Страница 1 из 2
EAP-MSCHAP v2 + ТД ростелекома в селе (RTWiFi)
Добавлено: 26 фев 2018, 16:18
Trefilov_Alex
Проблема следующая. Необходимо подключиться к точке доступа ростелеком в селе установленной по программе устранения цифрового неравенства. В качестве клиента используется RB 411 + радиокарта R52n. В плане радиоканала всё ОК (прямая видимость, антенна на клиенте с к.у. 19дБ, уровень принимаемого сигнала от ТД -45dB, шумы ниже -90dB). На микротике собран прозрачный бридж. На ТД поднято два SSID RTOpen (открытая сеть) для доступа исключительно на сайт ростелека и RTWiFi (закрытая сеть WPA2-Enterprise с методом проверки подлинности EAP-MSCHAP v2). Регистрация пройдена имя и ключ валидные (на смартфонах и винде всё взлетает). Как я не бился пройти ассоциацию на RTWiFi c микротиком так и не удалось. Ассоциация за SSID RTOpen проходит без проблем, IP ч-з бридж на сетевуху прилетает шустро, сайт ростелека доступен (ну я к тому что бридж и железо работает корректно).
Кто имеет опыт настройки микротика под ростелековский ВайФай отзовитесь.
P.S. Пытался настроить под прошивками 6.41.2 и 6.42rc35 (с запиленной поддержкой EAP-MSCHAP v2 в режиме клиента) результат один — не взлетело…
Re: EAP-MSCHAP v2 + ТД ростелекома в селе (RTWiFi)
Добавлено: 26 фев 2018, 20:37
algerka
Trefilov_Alex писал(а): ↑26 фев 2018, 16:18
Проблема следующая. Необходимо подключиться к точке доступа ростелеком в селе установленной по программе устранения цифрового неравенства. В качестве клиента используется RB 411 + радиокарта R52n. В плане радиоканала всё ОК (прямая видимость, антенна на клиенте с к.у. 19дБ, уровень принимаемого сигнала от ТД -45dB, шумы ниже -90dB). На микротике собран прозрачный бридж. На ТД поднято два SSID RTOpen (открытая сеть) для доступа исключительно на сайт ростелека и RTWiFi (закрытая сеть WPA2-Enterprise с методом проверки подлинности EAP-MSCHAP v2). Регистрация пройдена имя и ключ валидные (на смартфонах и винде всё взлетает). Как я не бился пройти ассоциацию на RTWiFi c микротиком так и не удалось. Ассоциация за SSID RTOpen проходит без проблем, IP ч-з бридж на сетевуху прилетает шустро, сайт ростелека доступен (ну я к тому что бридж и железо работает корректно).
Кто имеет опыт настройки микротика под ростелековский ВайФай отзовитесь.
P.S. Пытался настроить под прошивками 6.41.2 и 6.42rc35 (с запиленной поддержкой EAP-MSCHAP v2 в режиме клиента) результат один — не взлетело…
WPA-Enterprise не работает на Микротик. Тема ни раз уже поднималась. Воспользовались бы поиском:
viewtopic.php?f=15&t=7369
И где вы увидели "поддержкой EAP-MSCHAP v2 в режиме клиента" ?
Re: EAP-MSCHAP v2 + ТД ростелекома в селе (RTWiFi)
Добавлено: 26 фев 2018, 20:39
vqd
офтоп: Росс денег беред за эти точки общественного доступа?
Re: EAP-MSCHAP v2 + ТД ростелекома в селе (RTWiFi)
Добавлено: 27 фев 2018, 07:33
Erik_U
из "поддержки" в профиле есть только
EAP Methods - есть "EAP TTLS MSCHAP v2"
и поля
MSCHAPv2 Username
и
MSCHAPv2 Password
Оно работает с ростелекомом?
офтоп: Росс денег беред за эти точки общественного доступа?
сначала брал, а теперь бесплатно. Вот, например, информация о тарифах в Тульской обл.
https://tula.rt.ru/homeinternet/wifi/free_wifi
Re: EAP-MSCHAP v2 + ТД ростелекома в селе (RTWiFi)
Добавлено: 27 фев 2018, 07:41
Trefilov_Alex
vqd писал(а): ↑26 фев 2018, 20:39
офтоп: Росс денег беред за эти точки общественного доступа?
Халява, по крайней мере пока.
Re: EAP-MSCHAP v2 + ТД ростелекома в селе (RTWiFi)
Добавлено: 27 фев 2018, 07:45
Trefilov_Alex
Erik_U писал(а): ↑27 фев 2018, 07:33
из "поддержки" в профиле есть только
EAP Methods - есть "EAP TTLS MSCHAP v2"
и поля
MSCHAPv2 Username
и
MSCHAPv2 Password
Оно работает с ростелекомом?
офтоп: Росс денег беред за эти точки общественного доступа?
сначала брал, а теперь бесплатно. Вот, например, информация о тарифах в Тульской обл.
https://tula.rt.ru/homeinternet/wifi/free_wifi
Вот в том то и дело что не работает. Но тут вопрос либо микротик вообще не умеет, либо это бага, либо не верные настройки.
Re: EAP-MSCHAP v2 + ТД ростелекома в селе (RTWiFi)
Добавлено: 27 фев 2018, 07:54
Erik_U
РТ в инструкции для IOS предполагает помимо логина/пароля использовать сертификат.
Может его скачать, скормить микротику, и указать в "сертификат ТЛС"?
Чтобы соединение пыталось установиться, нужно это все в connect list внести?
Re: EAP-MSCHAP v2 + ТД ростелекома в селе (RTWiFi)
Добавлено: 27 фев 2018, 09:55
enzain
Erik_U писал(а): ↑27 фев 2018, 07:54
РТ в инструкции для IOS предполагает помимо логина/пароля использовать сертификат.
Может его скачать, скормить микротику, и указать в "сертификат ТЛС"?
Это обязательно надо сделать
Re: EAP-MSCHAP v2 + ТД ростелекома в селе (RTWiFi)
Добавлено: 28 фев 2018, 21:58
seregaelcin
algerka писал(а): ↑26 фев 2018, 20:37
Trefilov_Alex писал(а): ↑26 фев 2018, 16:18
Проблема следующая. Необходимо подключиться к точке доступа ростелеком в селе установленной по программе устранения цифрового неравенства. В качестве клиента используется RB 411 + радиокарта R52n. В плане радиоканала всё ОК (прямая видимость, антенна на клиенте с к.у. 19дБ, уровень принимаемого сигнала от ТД -45dB, шумы ниже -90dB). На микротике собран прозрачный бридж. На ТД поднято два SSID RTOpen (открытая сеть) для доступа исключительно на сайт ростелека и RTWiFi (закрытая сеть WPA2-Enterprise с методом проверки подлинности EAP-MSCHAP v2). Регистрация пройдена имя и ключ валидные (на смартфонах и винде всё взлетает). Как я не бился пройти ассоциацию на RTWiFi c микротиком так и не удалось. Ассоциация за SSID RTOpen проходит без проблем, IP ч-з бридж на сетевуху прилетает шустро, сайт ростелека доступен (ну я к тому что бридж и железо работает корректно).
Кто имеет опыт настройки микротика под ростелековский ВайФай отзовитесь.
P.S. Пытался настроить под прошивками 6.41.2 и 6.42rc35 (с запиленной поддержкой EAP-MSCHAP v2 в режиме клиента) результат один — не взлетело…
WPA-Enterprise не работает на Микротик. Тема ни раз уже поднималась. Воспользовались бы поиском:
viewtopic.php?f=15&t=7369
И где вы увидели "поддержкой EAP-MSCHAP v2 в режиме клиента" ?
Микроты работают с УЦН
Могу сказать даже как
Обновить софт до 6.41
Создать секурити профайл с WPA2EAP. В суппликант идентифай вписать логин, менеджмент протекшн - алловед.
Еап методс - ПЕАП
ТЛС моде - донт верифай сертификат
МСЧАП Юзер - логин
МСЧАП Пассворд пароль
Влан интерфейс настроить как стейшн и прикрутить секурити профайл. Нажать кнопку скан, выбрать RTWifi и нажать коннект
Re: EAP-MSCHAP v2 + ТД ростелекома в селе (RTWiFi)
Добавлено: 05 мар 2018, 19:44
Trefilov_Alex
Таки взлетело...
Всё почти как как описал seregaelcin. Но, не совсем. Пока не включил поддержку TKIP микротик наглухо отказывался ассоциироваться на ТД. Да и МАК wlan1 заменил на МАК смартфона с которым работал на ТД прежде, не знаю обязательное ли это условие но проверять с родным маком микротика не было уже времени (да и желания).
Код: Выделить всё
# model = 411AH
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
supplicant-identity=MikroTik wpa2-pre-shared-key=12345678
add authentication-types=wpa2-eap eap-methods=peap group-ciphers=tkip,aes-ccm \
management-protection=allowed mode=dynamic-keys mschapv2-password=d******h \
mschapv2-username=7797******* name=7797******* supplicant
7797******* tls-mode=dont-verify-certificate unicast-ciph
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=japan
frequency=auto mac-address=28:**:**:**:**:5C radio-name="
security-profile=7797******* ssid=RTWiFi wps-mode=disable
/ip pool
add name=dhcp_pool0 ranges=10.192.111.100-10.192.111.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether1 leas
dhcp1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=10.192.111.1/24 interface=ether1 network=10.192.1
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=wlan
/ip dhcp-server network
add address=10.192.111.0/24 dns-server=8.8.8.8 gateway=10.192
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wlan1