Этот текст описывает некоторые различия в реализации беспроводственной безопасности WPA-PSK в MikroTik, которые на данный момент делают общение с устройствами, отличными от MikroTik, невозможным. В эксперименте я использовал следующие беспроводные устройства:
SSID: KEN 10 -> Linksys WRT54GS v.4 с прошивкой Hyperwrt 2.1b1 + Thibor14, Версия: v4.70.8
SSID: KEN 10a -> MikroTik RouterBoard532 с WLAN Atheros 5004X HighPower Senao miniPCI NL-5354MP PLUS ARIES2, чип AR5212A
SSID: KEN 10b -> D-Link DWL-2100AP с H/W Ver.: A2 F/W Ver.:2.10eu
SSID: KEN 10c -> Linksys WRT54GS v.4 с прошивкой Hyperwrt 2.1b1 + Thibor14, Версия: v4.70.8
Конфигурация безопасности всех устройств — WPA-PSK с методом TKIP. Цель экспериментов — только корректный вход клиента в сеть. Обследование сети (Site Survey) с DWL-2100AP показало различие в распознавании безопасности между WRT54GS (KEN 10) и MikroTik (KEN 10a). Обследование сети с WRT54GS показало в разделе “Capabilities” наличие WEP-безопасности как на WRT54GS (KEN 10), так и на MikroTik (KEN 10a). Другое сканирование с WRT54GS также показало наличие WEP-безопасности на DWL-2100AP (KEN 10b) тоже. Преамбюль DWL-2100AP короткий, но это неважно (нет соединения ни с короткой, ни с длинной преамбюлей на MikroTik). На рисунке показано, что скорости (“Rates”) одинаковы на MikroTik (KEN 10a) и DWL-2100AP (KEN 10b).
Результат этих экспериментов для меня ужасен. Linksys и D-Link корректно входят друг в друга: D-Link в Linksys, Linksys в D-Link и Linksys в Linksys. Но MikroTik не может войти ни в одно из них, и никто не может войти в MikroTik. WPA-PSK с методом TKIP в MikroTik несовместим с другими производителями. Теперь я не могу использовать MikroTik в своей не такой уж маленькой беспроводной сети, потому что все работают с WPA PSK-безопасностью на Linksys, D-Link и устройствах других производителей. Очень-очень жаль! Сделайте его совместимым с другими производителями. Это очень-очень важно! Большинство людей хотят использовать MikroTik для беспроводных сетей. Как мы можем его использовать, если он не совместим со многими новыми хорошими продуктами на рынке, которые используют новые методы для защищенных беспроводных сетей. Если кому-то интересно прочитать мою конфигурацию, вот она:
interface wireless> print
name="wlan2" mtu=1500 mac-address=00:02:6F:22:88:21 arp=enabled disable-running-check=no
interface-type=Atheros AR5212 radio-name="00026F228821" mode=ap-bridge ssid="KEN 10a"
area="" frequency-mode=superchannel country=poland antenna-gain=0 frequency=2422
band=2.4ghz-b/g scan-list=default rate-set=default
supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps
supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
basic-rates-b=1Mbps basic-rates-a/g=6Mbps max-station-count=2007 ack-timeout=dynamic
tx-power=18 tx-power-mode=all-rates-fixed noise-floor-threshold=default
periodic-calibration=default periodic-calibration-interval=60 burst-time=disabled
dfs-mode=none antenna-mode=ant-a wds-mode=dynamic wds-default-bridge=lokalny
wds-default-cost=100 wds-cost-range=50-150 wds-ignore-ssid=no update-stats-interval=1m
default-authentication=no default-forwarding=no default-ap-tx-limit=0
default-client-tx-limit=0 hide-ssid=no security-profile=dlaKEN10a disconnect-timeout=15s
on-fail-retry-time=100ms preamble-mode=long compression=no allow-sharedkey=yes
interface wireless security-profiles> print
0 name="default" mode=none authentication-types="" unicast-ciphers="" group-ciphers=""
wpa-pre-shared-key="" wpa2-pre-shared-key="" eap-methods=passthrough tls-mode=no-certificates
tls-certificate=none static-algo-0=none static-key-0="" static-algo-1=none static-key-1=""
static-algo-2=none static-key-2="" static-algo-3=none static-key-3=""
static-transmit-key=key-0 static-sta-private-algo=none static-sta-private-key=""
radius-mac-authentication=no group-key-update=5m
1 name="dlaKEN10a" mode=dynamic-keys authentication-types=wpa-psk unicast-ciphers=tkip
group-ciphers=tkip wpa-pre-shared-key="blablablablabla1"
wpa2-pre-shared-key="blablablablabla1" tls-mode=dont-verify-certificate tls-certificate=none
static-algo-0=none static-key-0="" static-algo-1=none static-key-1="" static-algo-2=none
static-key-2="" static-algo-3=none static-key-3="" static-transmit-key=key-0
static-sta-private-algo=none static-sta-private-key="" radius-mac-authentication=no
group-key-update=5m
interface wireless access-list> print
Flags: X - disabled
0 ;;; DWL-2100AP H/W Ver.: A2 F/W Ver.:2.10eu D-Link
mac-address=00:0F:3D:37:AA:BB interface=wlan2 authentication=yes forwarding=yes
ap-tx-limit=0 client-tx-limit=0 private-algo=none private-key=""
1 ;;; WRT54GS v.4 Linksys
mac-address=00:16:B6:51:11:22 interface=wlan2 authentication=yes forwarding=yes
ap-tx-limit=0 client-tx-limit=0 private-algo=none private-key=""
2 ;;; WRT54GS v.4 Linksys
mac-address=00:16:B6:51:43:8A interface=wlan2 authentication=yes forwarding=yes
ap-tx-limit=0 client-tx-limit=0 private-algo=none private-key=""
SSID: KEN 10 -> Linksys WRT54GS v.4 с прошивкой Hyperwrt 2.1b1 + Thibor14, Версия: v4.70.8
SSID: KEN 10a -> MikroTik RouterBoard532 с WLAN Atheros 5004X HighPower Senao miniPCI NL-5354MP PLUS ARIES2, чип AR5212A
SSID: KEN 10b -> D-Link DWL-2100AP с H/W Ver.: A2 F/W Ver.:2.10eu
SSID: KEN 10c -> Linksys WRT54GS v.4 с прошивкой Hyperwrt 2.1b1 + Thibor14, Версия: v4.70.8
Конфигурация безопасности всех устройств — WPA-PSK с методом TKIP. Цель экспериментов — только корректный вход клиента в сеть. Обследование сети (Site Survey) с DWL-2100AP показало различие в распознавании безопасности между WRT54GS (KEN 10) и MikroTik (KEN 10a). Обследование сети с WRT54GS показало в разделе “Capabilities” наличие WEP-безопасности как на WRT54GS (KEN 10), так и на MikroTik (KEN 10a). Другое сканирование с WRT54GS также показало наличие WEP-безопасности на DWL-2100AP (KEN 10b) тоже. Преамбюль DWL-2100AP короткий, но это неважно (нет соединения ни с короткой, ни с длинной преамбюлей на MikroTik). На рисунке показано, что скорости (“Rates”) одинаковы на MikroTik (KEN 10a) и DWL-2100AP (KEN 10b).
Результат этих экспериментов для меня ужасен. Linksys и D-Link корректно входят друг в друга: D-Link в Linksys, Linksys в D-Link и Linksys в Linksys. Но MikroTik не может войти ни в одно из них, и никто не может войти в MikroTik. WPA-PSK с методом TKIP в MikroTik несовместим с другими производителями. Теперь я не могу использовать MikroTik в своей не такой уж маленькой беспроводной сети, потому что все работают с WPA PSK-безопасностью на Linksys, D-Link и устройствах других производителей. Очень-очень жаль! Сделайте его совместимым с другими производителями. Это очень-очень важно! Большинство людей хотят использовать MikroTik для беспроводных сетей. Как мы можем его использовать, если он не совместим со многими новыми хорошими продуктами на рынке, которые используют новые методы для защищенных беспроводных сетей. Если кому-то интересно прочитать мою конфигурацию, вот она:
interface wireless> print
name="wlan2" mtu=1500 mac-address=00:02:6F:22:88:21 arp=enabled disable-running-check=no
interface-type=Atheros AR5212 radio-name="00026F228821" mode=ap-bridge ssid="KEN 10a"
area="" frequency-mode=superchannel country=poland antenna-gain=0 frequency=2422
band=2.4ghz-b/g scan-list=default rate-set=default
supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps
supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
basic-rates-b=1Mbps basic-rates-a/g=6Mbps max-station-count=2007 ack-timeout=dynamic
tx-power=18 tx-power-mode=all-rates-fixed noise-floor-threshold=default
periodic-calibration=default periodic-calibration-interval=60 burst-time=disabled
dfs-mode=none antenna-mode=ant-a wds-mode=dynamic wds-default-bridge=lokalny
wds-default-cost=100 wds-cost-range=50-150 wds-ignore-ssid=no update-stats-interval=1m
default-authentication=no default-forwarding=no default-ap-tx-limit=0
default-client-tx-limit=0 hide-ssid=no security-profile=dlaKEN10a disconnect-timeout=15s
on-fail-retry-time=100ms preamble-mode=long compression=no allow-sharedkey=yes
interface wireless security-profiles> print
0 name="default" mode=none authentication-types="" unicast-ciphers="" group-ciphers=""
wpa-pre-shared-key="" wpa2-pre-shared-key="" eap-methods=passthrough tls-mode=no-certificates
tls-certificate=none static-algo-0=none static-key-0="" static-algo-1=none static-key-1=""
static-algo-2=none static-key-2="" static-algo-3=none static-key-3=""
static-transmit-key=key-0 static-sta-private-algo=none static-sta-private-key=""
radius-mac-authentication=no group-key-update=5m
1 name="dlaKEN10a" mode=dynamic-keys authentication-types=wpa-psk unicast-ciphers=tkip
group-ciphers=tkip wpa-pre-shared-key="blablablablabla1"
wpa2-pre-shared-key="blablablablabla1" tls-mode=dont-verify-certificate tls-certificate=none
static-algo-0=none static-key-0="" static-algo-1=none static-key-1="" static-algo-2=none
static-key-2="" static-algo-3=none static-key-3="" static-transmit-key=key-0
static-sta-private-algo=none static-sta-private-key="" radius-mac-authentication=no
group-key-update=5m
interface wireless access-list> print
Flags: X - disabled
0 ;;; DWL-2100AP H/W Ver.: A2 F/W Ver.:2.10eu D-Link
mac-address=00:0F:3D:37:AA:BB interface=wlan2 authentication=yes forwarding=yes
ap-tx-limit=0 client-tx-limit=0 private-algo=none private-key=""
1 ;;; WRT54GS v.4 Linksys
mac-address=00:16:B6:51:11:22 interface=wlan2 authentication=yes forwarding=yes
ap-tx-limit=0 client-tx-limit=0 private-algo=none private-key=""
2 ;;; WRT54GS v.4 Linksys
mac-address=00:16:B6:51:43:8A interface=wlan2 authentication=yes forwarding=yes
ap-tx-limit=0 client-tx-limit=0 private-algo=none private-key=""
