WLAN mit User-Authentifizierung + User-Zertifikat, RouterOS
Hallo in die Runde,
ich wollte einmal nachfragen, ob man auf einem MikroTik-Router mit RouterOS v7 ein WLAN-Netz einrichten kann,
an das man sich mit Benutzername + Passwort anmelden muss und zusätzlich noch ein gerätespezifisches Zertifikat "vorzeigen" muss, um sich zu authentifizieren.
Sprich, jedes Gerät soll ein eigenes Zertifikat ausgestellt bekommen, das dann später für die Authentifizierung am WLAN (zusätzlich zur Benutzerauthentifizierung) genutzt werden soll.
Kann man Obiges mit dem "User Manager" von "RouterOS" (v7) umsetzen?
Ein Artikel oder Video, wo die Konfiguration gezeigt wird, wäre sehr hilfreich.
Freue mich auf Eure Rückmeldungen.
Besten Dank vorab.
Datax
ich wollte einmal nachfragen, ob man auf einem MikroTik-Router mit RouterOS v7 ein WLAN-Netz einrichten kann,
an das man sich mit Benutzername + Passwort anmelden muss und zusätzlich noch ein gerätespezifisches Zertifikat "vorzeigen" muss, um sich zu authentifizieren.
Sprich, jedes Gerät soll ein eigenes Zertifikat ausgestellt bekommen, das dann später für die Authentifizierung am WLAN (zusätzlich zur Benutzerauthentifizierung) genutzt werden soll.
Kann man Obiges mit dem "User Manager" von "RouterOS" (v7) umsetzen?
Ein Artikel oder Video, wo die Konfiguration gezeigt wird, wäre sehr hilfreich.
Freue mich auf Eure Rückmeldungen.
Besten Dank vorab.
Datax
Please also mark the comments that contributed to the solution of the article
Content-ID: 7959299521
Url: https://administrator.de/contentid/7959299521
Printed on: October 10, 2024 at 05:10 o'clock
2 Comments
Latest comment
Moin.
Nein, beides kombiniert ist nicht möglich, einzeln aber auf jeden Fall. Entweder du nutzt (P)EAP-MSCHAPv2 mit Username und Passwort oder (P)EAP-TLS für die Auth via User-Zertifikat.
Bei PEAP-TLS kannst den Zugriff auf den private Key des Zertifikates am Client zusätzlich aber so absichern das der User die Nutzung mit seinem Passwort oder Biometrie bestätigen muss, dazu muss man nur die erweiterte Sicherheit auf den privaten Schlüssel beim Import des Zertifikates aktiveren, dann fordert der Client immer eine zus. Auth beim Zugriff auf den Schlüssel an.
Das kommt dann aber auf den Client an.
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server
Hier die Zusammenfassung für die nötigen Schritte für EAP-TLS mit Zertifikaten für Wireless-Clients mittels Usermanager auf dem Mikrotik:
Gruß siddius
Nein, beides kombiniert ist nicht möglich, einzeln aber auf jeden Fall. Entweder du nutzt (P)EAP-MSCHAPv2 mit Username und Passwort oder (P)EAP-TLS für die Auth via User-Zertifikat.
Bei PEAP-TLS kannst den Zugriff auf den private Key des Zertifikates am Client zusätzlich aber so absichern das der User die Nutzung mit seinem Passwort oder Biometrie bestätigen muss, dazu muss man nur die erweiterte Sicherheit auf den privaten Schlüssel beim Import des Zertifikates aktiveren, dann fordert der Client immer eine zus. Auth beim Zugriff auf den Schlüssel an.
Das kommt dann aber auf den Client an.
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server
Hier die Zusammenfassung für die nötigen Schritte für EAP-TLS mit Zertifikaten für Wireless-Clients mittels Usermanager auf dem Mikrotik:
# ========= Zertifikate erstellen ===============
# CA cert
/certificate add name=WIRELESS-CA common-name=WIRELESS-CA days-valid=7300 trusted=yes country=DE
/certificate sign WIRELESS-CA
# Server cert
/certificate add common-name=RADIUS-SERVER days-valid=3000 country=DE key-usage=tls-server,tls-client,digital-signature,key-encipherment
/certificate sign RADIUS-SERVER ca=WIRELESS-CA
# user cert
/certificate add common-name=WIRELESS-CLIENT1 days-valid=730 country=DE key-usage=tls-client,digital-signature,key-encipherment
/certificate sign WIRELESS-CLIENT1 ca=WIRELESS-CA
# ========= Zertifikate exportieren ===============
# CA-Zertifikat exportieren
/certificate export-certificate WIRELESS-CA
# User-Zertifikat exportieren
/certificate export-certificate WIRELESS-CLIENT1 export-passphrase=Passw0rd type=pkcs12
# Die Zertifikate nun vom Router auf den Client kopieren
# ========= Wifi security profile erstellen ===============
/interface wireless security-profiles add name=eap-tls-profile authentication-types=wpa2-eap mode=dynamic-keys group-ciphers=aes-ccm unicast-c
iphers=aes-ccm eap-methods=passthrough
# Das Security-Profil muss dann dem Wireless-Interface zugewiesen werden.
# ========= Radius-Client erstellen ===============
/radius add address=127.0.0.1 secret=GEHEIM service=wireless src-address=127.0.0.1 timeout=2s
# ========= Usermanager einrichten ===============
/user-manager set certificate=RADIUS-SERVER enabled=yes
/user-manager router add address=127.0.0.1 name=local-router shared-secret=GEHEIM
/user-manager user group add name=GROUP-EAP-TLS outer-auths=eap-tls
/user-manager user add name=WIRELESS-CLIENT1 group=GROUP-EAP-TLS
# ========= Am Client ===============
# Die Zertifikate nun am Client importieren und das WLAN-Profil mit EAP-TLS erstellen und das importierte Zertfikat auswählen.
Gruß siddius