EAP-MSCHAP v2 + ТД ростелекома в селе (RTWiFi)

Trefilov_Alex · 26 фев 2018, 16:18

Проблема следующая. Необходимо подключиться к точке доступа ростелеком в селе установленной по программе устранения цифрового неравенства. В качестве клиента используется RB 411 + радиокарта R52n. В плане радиоканала всё ОК (прямая видимость, антенна на клиенте с к.у. 19дБ, уровень принимаемого сигнала от ТД -45dB, шумы ниже -90dB). На микротике собран прозрачный бридж. На ТД поднято два SSID RTOpen (открытая сеть) для доступа исключительно на сайт ростелека и RTWiFi (закрытая сеть WPA2-Enterprise с методом проверки подлинности EAP-MSCHAP v2). Регистрация пройдена имя и ключ валидные (на смартфонах и винде всё взлетает). Как я не бился пройти ассоциацию на RTWiFi c микротиком так и не удалось. Ассоциация за SSID RTOpen проходит без проблем, IP ч-з бридж на сетевуху прилетает шустро, сайт ростелека доступен (ну я к тому что бридж и железо работает корректно).
Кто имеет опыт настройки микротика под ростелековский ВайФай отзовитесь.

P.S. Пытался настроить под прошивками 6.41.2 и 6.42rc35 (с запиленной поддержкой EAP-MSCHAP v2 в режиме клиента) результат один — не взлетело…

algerka · 26 фев 2018, 20:37

Trefilov_Alex писал(а): ↑26 фев 2018, 16:18 Проблема следующая. Необходимо подключиться к точке доступа ростелеком в селе установленной по программе устранения цифрового неравенства. В качестве клиента используется RB 411 + радиокарта R52n. В плане радиоканала всё ОК (прямая видимость, антенна на клиенте с к.у. 19дБ, уровень принимаемого сигнала от ТД -45dB, шумы ниже -90dB). На микротике собран прозрачный бридж. На ТД поднято два SSID RTOpen (открытая сеть) для доступа исключительно на сайт ростелека и RTWiFi (закрытая сеть WPA2-Enterprise с методом проверки подлинности EAP-MSCHAP v2). Регистрация пройдена имя и ключ валидные (на смартфонах и винде всё взлетает). Как я не бился пройти ассоциацию на RTWiFi c микротиком так и не удалось. Ассоциация за SSID RTOpen проходит без проблем, IP ч-з бридж на сетевуху прилетает шустро, сайт ростелека доступен (ну я к тому что бридж и железо работает корректно).
Кто имеет опыт настройки микротика под ростелековский ВайФай отзовитесь.

P.S. Пытался настроить под прошивками 6.41.2 и 6.42rc35 (с запиленной поддержкой EAP-MSCHAP v2 в режиме клиента) результат один — не взлетело…

WPA-Enterprise не работает на Микротик. Тема ни раз уже поднималась. Воспользовались бы поиском: viewtopic.php?f=15&t=7369
И где вы увидели "поддержкой EAP-MSCHAP v2 в режиме клиента" ?

26 фев 2018, 20:39

офтоп: Росс денег беред за эти точки общественного доступа?

Erik_U · 27 фев 2018, 07:33

из "поддержки" в профиле есть только
EAP Methods - есть "EAP TTLS MSCHAP v2"
и поля
MSCHAPv2 Username
и
MSCHAPv2 Password

Оно работает с ростелекомом?

офтоп: Росс денег беред за эти точки общественного доступа?

сначала брал, а теперь бесплатно. Вот, например, информация о тарифах в Тульской обл.
https://tula.rt.ru/homeinternet/wifi/free_wifi

Trefilov_Alex · 27 фев 2018, 07:41

vqd писал(а): ↑26 фев 2018, 20:39 офтоп: Росс денег беред за эти точки общественного доступа?

Халява, по крайней мере пока.

Trefilov_Alex · 27 фев 2018, 07:45

Erik_U писал(а): ↑27 фев 2018, 07:33 из "поддержки" в профиле есть только
EAP Methods - есть "EAP TTLS MSCHAP v2"
и поля
MSCHAPv2 Username
и
MSCHAPv2 Password

Оно работает с ростелекомом?

офтоп: Росс денег беред за эти точки общественного доступа?
сначала брал, а теперь бесплатно. Вот, например, информация о тарифах в Тульской обл.
https://tula.rt.ru/homeinternet/wifi/free_wifi

Вот в том то и дело что не работает. Но тут вопрос либо микротик вообще не умеет, либо это бага, либо не верные настройки.

Erik_U · 27 фев 2018, 07:54

РТ в инструкции для IOS предполагает помимо логина/пароля использовать сертификат.
Может его скачать, скормить микротику, и указать в "сертификат ТЛС"?

Чтобы соединение пыталось установиться, нужно это все в connect list внести?

enzain · 27 фев 2018, 09:55

Erik_U писал(а): ↑27 фев 2018, 07:54 РТ в инструкции для IOS предполагает помимо логина/пароля использовать сертификат.
Может его скачать, скормить микротику, и указать в "сертификат ТЛС"?

Это обязательно надо сделать

seregaelcin · 28 фев 2018, 21:58

algerka писал(а): ↑26 фев 2018, 20:37
Trefilov_Alex писал(а): ↑26 фев 2018, 16:18 Проблема следующая. Необходимо подключиться к точке доступа ростелеком в селе установленной по программе устранения цифрового неравенства. В качестве клиента используется RB 411 + радиокарта R52n. В плане радиоканала всё ОК (прямая видимость, антенна на клиенте с к.у. 19дБ, уровень принимаемого сигнала от ТД -45dB, шумы ниже -90dB). На микротике собран прозрачный бридж. На ТД поднято два SSID RTOpen (открытая сеть) для доступа исключительно на сайт ростелека и RTWiFi (закрытая сеть WPA2-Enterprise с методом проверки подлинности EAP-MSCHAP v2). Регистрация пройдена имя и ключ валидные (на смартфонах и винде всё взлетает). Как я не бился пройти ассоциацию на RTWiFi c микротиком так и не удалось. Ассоциация за SSID RTOpen проходит без проблем, IP ч-з бридж на сетевуху прилетает шустро, сайт ростелека доступен (ну я к тому что бридж и железо работает корректно).
Кто имеет опыт настройки микротика под ростелековский ВайФай отзовитесь.

P.S. Пытался настроить под прошивками 6.41.2 и 6.42rc35 (с запиленной поддержкой EAP-MSCHAP v2 в режиме клиента) результат один — не взлетело…
WPA-Enterprise не работает на Микротик. Тема ни раз уже поднималась. Воспользовались бы поиском: viewtopic.php?f=15&t=7369
И где вы увидели "поддержкой EAP-MSCHAP v2 в режиме клиента" ?

Микроты работают с УЦН

Могу сказать даже как
Обновить софт до 6.41
Создать секурити профайл с WPA2EAP. В суппликант идентифай вписать логин, менеджмент протекшн - алловед.
Еап методс - ПЕАП
ТЛС моде - донт верифай сертификат
МСЧАП Юзер - логин
МСЧАП Пассворд пароль

Влан интерфейс настроить как стейшн и прикрутить секурити профайл. Нажать кнопку скан, выбрать RTWifi и нажать коннект

Trefilov_Alex · 05 мар 2018, 19:44

Таки взлетело...
Всё почти как как описал seregaelcin. Но, не совсем. Пока не включил поддержку TKIP микротик наглухо отказывался ассоциироваться на ТД. Да и МАК wlan1 заменил на МАК смартфона с которым работал на ТД прежде, не знаю обязательное ли это условие но проверять с родным маком микротика не было уже времени (да и желания).

Код: Выделить всё

# model = 411AH
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
    supplicant-identity=MikroTik wpa2-pre-shared-key=12345678
add authentication-types=wpa2-eap eap-methods=peap group-ciphers=tkip,aes-ccm \
    management-protection=allowed mode=dynamic-keys mschapv2-password=d******h \
    mschapv2-username=7797******* name=7797******* supplicant
    7797******* tls-mode=dont-verify-certificate unicast-ciph
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=japan
    frequency=auto mac-address=28:**:**:**:**:5C radio-name="
    security-profile=7797******* ssid=RTWiFi wps-mode=disable
/ip pool
add name=dhcp_pool0 ranges=10.192.111.100-10.192.111.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether1 leas
    dhcp1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=10.192.111.1/24 interface=ether1 network=10.192.1
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=wlan
/ip dhcp-server network
add address=10.192.111.0/24 dns-server=8.8.8.8 gateway=10.192
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wlan1

EAP-MSCHAP v2 + ТД ростелекома в селе (RTWiFi)

Вход • Регистрация