Mikrotik, Network, WiFi

802.1x WLAN Avtentikacija na Mikrotik AP z uporabo avtentikacijskega strežnika Microsoft Radius in AD

Brezžična omrežja lahko predstavljajo veliko varnostno  tveganje za podjetja, saj signal v večini primerov propagira tudi izven stavbe in je na voljo vsakomur, ki ga zna sprejeti in dekodirati. Zato je varnost v WLAN omrežjih še tako pomembna!
802.1x trenutno predstavlja najvarnejšo avtentikacijo in omogoča komunikacijo z avtentikacijskim strežnikom. 802.1x definira enkapsulacijo EAP protokola preko IEEE 802 in se uporablja tako v LAN kot WLAN omrežjih.

Kot veliko ostalih stvari RouterOS seveda podpira tudi te vrste WLAN avtentikacije. Zato smo se odločili da napišemo navodila, kako se skonfigurira 802.1x avtentikacijo na RouterOS z uporabo Microsoft Radius serverja in AD.

Uporabljeni operacijski sistemi:

  • RouterOS v5.20
  • Microsoft Windows swerver 2008 R2.

 1.    Pripravimo Microsoft Radius strežnik

Najlažje je, če nastavimo radius kar na samem Active Directory strežniku.

V Server Manager konzoli gremo na Roles->Network Policy and Access Services -> NPS

a.) V razdelku RADIUS clients and servers izberete RADIUS Clients in dodate novega.

Vpišete poljubno ime klienta , ip naslov in shared secret, ki omogoča varno komunikacijo med avtentikacijskim strežnikom in AP. Shred secret je najenostavneje kar zgenerirati ter kopirati na AP (navadno je priporočjivo, da dolžina generirane kode razpolovi).

b.) Naslednji korak je Dodajanje policy-ja, s katerim določimo AD skupino, katera lahko dostopa do wifi omrežja.

Roles->Network Policy and Access Servicess->NPS->Policies->Network Policies in izberemo new. Nato gremo skozi čarovnik za namestitev:

 

V naslednjem koraku izberemo AD skupino (groups), kateri želimo dovoliti dostop do wifi.

 

 

Izberemo Access granted.