+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

eduroam: назначение VLAN на основе ответа RADIUS 802.1x

eduroam: назначение VLAN на основе ответа RADIUS 802.1x, RouterOS

alice

Guest

14.02.2014 14:58:00

Привет! Мы уже давно используем eduroam на Mikrotik — до сих пор для пользователей нашего учреждения и гостей была одна и та же сеть. Теперь я хочу назначать VLAN пользователям в зависимости от их realm. Гости из других учреждений получают VLAN, отличный от локальных. Я нашёл решение для сервера FreeRADIUS, а есть ли возможность сделать что-то похожее в RouterOS? Заранее спасибо!

dog

Guest

10.03.2014 15:31:00

Проблема в том, что беспроводные клиенты не создают интерфейс на MT (кроме WDS), поэтому их нельзя поместить в VLAN. Обходной путь — использовать виртуальную точку доступа и создать две WLAN: для гостей eduroam и для локальных пользователей, затем направить их в разные VLAN. После этого нужно настроить freeradius, чтобы фильтровать гостей от внутренней WLAN.

levak

Guest

29.04.2014 11:40:00

Привет, Элис! Не могу отправить личное сообщение, поэтому пишу тут... Хочу подключить свой роутер Mikrotik к сети eduroam, но никак не могу это сделать: http://forum.mikrotik.com/t/eduroam-with-mikrotik-aps/76111/1 Не могла бы ты прислать мне свою рабочую конфигурацию Mikrotik, чтобы я мог протестировать? Спасибо, MAtej

alice

Guest

31.07.2014 13:37:00

Позвольте обновить мой вопрос: Может ли CAPsMAN помочь в назначении разных VLAN для отдельных клиентов при использовании одного и того же SSID и аутентификации через RADIUS-сервер? Параметры vlan-mode и vlan-id выглядят многообещающе, но описание очень краткое, и, возможно, я слишком надеюсь.

Test471 Guest	#5 0 31.07.2014 14:09:00 Посмотри список доступа в CAPsMAN. На основе MAC-адреса или MAC-фильтра можно назначать разные VLAN. Это не совсем то, что тебе нужно, но, возможно, можно что-то сделать на основе ответа от radius. Просто мысли вслух…

alice

Guest

31.07.2014 14:46:00

Вот в чём моя проблема — я не совсем понимаю, что можно сделать со списком доступа... Может, если заморочиться с каким-нибудь сложным изменением пакетов... Нет, пока у меня нет идей. В любом случае, спасибо за отклик.

roadracer96 Guest	#7 0 31.07.2014 22:28:00 Capsman не поддерживает 802.1x. Mikrotik сейчас не может работать с eduroam. Используйте Ubiquiti или OpenWRT. Или практически любого другого производителя.

alice

Guest

01.08.2014 06:59:00

Возможно, это какое-то недоразумение, но я бы хотел подчеркнуть для случайного читателя этой темы, что отдельный Mikrotik вполне справляется с eduroam. У меня работает около 100 таких устройств. Хотя я ещё не пробовал это делать с CAPsMAN, у меня есть все основания полагать, что и там может получиться. Меня только интересует, можно ли настроить назначение VLAN для каждого клиента на основе ответа RADIUS.

roadracer96 Guest	#9 0 01.08.2014 21:29:00 Capsman не поддерживает 802.1x, а capsman — это единственный, кто поддерживает присвоение VLAN через RADIUS. Мы только что запустили eduroam. Динамическое присвоение VLAN для нас обязательно. Пытаемся перейти на один SSID.

alice

Guest

#10

04.08.2014 12:45:00

Извините, я еще не пробовал (все еще разбираюсь с настройкой L3 provisioning), но разве настройка eduroam не делается в CAPsMAN через установку security.authentication-types=wpa2-eap и security.eap-methods=passthrough? Не могли бы вы подробнее объяснить проблему с eduroam?

roadracer96

Guest

#11

05.08.2014 01:45:00

Говорю вам прямо: Capsman НЕ работает с 802.1x. Я пробовал это дома. Он работает только с авторизацией по MAC-адресу. Повторяю, Capsman КАТЕГОРИЧЕСКИ НЕ работает с 802.1x. ВООБЩЕ.

P.S. В настройках безопасности такие опции есть, но они просто не работают. Уверен, что в будущем это исправят, но сейчас — нет.

P2k1 Guest	#12 0 05.08.2014 09:59:00 Для меня Radius Auth. (WPA-EAP / eap-methods=passthrough) к Windows Radius Server с проверкой членства пользователей и компьютеров в группах Windows Domain отлично работает с CAPsMAN.

uldis Guest	#13 0 05.08.2014 11:10:00 Параметры vlan-mode и vlan-id можно указать только в ответе MAC RADIUS. В ответе EAP RADIUS они не указываются.

alice Guest	#14 0 05.08.2014 12:37:00 Есть ли шанс на быструю реализацию или какой-то обходной путь (например, манипуляции с пакетами)? Это стратегически важно для нашей долгосрочной стратегии.

roadracer96 Guest	#15 0 05.08.2014 14:48:00 ААА.. Ладно.. Тогда понятно, почему у меня не сработало, когда я просто поменял с MAC на EAP... Когда, по твоему мнению, это начнет работать?

alice Guest	#16 0 06.08.2014 07:37:00 Плюс один.

uldis Guest	#17 0 06.08.2014 09:15:00 Для каких целей вы бы использовали этот vlan-id, если бы мы попытались добавить его в ответ EAP RADIUS?

alice Guest	#18 0 06.08.2014 09:34:00 Пользователям eduroam нужно войти в институциональную WiFi-сеть, используя логин в формате loginname@realm с PEAP. После успешной проверки их личности через глобальную иерархию RADIUS, если они учатся в этом университете (то есть у них правильный realm), им назначается VLAN с полным доступом к университетской сети. Если же они из другого учебного заведения, участвующего в eduroam (то есть с другим realm), им назначается VLAN с уровнем доступа для гостей. Хитрость для FreeRADIUS описана, например, здесь. (Возможность такого сценария стала поводом для моего начальника всерьез задуматься о замене текущей инфраструктуры Mikrotik на теперь уж чертовски дешевые HP, а может, и о других неприятных побочных эффектах.)

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры