gurum Опубликовано 22 октября, 2021 · Жалоба Всем привет. Хочу попробовать настроить WPA2-Enterprise на микротике - просто минимальный тестовый стенд для понимания, как оно вообще. Из вариантов EAP предпочтительным вижу EAPoW TTLS-MSCHAPv2 по той причине, что не требуется сертификат пользователя, а ещё потому, что outer-tunnel (phase1), то есть шифрованный туннель TLS, строит сам микротик с клиентом wifi, а в RADIUS-сервер отправляется только inner-tunnel (phase2) запросы - собственно AUTH MSCHAPv2. Интересно вот, не ошибаюсь ли я с пониманием этого на этом этапе ? Вот коротенько настройки микротика: /interface wireless security-profiles add authentication-types=wpa2-eap eap-methods=eap-ttls-mschapv2 mode=dynamic-keys name=enterprise radius-called-format=ssid radius-mac-authentication=yes supplicant-identity=hap555 tls-certificate=hap-eap tls-mode=dont-verify-certificate /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia4 disabled=no distance=indoors mode=ap-bridge security-profile=enterprise ssid=eap-e wps-mode=disabled /radius add address=192.168.99.1 authentication-port=1812 called-id=eap-e secret=hap-eapow service=wireless timeout=3s Есть ещё сертификаты на микротике: самодельный CA а также сертификат с именем "hap-eap", подписанный CA и key-usage=digital-signature,key-encipherment,data-encipherment,key-agreement,tls-server - надеюсь, этих расширений x.509v3 достаточно для функционирования. Настройка клиента wpa_supplicant, линукс: passive_scan=0 country=RU p2p_disabled=1 eapol_version=2 fast_reauth=0 device_name=o_client network={ ssid="eap-e" scan_ssid=1 key_mgmt=WPA-EAP eap=TTLS identity="alice" anonymous_identity="anon-phase1" password="passme" phase2="auth=MSCHAPV2" } Дополнительно настроил на wlan0 на линуксе mon0 (monitor mode) интерфейс и захватываю там радиообмен; забегая вперёд скажу, что при попытке подключения не вижу никаких TLS сессий, сертификатов; получаю отлуп на стадии Association с точкой доступа (Status code: Association denied due to reason outside the scope of this standard (0x000c)). При попытке подключиться к точке доступа, в логе RADIUS-сервера вижу такое:(0) Service-Type = Framed-User (0) NAS-Port-Id = "wlan1" (0) NAS-Port-Type = Wireless-802.11 (0) User-Name = "F8:D1:11:12:E3:63" (0) Calling-Station-Id = "F8-D1-11-12-E3-63" (0) Called-Station-Id = "eap-e" (0) User-Password = "\354͛R\t\376\216\033e\355T^\353w\267\031" (0) NAS-Identifier = "hap_router" (0) NAS-IP-Address = 192.168.99.176 Что это ? На MSCHAPv2 не очень похоже, и имя пользователя в inner-tunnel (phase2) ненормальное какое-то: должно быть alice, а оно в виде MAC-адреса клиента; на начало EAP-сессии тоже не похоже, нет атрибута EAP-Message.. Что-то не едут лыжи. Где неправильно, подскажите, плз. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 25 октября, 2021 · Жалоба В 22.10.2021 в 14:17, gurum сказал: имя пользователя в inner-tunnel (phase2) ненормальное какое-то: должно быть alice, а оно в виде MAC-адреса клиента У вас прямо в конфиге: radius-mac-authentication=yes В 22.10.2021 в 14:17, gurum сказал: линукс Если какая-нибудь Убунта из последних, то там отключены cipher suites, нужные для авторизации через Микротик. Проверить вроде как openssl ciphers -v . Варианты: включать старые шифры (с SHA1) или ждать релиза ROS 7. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gurum Опубликовано 26 октября, 2021 · Жалоба В 26.10.2021 в 00:11, jffulcrum сказал: У вас прямо в конфиге: radius-mac-authentication=yes Если какая-нибудь Убунта из последних, то там отключены ecipher suits, нужные для авторизации через Микротик. Проверить вроде как openssl ciphers -v . Варианты: включать старые шифры (с SHA1) или ждать релиза ROS 7. Спасибо, вот удачно про radius-mac-authentication=yes, не сообразил. ОС - ArchLinux, но сейчас в WiFi канале до сертификатов и TLS всё равно не доходит дело. И глядя в дамп WiFi понимаю, что не заводится EAP, но не догоняю, где искать. В логе микротика пусто (почти пусто, кроме общих фраз). Буду ещё пытаться понять, конечно. Если у вас будет возможность - посмотрите в дамп, там десяток пакетов, может, найдёте подсказку, буду благодарен. Ещё раз спасибо. connect.cap Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...