datax87
Goto Top

WLAN mit User-Authentifizierung + User-Zertifikat, RouterOS

Hallo in die Runde,

ich wollte einmal nachfragen, ob man auf einem MikroTik-Router mit RouterOS v7 ein WLAN-Netz einrichten kann,
an das man sich mit Benutzername + Passwort anmelden muss und zusätzlich noch ein gerätespezifisches Zertifikat "vorzeigen" muss, um sich zu authentifizieren.

Sprich, jedes Gerät soll ein eigenes Zertifikat ausgestellt bekommen, das dann später für die Authentifizierung am WLAN (zusätzlich zur Benutzerauthentifizierung) genutzt werden soll.

Kann man Obiges mit dem "User Manager" von "RouterOS" (v7) umsetzen?
Ein Artikel oder Video, wo die Konfiguration gezeigt wird, wäre sehr hilfreich.

Freue mich auf Eure Rückmeldungen.

Besten Dank vorab.

Datax

Content-ID: 7959299521

Url: https://administrator.de/contentid/7959299521

Printed on: October 10, 2024 at 05:10 o'clock

7907292512
Solution 7907292512 Jul 27, 2023 updated at 08:02:38 (UTC)
Goto Top
Moin.
Nein, beides kombiniert ist nicht möglich, einzeln aber auf jeden Fall. Entweder du nutzt (P)EAP-MSCHAPv2 mit Username und Passwort oder (P)EAP-TLS für die Auth via User-Zertifikat.
Bei PEAP-TLS kannst den Zugriff auf den private Key des Zertifikates am Client zusätzlich aber so absichern das der User die Nutzung mit seinem Passwort oder Biometrie bestätigen muss, dazu muss man nur die erweiterte Sicherheit auf den privaten Schlüssel beim Import des Zertifikates aktiveren, dann fordert der Client immer eine zus. Auth beim Zugriff auf den Schlüssel an.
Das kommt dann aber auf den Client an.

Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server

Hier die Zusammenfassung für die nötigen Schritte für EAP-TLS mit Zertifikaten für Wireless-Clients mittels Usermanager auf dem Mikrotik:

# ========= Zertifikate erstellen ===============

# CA cert
/certificate add name=WIRELESS-CA common-name=WIRELESS-CA days-valid=7300 trusted=yes country=DE                 
/certificate sign WIRELESS-CA 

# Server cert
/certificate add common-name=RADIUS-SERVER days-valid=3000 country=DE key-usage=tls-server,tls-client,digital-signature,key-encipherment
/certificate sign RADIUS-SERVER ca=WIRELESS-CA

# user cert
/certificate add common-name=WIRELESS-CLIENT1 days-valid=730 country=DE key-usage=tls-client,digital-signature,key-encipherment
/certificate sign WIRELESS-CLIENT1  ca=WIRELESS-CA

# ========= Zertifikate exportieren ===============

# CA-Zertifikat exportieren
/certificate export-certificate WIRELESS-CA

# User-Zertifikat exportieren
/certificate export-certificate WIRELESS-CLIENT1 export-passphrase=Passw0rd type=pkcs12

# Die Zertifikate nun vom Router auf den Client kopieren

# ========= Wifi security profile erstellen ===============

/interface wireless security-profiles add name=eap-tls-profile  authentication-types=wpa2-eap mode=dynamic-keys group-ciphers=aes-ccm unicast-c
iphers=aes-ccm eap-methods=passthrough

# Das Security-Profil muss dann dem Wireless-Interface zugewiesen werden.

# ========= Radius-Client erstellen ===============

/radius add address=127.0.0.1 secret=GEHEIM service=wireless src-address=127.0.0.1 timeout=2s

# ========= Usermanager einrichten ===============

/user-manager set certificate=RADIUS-SERVER enabled=yes
/user-manager router add address=127.0.0.1 name=local-router shared-secret=GEHEIM
/user-manager user group add name=GROUP-EAP-TLS outer-auths=eap-tls
/user-manager user add name=WIRELESS-CLIENT1 group=GROUP-EAP-TLS


# ========= Am Client ===============

# Die Zertifikate nun am Client importieren und das WLAN-Profil mit EAP-TLS erstellen und das importierte Zertfikat auswählen.

Gruß siddius
Datax87
Datax87 Aug 06, 2023 at 16:42:30 (UTC)
Goto Top
@7907292512

Besten Dank für deine Informationen.

Dann komme ich zurecht. face-smile

Datax