Разные пароли для одного WiFi

Wi-fi и всё с ним связанное
Marianna
Сообщения: 3
Зарегистрирован: 15 май 2022, 05:56

Разные пароли для одного WiFi

Сообщение Marianna »

Подскажите какие существуют варианты настройки Mikrotika чтобы wireless клиенты при подключении к одному SSID могли вводить разные пароли и связывались с разными vlanами?

ROS 7.15.3

Вроде бы существуют следующие возможности:
1. Использовать /interface/wireless/access-list. Добавить учетную запись с MAC адресом, и установить поля private-algo и private-pre-shared-key. Отключить default authenticate в интерфейсе. В этом случае по MAC адресу устройства будет выбрана запись в access list, и из нее использован пароль для доступа. Она же выберет vlan для соединения.
На практике при попытке установить private-pre-shared-key выдает сообщение "failure: too short key". И не важно какой ключ вводится, хоть 8 символов, хоть 80. Никакой не работает.

2. Использовать RADIUS. Тогда запрос на авторизацию будет уходить туда. Там прописать MAC в качестве имени. Там же указать пароль.
На практике работает если пароль не указывать. При анализе пакетов видно что внутри RADIUS пакета Access-Request сразу отправляется какой-то пароль. В ответ идет Access-Reject. Авторизация не проходит с ошибкой "Username or Password wrong". При этом на клиенте во время установления соединения пароль не запрашивается, а соединение просто не устанавливается.
По идее либо должен запрашиваться пароль на клиенте, либо в первоначальном Access-Request никакого пароля не должно быт.
В общем не работае тоже.

3. Использовать WPA-EAP. В этом случае нужно устанавливать сертификаты на клиенты. Способ не подходит.

Никто не знает как заставить это работать - чтобы авторизация для wireless клиентов проходила по MAC адресу с запросом персонального пароля?
Аватара пользователя
Chupaka
Сообщения: 4063
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Разные пароли для одного WiFi

Сообщение Chupaka »

Marianna писал(а): 12 сен 2024, 08:06 ROS 7.15.3
С пакетом wireless ведь, не wifi-qcom*?
Marianna писал(а): 12 сен 2024, 08:06 1. Использовать /interface/wireless/access-list. Добавить учетную запись с MAC адресом, и установить поля private-algo и private-pre-shared-key. Отключить default authenticate в интерфейсе. В этом случае по MAC адресу устройства будет выбрана запись в access list, и из нее использован пароль для доступа. Она же выберет vlan для соединения.
На практике при попытке установить private-pre-shared-key выдает сообщение "failure: too short key". И не важно какой ключ вводится, хоть 8 символов, хоть 80. Никакой не работает.
Это вам говорит про private-key, а он, в свою очередь, используется для устаревшего WEP. Задавайте только private-pre-shared-key, не трогайте private-algo и private-key
Marianna писал(а): 12 сен 2024, 08:06 2. Использовать RADIUS. Тогда запрос на авторизацию будет уходить туда. Там прописать MAC в качестве имени. Там же указать пароль.
На практике работает если пароль не указывать. При анализе пакетов видно что внутри RADIUS пакета Access-Request сразу отправляется какой-то пароль. В ответ идет Access-Reject. Авторизация не проходит с ошибкой "Username or Password wrong". При этом на клиенте во время установления соединения пароль не запрашивается, а соединение просто не устанавливается.
По идее либо должен запрашиваться пароль на клиенте, либо в первоначальном Access-Request никакого пароля не должно быт.
В общем не работае тоже.
Вот тут подробности есть: https://help.mikrotik.com/docs/display/ ... entication. В частности, пароль там в запросе равен имени пользователя (т.е. мак-адресу) или пустой строке (в зависимости от параметра radius-mac-mode).
Если у вас "просто RADIUS" - оно так и не заработает, надо отдавать в Access-Accept вендорный атрибут Mikrotik-Wireless-Psk с желаемым паролем - вот его точка и проверит.