+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Поддержка динамического WPA2 PSK в DPSK

Поддержка динамического WPA2 PSK в DPSK, RouterOS

lbgaus

Guest

28.11.2018 22:14:00

Я видел случаи, когда в беспроводных сетях появляются динамические или уникальные PSK, заранее зарегистрированные у оператора WLAN… Каждое устройство подключается с уникальным PSK вместо традиционного общего. Это делается для повышения приватности WiFi в сети с защитой WPA2-Personal, без необходимости переходить на WPA2-Enterprise/802.1x (что удобно для общих сетей, где неудобно устанавливать клиентский сертификат). Возможно ли добавить такую поддержку в беспроводных точках доступа Mikrotik?

muetzekoeln Guest	#2 0 14.01.2019 16:19:00 Это то же самое, что EAP-PWD (RFC5931), или оно так же безопасно, как EAP-PWD?

excession

Guest

12.02.2020 17:44:00

Это было бы гораздо полезнее, если бы список доступа не останавливался на первой неудаче, а продолжал пробовать проверить соответствие с следующими правилами. Тогда можно было бы использовать несколько PSK без указанных MAC-адресов, что позволяло бы задавать разные ключи для разных пользователей без необходимости предварительной регистрации MAC-адресов. Так работает функция Group DPSK на Ruckus, и это очень удобно для пользователей с несколькими устройствами.

gotsprings

Guest

04.03.2020 19:16:00

Чем больше я пользуюсь беспроводными устройствами Mikrotik... тем больше мне нравится Ruckus. Если нужна надежная готовая решение — выбирайте RUCKUS. Если не против заниматься своими «хобби» — Mikrotik. В этом плане всё именно наоборот по сравнению с маршрутизаторами Mikrotik.

olivier2831 Guest	#5 0 12.11.2021 15:43:00 Какую точку доступа Ruckus вы предпочитаете в ценовом диапазоне 100–150 евро?

PackElend

Guest

01.01.2022 21:36:00

У вас есть рабочий пример? Я пытаюсь настроить динамическое присвоение VLAN на основе используемого Private-PSK. Есть такой атрибут RADIUS — Mikrotik-Wireless-PSK, который можно использовать, но я не могу найти никаких уроков или обсуждений по его применению, поэтому интересно — реально ли это сделать? Буду благодарен за любые советы.

PackElend Guest	#7 0 03.01.2022 11:13:00 Как ты это делаешь?

gotsprings Guest	#8 0 03.01.2022 12:05:00 Зайдите в ACL. Добавьте MAC-адрес и пароль, которые хотите связать для клиента. Выберите VLAN тег.

PackElend

Guest

03.01.2022 13:27:00

Можешь поделиться конфигурацией для этого? Я всё ещё в отпуске и далеко от дома, чтобы проверить на своём устройстве. Это будет что-то вроде:

/caps-man access-list
add action=accept mac-address=MAC_User1_Device1 private-passphrase=PPSK_User1 vlan-id=VLAN_User1 vlan-mode=use-tag comment=User1
add action=accept mac-address=MAC_User1_Device2 private-passphrase=PPSK_User1 vlan-id=VLAN_User1 vlan-mode=use-tag comment=User1
add action=accept mac-address=MAC_User2_Device1 private-passphrase=PPSK_User2 vlan-id=VLAN_User2 vlan-mode=use-tag comment=User2

Можно ли использовать access-list на основе PPSK для реализации функции, похожей на Working with Dynamic Pre-Shared Keys (commscope.com), либо используя MAC 00:00:00:00:00:00, либо вовсе не указывая MAC? Тогда код для назначения VLAN на основе PPSK может выглядеть так:

/caps-man access-list
add action=accept mac-address=00:00:00:00:00:00 private-passphrase=PPSK_User1 vlan-id=VLAN_User1 vlan-mode=use-tag comment=User1
add action=accept mac-address=00:00:00:00:00:00 private-passphrase=PPSK_User1 vlan-id=VLAN_User1 vlan-mode=use-tag comment=User1
add action=accept mac-address=00:00:00:00:00:00 private-passphrase=PPSK_User2 vlan-id=VLAN_User2 vlan-mode=use-tag comment=User2

Код написан на основе того, что упоминалось в этой теме и в функционале wireless access list vlan mode & id? — MikroTik
И может ли каждый беспроводной пользователь подключаться к своему собственному VLAN? — MikroTik

gotsprings

Guest

#10

03.01.2022 14:26:00

Перемещать мой ноутбук в другой VLAN в зависимости от пароля, который я использовал. /caps-man access-list
add action=accept allow-signal-out-of-range=10s comment="Windows LapTop"
disabled=no mac-address=C8:FF:28:3C:35:35 private-passphrase=pn4XaFnnKX
ssid-regexp=WhateverSSID vlan-id=254 vlan-mode=use-tag

Что касается замены Ruckus… Несколько недель использования Mikrotik wireless — и ты поймёшь, что это была ужасная идея. Особенно если в твоей сети есть клиенты с Wi-Fi только на 2.4 ГГц (URC, HP и другие).

PackElend Guest	#11 0 03.01.2022 14:33:00 Это предполагает, что MAC известен, но что если MAC не известен заранее?

gotsprings Guest	#12 0 03.01.2022 15:54:00 Только что попробовал. Устройство разрешили подключить.

PackElend Guest	#13 0 03.01.2022 16:13:00 Используешь ту же конфигурацию, что и раньше? А этот вариант тоже сработает? /caps-man access-list add action=accept private-passphrase=PPSK_User1 vlan-id=VLAN_User1 vlan-mode=use-tag comment=User1 add action=accept private-passphrase=PPSK_User2 vlan-id=VLAN_User2 vlan-mode=use-tag comment=User2

gotsprings

Guest

#14

03.01.2022 17:23:00

Я работал на отдельном hAP AC2, который не использует caps-man.

[admin@MikroTik] /interface/wireless/access-list> print
Flags: X - отключено
0 mac-address=00:00:00:00:00:00
interface=any
signal-range=-120..120
allow-signal-out-of-range=10s
authentication=yes
forwarding=yes
ap-tx-limit=0
client-tx-limit=0
private-algo=none
private-key=“”
private-pre-shared-key=“thisisatest”
management-protection-key=“”
vlan-mode=default
vlan-id=1

PackElend Guest	#15 0 03.01.2022 18:03:00 Без проблем, большое спасибо за тестирование и отзыв. Сейчас я только на мобильном и пока не могу ничем помочь. Но сработает ли это, если сделать так с двумя правилами, но с разными private-pre-shared-key? Например, private-pre-shared-key=“user1” vlan-id=1 и private-pre-shared-key=“user2” vlan-id=2?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры