Подскажите какие существуют варианты настройки Mikrotika чтобы wireless клиенты при подключении к одному SSID могли вводить разные пароли и связывались с разными vlanами?
ROS 7.15.3
Вроде бы существуют следующие возможности:
1. Использовать /interface/wireless/access-list. Добавить учетную запись с MAC адресом, и установить поля private-algo и private-pre-shared-key. Отключить default authenticate в интерфейсе. В этом случае по MAC адресу устройства будет выбрана запись в access list, и из нее использован пароль для доступа. Она же выберет vlan для соединения.
На практике при попытке установить private-pre-shared-key выдает сообщение "failure: too short key". И не важно какой ключ вводится, хоть 8 символов, хоть 80. Никакой не работает.
2. Использовать RADIUS. Тогда запрос на авторизацию будет уходить туда. Там прописать MAC в качестве имени. Там же указать пароль.
На практике работает если пароль не указывать. При анализе пакетов видно что внутри RADIUS пакета Access-Request сразу отправляется какой-то пароль. В ответ идет Access-Reject. Авторизация не проходит с ошибкой "Username or Password wrong". При этом на клиенте во время установления соединения пароль не запрашивается, а соединение просто не устанавливается.
По идее либо должен запрашиваться пароль на клиенте, либо в первоначальном Access-Request никакого пароля не должно быт.
В общем не работае тоже.
3. Использовать WPA-EAP. В этом случае нужно устанавливать сертификаты на клиенты. Способ не подходит.
Никто не знает как заставить это работать - чтобы авторизация для wireless клиентов проходила по MAC адресу с запросом персонального пароля?
Разные пароли для одного WiFi
-
- Сообщения: 3
- Зарегистрирован: 15 май 2022, 05:56
-
- Сообщения: 4084
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Разные пароли для одного WiFi
С пакетом wireless ведь, не wifi-qcom*?
Это вам говорит про private-key, а он, в свою очередь, используется для устаревшего WEP. Задавайте только private-pre-shared-key, не трогайте private-algo и private-keyMarianna писал(а): ↑12 сен 2024, 08:06 1. Использовать /interface/wireless/access-list. Добавить учетную запись с MAC адресом, и установить поля private-algo и private-pre-shared-key. Отключить default authenticate в интерфейсе. В этом случае по MAC адресу устройства будет выбрана запись в access list, и из нее использован пароль для доступа. Она же выберет vlan для соединения.
На практике при попытке установить private-pre-shared-key выдает сообщение "failure: too short key". И не важно какой ключ вводится, хоть 8 символов, хоть 80. Никакой не работает.
Вот тут подробности есть: https://help.mikrotik.com/docs/display/ ... entication. В частности, пароль там в запросе равен имени пользователя (т.е. мак-адресу) или пустой строке (в зависимости от параметра radius-mac-mode).Marianna писал(а): ↑12 сен 2024, 08:06 2. Использовать RADIUS. Тогда запрос на авторизацию будет уходить туда. Там прописать MAC в качестве имени. Там же указать пароль.
На практике работает если пароль не указывать. При анализе пакетов видно что внутри RADIUS пакета Access-Request сразу отправляется какой-то пароль. В ответ идет Access-Reject. Авторизация не проходит с ошибкой "Username or Password wrong". При этом на клиенте во время установления соединения пароль не запрашивается, а соединение просто не устанавливается.
По идее либо должен запрашиваться пароль на клиенте, либо в первоначальном Access-Request никакого пароля не должно быт.
В общем не работае тоже.
Если у вас "просто RADIUS" - оно так и не заработает, надо отдавать в Access-Accept вендорный атрибут Mikrotik-Wireless-Psk с желаемым паролем - вот его точка и проверит.