Страница 1 из 1
Хранение конфига с паролями PSK вне микротика
Добавлено: 10 окт 2022, 09:38
qooqle
Добрый день
Возможно ли убрать с микротика все пароли от вайфая WPA PSK (Capsman), и хранить их на каком-нибудь сервере
Нужно для того чтобы была "Гостевая" сеть, в которую можно было подключаться только по паролю без окошка с вводом логина и при запросе микротик брал ключ на внешнем сервере. MACaddress+freeRADIUS в качестве логина не подходит, т.к. окошко с логином появляется. EAP тоже не то (он запрашивает и логин и пасс), организовал его через freeRADIUS, там всё ок. Хотспот не предлагать, он работает, но есть ньюансы, такие как: задержка страницы приветствия и иногда бывают ошибки интерфейса.
Пробовал разные варианты, но если стоит галка PSK, микрот тупо ищет ключ у себя во внутреннем конфиге и нет никакой инфы по данному вопросу
Re: Хранение конфига с паролями PSK вне микротика
Добавлено: 10 окт 2022, 14:32
Sertik
организовал его через freeRADIUS, там всё ок.
Так что же нужно если всё работает и ок ?
И чем не устраивает хранение PSK ключей в самом Микротике ? При правильной настройке файерволла разве может кто-нибудь его взломать ? Да и кому нужно Вас ломать (у Вас что военный объект ?)
Как вариант можно сделать скрипт, позволяющий клиенту запросить и получить по СМС индивидуальный ключ сети со сменой пароля на новые подключения хоть раз в нужный интервал, хоть сразу после произошедшего подключения.
Re: Хранение конфига с паролями PSK вне микротика
Добавлено: 10 окт 2022, 17:44
qooqle
Sertik писал(а): ↑10 окт 2022, 14:32
организовал его через freeRADIUS, там всё ок.
Так что же нужно если всё работает и ок ?
И чем не устраивает хранение PSK ключей в самом Микротике ? При правильной настройке файерволла разве может кто-нибудь его взломать ? Да и кому нужно Вас ломать (у Вас что военный объект ?)
Как вариант можно сделать скрипт, позволяющий клиенту запросить и получить по СМС индивидуальный ключ сети со сменой пароля на новые подключения хоть раз в нужный интервал, хоть сразу после произошедшего подключения.
Хранение ключей не в микротике - это пожелание руководства.
Может вы не внимательно прочитали, радиус немного не то.
Сделать только парольный запрос при подключении сети, без логина (для удобства)
Микротик если выставить PSK, на радиус не обращается!
А вариант с хотспот увы не удобен, иногда ждать страницу приходится несколько секунд, иногда веб аутентификация глючит и не срабатывает
Re: Хранение конфига с паролями PSK вне микротика
Добавлено: 10 окт 2022, 17:59
mafijs
Ну а если сделать "ход конём" ?
Поднять CapsMan на железке, о которой руководство и не знает? Пароли там.
И не на точках, не на роутере паролей WiFi нет.
Re: Хранение конфига с паролями PSK вне микротика
Добавлено: 11 окт 2022, 09:15
qooqle
mafijs писал(а): ↑10 окт 2022, 17:59
Ну а если сделать "ход конём" ?
Поднять CapsMan на железке, о которой руководство и не знает? Пароли там.
И не на точках, не на роутере паролей WiFi нет.
Увы полный подотчёт :( и Шеф сисадмин с большим стажем, не прокатит
Re: Хранение конфига с паролями PSK вне микротика
Добавлено: 02 дек 2022, 12:59
qooqle
Кому интересно - разобрался
Создаётся правило в акссес листе - фильтр по макмаске
На freeradiuse создаётся правило фильтрации по имени сети
И микротик заворачивает всю аутентификацию(включая PSK) на радиус и не держит в себе паролей