Skori Weblapja - Mikrotik3

Mikrotik3

Néhány helyen láttam olyan wifi megoldást, ahol nem csak simán egy wifi jelszót kellett megadni a csatlakozáshoz, hanem egy név + jelszó párost. Így minden felhasználónak lehet saját jelszava, és ha szükséges, akkor a felhasználók egyedileg beállíthatók. Pl. korlátozhatók időben (éjszaka nem csatlakozhat bármelyik felhasználó), vagy pl. a felhasználók külön VLAN-ba tehetők eltérő hozzáféréssel, ill. különböző jogosultságokkal. Ilyen módszerrel könnyű ideiglenes hozzáféréseket is adni bizopnyos felhasználóknak, és amikor a hozzáférését meg akarjuk szüntetni, akkor pl. nem kell a wifi hálózat jelszavát lecserélni, hanem egyszerűen letiltjuk, (vagy akár töröljük) az adott felhasználót.

Ilyen wifi megoldást Mikrotik eszközökkel is meg lehet valósítani, erre mutatnék be egy minimális, vagy alap megoldást.
A mikrotik AP lehetőséget ad rá, hogy több SSID-t is létrehozzunk, ilyen esetben erre nem feltétlenül van szükség, de bizonyos "butább" (pl. egyszerű iot) eszközök számára továbbra is szükséges lehet. Tehát azoknak az eszközöknek, amelyek nem ismerik, ill. nem tudják kezelni az EAP (vagy WPA2 Enterprise) azonosítást, fenntarthatunk egy (vagy több) további SSID-t, amelyhez a hagyományos megszokott módon, sima jelszóval lehet csatlakozni. Pl. vagy fél év után tudtam meg, hogy itthon a hűtőszekrény is tudna wifire csatlakozni (amúgy szerintem tök felesleges), de annak aki szeretné az "okosotthon" rendszerében a hűtőt is piszkálgatni (pl. megnézni hány fok van benne, vagy akár állítnai is) annak jól jöhet. Személy szerint nekem nem szimpatikus az a világ, amiben minden ilyen fokú ellenőrzés alatt áll, mert ez szerintem nagyon gyorsan elvezet az emberek folyamatos ellenőrzéséhez is. Erre már sok, többé-kevésbé sikeres próbálkozás volt és van is, pl. TV készülékekbe épített webkamerák, hallgatózó, kamerázó mobilok, app-ok. Pl. egyszer kiszúrtam, hogy a PC-re telepített Telegram inaktív állapotában használta a mikrofont... De kicsit elkalandoztam, kanyarodjunk vissza a wifihez ill, a fenti wifi megoldás megvalósításához.

A mikrotik esetében ez capsman hálózaton is megvalósítható, de én egy sima AP-val próbáltam ki, és ezt is fogom bemutatni. Az AP esetében először is egy megfelelő security profilt kell létrehozni, amit a kívánt SSID-hez fogunk társítani. Nézzük:

A WPA2 EAP azonosítás beállítása után szükség lesz a Radius szerverre, amely az azonosítást végzi, és a név+jelszó párosokat tárolja. Ez lehetne akár az AP-n is, de célszerűbb ha a fő routeren van, és minden AP ezt használja a wifi userek beléptetéséhez. Mindenesetre meg kell adni az AP-nek (capsman esetében pedig gondolom a capsman eszköznek), hogy hol találja a Radius szervert.

Az AccesPoint-on (a wifi szokásos beállításain túl, tehát SSID, bridge, VLAN stb...) gyakorlatilag csak ennyi beállítás kellett.

Nézzük, hogyan lesz Radius szerverünk (ez lehet maga az AP is, de bármelyik Mikrotik eszköz a hálózatban, vagy akár nem mikrotik eszköz is lehet). Az első lépés, hogy az eszközön telepítve kell lennie a user-manager csomagnak, ha ez nincs felrakva, akkor telepítsük fel. A Check For Updates futtatása után nem csak a telepíthető frissítéseket fogja megmutatni a rendszer, hanem a fel nem rakott, de telepíthető csomagok is megjelennek szürkével.

A csomag telepítéséhez ujra kell indítani, ha sikeres volt a telepítés, akkor lesz User Manager menüpontunk is a winbox-ban.
Ezután a menübe belépve beállítjuk, hogy mely IP címekről fogadunk el kéréseket, ill. itt beállítjuk az AP-n is megadott Radius jelszót.

Jelenleg úgy állítottam be, hogy a teljes 192.168.x.x tartományból fogadja el a kéréseket, azaz gyakorlatilag csal a LAN irányából jövő kérésekre fog válaszolni a Radius szerver. Célszerű kellően biztonságos, nehezen kitalálható jelszót beállítani.
Hozzunk létre egy csoportot a wifi felhasználók számára:

Ezután létrehozhatunk tetszőleges számú felhasználót, az alábbiek szerint:

A radius szerver bekapcsolása előtt még szükségünk lesz tanusítványra is. Ha a kliensek nem végeznek szigorú ellenőrzést (pl. mert csak LAN-on belül használjuk, és itt nem is kell) akkor sima saját aláírású tanusítvány is megfelel. Ezt parancssorból állítottam be:

# CA template létrehozása
/certificate add name=radius-ca-temp common-name="My RADIUS CA" key-usage=key-cert-sign,crl-sign days-valid=1825 key-size=2048

# Szerver template létrehozása 
/certificate add name=userman-server-temp common-name="radius.example.com" subject-alt-name=DNS:radius.example.com,DNS:your-router-hostname days-valid=800 key-usage=tls-server key-size=2048

# CA aláírása (self-signed)
/certificate sign radius-ca-temp name=radius-ca ca-crl-host=0.0.0.0

# Szerver cert aláírása a CA-val
/certificate sign userman-server-temp ca=radius-ca name=userman-server-cert

Amikor a tanusítványok is elkészültek, akkor be is kapcsolhatjuk a Radius szerverünket:

Ezután már lehet is csatlakozni az új wifi beállításnak megfelelően az AP-hoz. Nem tértem ki az alapokra, mert feltételeztem, hogy az oldal olvasója, a két korábbi Mikrotik cikkemet is olvasta, és/vagy már ismeri valamennyire a Mikrotik routerek beállításának logikáját. Jelenleg én is csak tesztelem ezt a wifi beállítást (egyelőre jól működik). A felhasználók kezelése megoldható winboxból vagy a webfig felületen, illetve különféle scriptek is írjhatók automatikus engedélyezésre ill. tiltásra. Elméletileg ennek a rendszernek tudnia kellene olyan beállítást is, ahol minden felhasználónak egyedi IP címet adhatunk meg (a DHCP szerver beállításától függetlenül), ami lehetővé tenne további egyedi tűzfalas szűréseket, vagy éppen egyedi engedélyek létrehozását is, akár VLAN-ok használata nélkül is. Sajnos ez a gyakorlatban nem működött, bármilyen beállítást is használtam, mindíg a DHCP szerver által kiosztott IP cím érvényesült. Tehát ha sokféle különböző hálózati jogosultságra van szükség, akkor azt különböző VLAN-ok használatával lehet megoldani. Persze ha az eszközök MAC adresse nem változik dinamikusan, akkor a DHCP szerverben, a MAC-IP statikus összerendelésekkel gyakorlatilag fixálhatjuk bizonyos csalakoztatott eszközök IP címét (ezt amúgy is érdemes megtenni a rendszeresen használt eszközök esetében), és ilyen módon ezek is kaphatnak pl.egyedi engedélyeket (vagy éppen tiltásokat) a tűzfalban.

Érdekességképpen megemlítem, hogy kipróbáltam a Synology (vagy xpenology) NAS-ra, gyári csomagból telepíthető, egyszerű Radius szervert is, és azzal is minden további nélkül működött a wifi authentiukáció. Így kényelmesen a NAS felületén lehet wifi usereket felvenni, viszont itt, az egyszerűbb radius szerver beállításaiban nem találtam meg, hogyan lehet a wifi felhasználókat adott VLAN-be tenni.

A NAS Radius szerverének beállításai (ha azt szeretnénk inkább használni):

Ezután célszerű egy csoportot létrehozni a NAS-on a wifi felhasználók számára. Ennek a csoportnek mindent tiltunk, mert gyakorlatilag semmihez sem kell hozzáférniük a NAS-on, csak a Radius szerver, ill. a wifi használata miatt hozzuk létre ezeket a felhasználókat a NAS-on.

Csoport létrehozása:

Felhasználók létrehozása:

Skori@2026februar

A tévedés, elgépelés, stb, jogát (is) fenntartom :)

folyt. köv...

Támogasd az oldalt!