Добрый день
Возможно ли убрать с микротика все пароли от вайфая WPA PSK (Capsman), и хранить их на каком-нибудь сервере
Нужно для того чтобы была "Гостевая" сеть, в которую можно было подключаться только по паролю без окошка с вводом логина и при запросе микротик брал ключ на внешнем сервере. MACaddress+freeRADIUS в качестве логина не подходит, т.к. окошко с логином появляется. EAP тоже не то (он запрашивает и логин и пасс), организовал его через freeRADIUS, там всё ок. Хотспот не предлагать, он работает, но есть ньюансы, такие как: задержка страницы приветствия и иногда бывают ошибки интерфейса.
Пробовал разные варианты, но если стоит галка PSK, микрот тупо ищет ключ у себя во внутреннем конфиге и нет никакой инфы по данному вопросу
Хранение конфига с паролями PSK вне микротика
-
Sertik
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Так что же нужно если всё работает и ок ?организовал его через freeRADIUS, там всё ок.
И чем не устраивает хранение PSK ключей в самом Микротике ? При правильной настройке файерволла разве может кто-нибудь его взломать ? Да и кому нужно Вас ломать (у Вас что военный объект ?)
Как вариант можно сделать скрипт, позволяющий клиенту запросить и получить по СМС индивидуальный ключ сети со сменой пароля на новые подключения хоть раз в нужный интервал, хоть сразу после произошедшего подключения.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
qooqle
- Сообщения: 6
- Зарегистрирован: 10 окт 2022, 09:14
Хранение ключей не в микротике - это пожелание руководства.Sertik писал(а): ↑10 окт 2022, 14:32Так что же нужно если всё работает и ок ?организовал его через freeRADIUS, там всё ок.
И чем не устраивает хранение PSK ключей в самом Микротике ? При правильной настройке файерволла разве может кто-нибудь его взломать ? Да и кому нужно Вас ломать (у Вас что военный объект ?)
Как вариант можно сделать скрипт, позволяющий клиенту запросить и получить по СМС индивидуальный ключ сети со сменой пароля на новые подключения хоть раз в нужный интервал, хоть сразу после произошедшего подключения.
Может вы не внимательно прочитали, радиус немного не то.
Сделать только парольный запрос при подключении сети, без логина (для удобства)
Микротик если выставить PSK, на радиус не обращается!
А вариант с хотспот увы не удобен, иногда ждать страницу приходится несколько секунд, иногда веб аутентификация глючит и не срабатывает
-
mafijs
- Сообщения: 536
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
Ну а если сделать "ход конём" ?
Поднять CapsMan на железке, о которой руководство и не знает? Пароли там.
И не на точках, не на роутере паролей WiFi нет.
Поднять CapsMan на железке, о которой руководство и не знает? Пароли там.
И не на точках, не на роутере паролей WiFi нет.
-
qooqle
- Сообщения: 6
- Зарегистрирован: 10 окт 2022, 09:14
-
qooqle
- Сообщения: 6
- Зарегистрирован: 10 окт 2022, 09:14
Кому интересно - разобрался
Создаётся правило в акссес листе - фильтр по макмаске
На freeradiuse создаётся правило фильтрации по имени сети
И микротик заворачивает всю аутентификацию(включая PSK) на радиус и не держит в себе паролей
Создаётся правило в акссес листе - фильтр по макмаске
На freeradiuse создаётся правило фильтрации по имени сети
И микротик заворачивает всю аутентификацию(включая PSK) на радиус и не держит в себе паролей