik CAPMAN WLAN Client authentification

SpartacusFrageNetzwerkmanagement7 Kommentare

Hallo, ich möchte den CAPSMAN so konfigurieren, dass er den WLAN Endgeräten, abhängig von seiner MAC, ein bestimmtes VLAN ...

LAN, WAN, Wireless

Mikrotik Mesh WLAN

coltseaversFrageLAN, WAN, Wireless2 Kommentare

Hallo zusammen, ich möchte einen kleinen Saal mit WLAN ausleuchten undzwar mit Hilfe von zwei Mikrotik-Routern als AccessPoints. Ich ...

MikroTik RouterOS

Mikrotik als VPN Client

gelöst roeggiFrageMikroTik RouterOS6 Kommentare

Hallo Zusammen ich versuche vergens eine VPN Verbindung zwischen einer Mikrotik und einer Ubiquiti USG herzustellen. Die Idee ist ...

LAN, WAN, Wireless

Mikrotik WLAN - Best practice?

AndroxinFrageLAN, WAN, Wireless10 Kommentare

Hallo zusammen, ich habe diverse Mikrotik Geräte (RB951G-2HnD (6.38.1), RB951G-2HnD (6.38.5), 4x RBwAPG-5HacT2Hnd (6.38.1), CRS109-8G-1S-2HnD (6.35.4)) im Einsatz und ...

LAN, WAN, Wireless

WLAN von MikroTik Router instabil

gelöst AndroxinFrageLAN, WAN, Wireless5 Kommentare

Moin, moin. ich habe hier einen RB951G-2HnD Router und benötige ein wenig Unterstützung bei der Einrichtung des WLANs. Es ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud