WPA(2)-Enterprise

[gurum]

Всем привет.
Хочу попробовать настроить WPA2-Enterprise на микротике - просто минимальный тестовый стенд для понимания, как оно вообще.
Из вариантов EAP предпочтительным вижу EAPoW TTLS-MSCHAPv2 по той причине, что не требуется сертификат пользователя, а ещё потому, что outer-tunnel (phase1), то есть шифрованный туннель TLS, строит сам микротик с клиентом wifi, а в RADIUS-сервер отправляется только inner-tunnel (phase2) запросы - собственно AUTH MSCHAPv2. Интересно вот, не ошибаюсь ли я с пониманием этого на этом этапе ?
Вот коротенько настройки микротика:
 

/interface wireless security-profiles
add authentication-types=wpa2-eap eap-methods=eap-ttls-mschapv2 mode=dynamic-keys name=enterprise radius-called-format=ssid radius-mac-authentication=yes supplicant-identity=hap555 tls-certificate=hap-eap tls-mode=dont-verify-certificate

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia4 disabled=no distance=indoors mode=ap-bridge security-profile=enterprise ssid=eap-e wps-mode=disabled

/radius
add address=192.168.99.1 authentication-port=1812 called-id=eap-e secret=hap-eapow service=wireless timeout=3s

Есть ещё сертификаты на микротике: самодельный CA а также сертификат с именем "hap-eap", подписанный CA и key-usage=digital-signature,key-encipherment,data-encipherment,key-agreement,tls-server - надеюсь, этих расширений x.509v3 достаточно для функционирования.
Настройка клиента wpa_supplicant, линукс:

passive_scan=0
country=RU
p2p_disabled=1
eapol_version=2
fast_reauth=0
device_name=o_client

network={
 ssid="eap-e"
 scan_ssid=1
 key_mgmt=WPA-EAP
 eap=TTLS
 identity="alice"
 anonymous_identity="anon-phase1"
 password="passme"
 phase2="auth=MSCHAPV2"
}

Дополнительно настроил на wlan0 на линуксе mon0 (monitor mode) интерфейс и захватываю там радиообмен; забегая вперёд скажу, что при попытке подключения не вижу никаких TLS сессий, сертификатов; получаю отлуп на стадии Association с точкой доступа (Status code: Association denied due to reason outside the scope of this standard (0x000c)).
При попытке подключиться к точке доступа, в логе RADIUS-сервера вижу такое:
(0)   Service-Type = Framed-User
(0)   NAS-Port-Id = "wlan1"
(0)   NAS-Port-Type = Wireless-802.11
(0)   User-Name = "F8:D1:11:12:E3:63"
(0)   Calling-Station-Id = "F8-D1-11-12-E3-63"
(0)   Called-Station-Id = "eap-e"
(0)   User-Password = "\354͛R\t\376\216\033e\355T^\353w\267\031"
(0)   NAS-Identifier = "hap_router"
(0)   NAS-IP-Address = 192.168.99.176
Что это ? На MSCHAPv2 не очень похоже, и имя пользователя в inner-tunnel (phase2) ненормальное какое-то: должно быть alice, а оно в виде MAC-адреса клиента; на начало EAP-сессии тоже не похоже, нет атрибута EAP-Message..

Что-то не едут лыжи. Где неправильно, подскажите, плз.
Спасибо.

 

[jffulcrum]

В 22.10.2021 в 14:17, gurum сказал:

имя пользователя в inner-tunnel (phase2) ненормальное какое-то: должно быть alice, а оно в виде MAC-адреса клиента

У вас прямо в конфиге: radius-mac-authentication=yes

 

В 22.10.2021 в 14:17, gurum сказал:

линукс

Если какая-нибудь Убунта из последних, то там отключены cipher suites, нужные для авторизации через Микротик. Проверить вроде как openssl ciphers -v . Варианты: включать старые шифры (с SHA1) или ждать релиза ROS 7.

 

 

[gurum]

В 26.10.2021 в 00:11, jffulcrum сказал:

У вас прямо в конфиге: radius-mac-authentication=yes

 

Если какая-нибудь Убунта из последних, то там отключены ecipher suits, нужные для авторизации через Микротик. Проверить вроде как openssl ciphers -v . Варианты: включать старые шифры (с SHA1) или ждать релиза ROS 7.

 

 

Спасибо, вот удачно про radius-mac-authentication=yes, не сообразил.

ОС - ArchLinux, но сейчас в WiFi канале до сертификатов и TLS всё равно не доходит дело.

И глядя в дамп WiFi понимаю, что не заводится EAP, но не догоняю, где искать. В логе микротика пусто (почти пусто, кроме общих фраз). Буду ещё пытаться понять, конечно. Если у вас будет возможность - посмотрите в дамп, там десяток пакетов, может, найдёте подсказку, буду благодарен.

Ещё раз спасибо.

connect.cap