Налаштування UserManager для WPA2-EAP на Mikrotik

Маємо RB4011iGS+5HacQ2HnD з RouterOS 6.49.6, RBcAPGi-5acD2nD з RouterOS 7.5 та 2011UiAS-2HnD з RouterOS 6.49.6.

На RBcAPGi-5acD2nD налаштовуємо сучасний UserManager (Radius-server). Відповідно RB4011iGS+5HacQ2HnD та 2011UiAS-2HnD є клієнтами для нього.

RB4011iGS+5HacQ2HnD в мережі називається master.lan з ip 192.168.88.1

2011UiAS-2HnD в мережі називається lte.lan з ip 192.168.88.2

RBcAPGi-5acD2nD в мережі називається slave.lan з ip 192.168.88.2

Поїхали.

Налаштовуємо сертифікати на slave.lan де у нас буде піднято UserManager.

/certificate settings
set crl-use=yes

/certificate

# Generating a Certificate Authority
add name=radius-ca common-name="RADIUS CA" key-size=secp384r1 digest-algorithm=sha384 days-valid=3650 key-usage=key-cert-sign,crl-sign
sign radius-ca name=radius-ca ca-crl-host=slave.lan

# Generating a server certificate for User Manager
add name=usermanager common-name=slave.lan subject-alt-name=IP:192.168.88.3 key-size=secp384r1 digest-algorithm=sha384 days-valid=3650 key-usage=tls-server,digital-signature,key-encipherment
sign usermanager name=usermanager ca=radius-ca
set usermanager trusted=yes

# Generating a client certificate
add name=eap-client common-name=eap-client days-valid=3650 key-size=secp384r1 digest-algorithm=sha384 key-usage=tls-client 
sign eap-client name=eap-client ca=radius-ca

export-certificate radius-ca file-name=radius-ca
export-certificate eap-client type=pkcs12 export-passphrase="p@\$\$word"

Налаштовуємо UserManager і прописуємо клієнтів для нього:

/user-manager
set enabled=yes certificate=usermanager

/user-manager router
add name=master.lan address=192.168.88.1 shared-secret=NDUyOTNiNWQwZjYyMzE4YTdhNmJhZTYwMThkYTdmNTEzZDdmOWQxYzhjNTY5
add name=lte.lan address=192.168.88.2 shared-secret=Yjk1MjAxMGM0Nzg2ODM0ODFjOTNmZGEzYzA3NDIyNWI4ZDU1MTNkOWRiMzY4
add name=slave.lan address=192.168.88.3 shared-secret=OTkxOTFhNDJiNGZhZmYwOWU4ZThhMDMwMzIxMTA4NjExYWVjMjVlMjMwMDFi

/user-manager user group
add inner-auths=peap-mschap2 name=eap outer-auths=eap-peap
add name=certificate-authenticated outer-auths=eap-tls

/user-manager user
add name=master.lan group=certificate-authenticated
add name=lte.lan group=certificate-authenticated
add name=slave.lan group=certificate-authenticated

Ну й додаємо безпосередньо клієнтів WPA2-EAP:

/user-manager user
add name=user_one group=eap password=super@puper_parrwosd shared-users=1

Ну й налаштовуємо radius-клієнтів. На RBcAPGi-5acD2nD:

/radius
add address=192.168.88.3 secret=OTkxOTFhNDJiNGZhZmYwOWU4ZThhMDMwMzIxMTA4NjExYWVjMjVlMjMwMDFi service=wireless src-address=192.168.88.3
/radius incoming
set accept=yes

На RB4011iGS+5HacQ2HnD:

/radius
add address=192.168.88.3 secret=NDUyOTNiNWQwZjYyMzE4YTdhNmJhZTYwMThkYTdmNTEzZDdmOWQxYzhjNTY5 service=wireless src-address=192.168.88.1
/radius incoming
set accept=yes

На 2011UiAS-2HnD:

/radius
add address=192.168.88.3 secret=Yjk1MjAxMGM0Nzg2ODM0ODFjOTNmZGEzYzA3NDIyNWI4ZDU1MTNkOWRiMzY4 service=wireless src-address=192.168.88.2
/radius incoming
set accept=yes

В принципі на цьому все, можна налаштовувати wireless на використання нашого UserManager-а.

В класичному налаштуванні wireless все просто, а в capsman-і в профілі безпеки малюємо щось накшталт:

/caps-man security
add authentication-types=wpa2-eap eap-methods=passthrough encryption=aes-ccm group-encryption=aes-ccm name=security tls-mode=no-certificates

При бажанні можна прикрутити TLS, але це тема для зовсім іншої розмови…