Настраиваем централизованное управление точками доступа MikroTik с аутентификацией на основе MAC-адресов и посредством RADIUS


Будем считать, что соединение между точками доступа и маршрутизатором реализовано посредством 802.1Q-транков с разрешенными VLAN 100 и VLAN 200, интерфейсу маршрутизатора в VLAN 100 назначен адрес 10.0.0.1, а клиентские устройства, подключающиеся к точке доступа, должны помещаться в VLAN 200. Используемое оборудование - Mikrotik RB2011IL и MikroTik hAP ac2


Настройка транков


Конфигурирование транков будет выполнено на примере точки доступа. Интерфейсы будут настраиваться следующим образом: ether1 - транк-порт с разрешенными VLAN 100 и VLAN 200, а интерфейсы ether2 - ether5 - порты доступа в VLAN 200

создаем мост с выключенной фильтрацией VLAN

interface bridge add name=bridge vlan-filtering=no

добавляем к мосту транк-порт, выключая аппаратную обработку кадров

interface bridge port add bridge=bridge interface=ether1 hw=no

настраиваем транк-порт

interface bridge vlan add bridge=bridge tagged=bridge,ether1 vlan-ids=100
interface bridge vlan add bridge=bridge tagged=bridge,ether1 vlan-ids=200

добавляем к мосту порты доступа, указывая соответствующий VID (аппаратную обработку кадров также отключаем)

interface bridge port add bridge=bridge interface=ether2 hw=no pvid=200

interface bridge port add bridge=bridge interface=ether5 hw=no pvid=200

добавляем к мосту беспроводные интерфейсы

interface bridge port add bridge=bridge interface=wlan1
interface bridge port add bridge=bridge interface=wlan2

создаем VLAN-интерфейс

interface vlan add name=vlan100 interface=bridge vlan-id=100

назначаем VLAN-интерфейсу IP-адрес

ip address add interface=vlan100 address=some_ip_address

включаем фильтрацию VLAN

interface bridge set 0 vlan-filtering=yes


Подключение точек доступа


на маршрутизаторе разрешаем входящий трафик CAPsMAN

ip firewall filter add chain=input in-interface=vlan100 protocol=udp dst-port=5246,5247 action=accept

создаем конфигурацию точек доступа

caps-man configuration add name=cfg country=russia ssid=some_ssid datapath.bridge=bridge datapath.vlan-mode=use-tag datapath.vlan-id=200 security.authentication-types=wpa2-psk security.passphrase=some_pass

добавляем правило развертывания

caps-man provisioning add master-configuration=cfg action=create-dynamic-enabled

включаем CAPsMAN

caps-man manager set enabled=yes

на точках доступа настраиваем подключение к CAPsMAN

interface wireless cap set enabled=yes interfaces=wlan1,wlan2 caps-man-addresses=10.0.0.1


Проверка подлинности на основе MAC-адресов


на маршрутизаторе разрешаем подключение нужных клиентов

caps-man access-list add mac-address=aa:bb:cc:dd:ee:ff action=accept

запрещаем подключение всех остальных устройств

caps-man access-list add action=reject


Проверка подлинности посредством RADIUS


Предполагается, что в качестве RADIUS-сервера выступает Windows Server 2008 R2 с ролью "Службы политики сети и доступа", на сервере установлен сертификат, выданный центром сертификации предприятия, а IP-адрес сервера - 10.0.0.254

на RADIUS-сервере в оснастке "Сервер сетевых политик" добавляем маршрутизатор в качестве RADIUS-клиента

создаем политику запросов на подключение

обзор - тип сервера доступа к сети - unspecified
условия - ограничение по дням недели и времени суток - пн-вс с 00:00 до 24:00

создаем сетевую политику

обзор → тип сервера доступа к сети → unspecified
условия → группы Windows → SomeDomain\Пользователи Wi-Fi
условия → тип порта NAS → Wireless IEEE 802.11
ограничения → методы проверки подлинности → Microsoft: Защищенные EAP (PEAP) → Защищенный пароль EAP-MSCHAP v2

на маршрутизаторе добавляем RADIUS-сервер

radius add address=10.0.0.254 secret="some_password"

изменяем конфигурацию точек доступа

caps-man configuration set 0 security.authentication-types=wpa2-eap security.eap-methods=passthrough
caps-man configuration unset 0 security.passphrase

замечание: для предотвращения атак "Man-in-the-middle" необходимо добавить сертификат корневого центра сертификации предприятия в соответствующее хранилище сертификатов клиентов, а в параметрах Wi-Fi подключений включить проверку сертификата сервера аутентификации

Добавить комментарий

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания применять.