Как подружить Wi-Fi Mikrotik и TP-Link с помощью RADIUS

Хочу поделиться опытом использования нового User Manager в Mikrotik ROS 7 для Wi-Fi. Многое в статье типично, но есть моменты, найденные опытным путем.

Задача — покрыть Wi-Fi трехэтажное здание, подключить около 100 пользователей поэтапно с небольшими вложениями.

Все начиналось хорошо — для небольшого объекта купили Mikrotik — маршрутизатор RB750Gr3 и несколько точек доступа RB952, которые заодно управляемые коммутаторы. Настроил CAPsMAN, с несколькими SSID и VLAN, авторизация WPA2 PSK с проверкой MAC через Access List, ограничение скорости через Quenes. Работало просто и стабильно. Недостаток — сложность узнать MAC у пользователя, с учетом опции «случайный MAC» в устройствах. Зато удобно давать доступ по маске MAC, например для одинаковых ноутбуков.

Расстановка точек доступа и каналы просчитаны в Ekahau на перспективу расширения.

Пример одного этажа
Пример одного этажа

Для расширения покрытия «спонсоры» подарили много маршрутизаторов TP-Link TL-WR841. Почему TP-Link — не спрашивайте, будь они неладны… принцип «дают — бери». Не использовать их и ждать нормальное оборудование не вариант из-за будущих санкций «мы вам дарим, а вам не надо?…». Бюджет живет своей труднообъяснимой жизнью.

Первая мысль — прошить TP-Link DDWRT для поддержки VLAN, но на нашу аппаратную ревизию нет прошивок.

Пришлось придумывать «грабли» для интеграции TP-Link. Важно сделать единую простую авторизацию пользователей с привязкой к MAC, по возможности учет сессий и ограничение скорости.

Логично использовать EAP и единый RADIUS сервер (ранее его не было, AD в организации не используется). Как раз Mikrotik анонсировал новый User Manager в Mikrotik ROS 7 с поддержкой Wi-Fi EAP. В новой версии многое изменилось, документации толком нету. TP-Link тоже поддерживает Wi-Fi Enterprise (EAP).

RADIUS EAP
RADIUS EAP

Настройка RADIUS

  1. Обновляем Mikrotik до ROS >7.

  2. Устанавливаем пакет User Manager.

    ROS 7.1 и User Manager
    ROS 7.1 и User Manager
  3. Создаем и подписываем сертификат

    Самоподписанный сертификат
    Самоподписанный сертификат
  4. Активируем User Manager с нашим сертификатом

    User Manager
    User Manager
  5. Добавляем точки доступа с EAP.

    Name — любое интуитивное. Secret — пароль одинаковый для точки, IP — адрес точки.

    Для CAPsMAN адрес менеджера
    Для CAPsMAN адрес менеджера
    Для TP-Link адрес точки
    Для TP-Link адрес точки

Настройка CAPsMAN

Типичные настройки пропускаю, есть нюансы EAP.

  1. Формат Caller ID — по MAC для привязки устройств к учетным записям

    Caller ID
    Caller ID
  2. Авторизация на Radius — EAP сквозное.

    EAP авторизация
    EAP авторизация

Настройка TP-Link

  1. Важно обновить TP-Link и настроить как Access Point со статическим IP, включить в VLAN WiFi, по другому он отказывался работать. Отключить встроенный DHCP, тк он бывает сам его включает.

  2. Авторизацию выбрать WPA2 Enterprise. Важно указать адрес RADIUS из этого же VLAN WiFi, с другими подсетями он не работает. Пароль, которые в User Manager.

    WPA2 Enterprise
    WPA2 Enterprise

Создание учетных записей

  1. В User Manager создаем учётки пользователей. Caller ID указываем Bind — для запоминания MAC при первом подключении. Это избавляет от поиска МАС у пользователей.

    Создание User
    Создание User
  2. Появление МАС в поле Caller ID — означает успешную авторизацию пользователя.

  3. При смене устройства у пользователя — вручную Caller ID сбросить на Bind.

Контроль точек и пользователей

  1. Контроль запросов авторизации в статистике Router

    Контроль запросов
    Контроль запросов
  2. Контроль авторизации по пользователям к сожалению отсутствует при таком зоопарке оборудования. При использовании Mikrotik можно настроить MAC Accounting и видеть сессии пользователей.

  3. Лимитировать траффик и скорость в профилях User Manager также нет возможности по этим же причинам.

Подключение пользователей

Пользователь просто вводит логин/пароль!

В итоге:

  • Получилась единая сеть WiFi с единой авторизацией.

  • Качественные показатели работы WiFi не затрагиваю — это отдельная тема, не за бюджетные деньги)

  • Не важно в зоне действия какой точки находится пользователь — авторизация прозрачная.

  • Роуминг условный — между точками CAPsMAN переключение быстрое на основе уровня сигнала, между TP-Link дольше, но некритично 1-2 сек.

  • Не важно какое устройство подключается — смартфон, планшет, ноутбук.

  • Устройства с неавторизованными МАС игнорируются. При рандомных МАС убирается параметр Caller ID.

  • При развертывании AD, авторизацию пользователей легко перенастроить на NPS.

Читайте так же:

  • Apple и Xiaomi доминируют в рейтингах самых популярных умных часов и браслетов в РоссииApple и Xiaomi доминируют в рейтингах самых популярных умных часов и браслетов в России Аналитики ретейлера «М.Видео-Эльдорадо» поделились интересной статистикой по всему российскому рынку носимых устройств.  За первые шесть месяцев 2021 года продажи умных часов и фитнес-трекеров достигли около 2,5 млн штук и 22,5 млрд рублей, что на 15% и 55% больше. Чем […]
  • SEO-анализ для новичков Описание 20 апреля в 18.00 (мск) Admitad Academy вместе с digital-агентством Webit проведём вебинар «SEO-анализ для новичков».О чём расскажут на вебинаре:Какие факторы влияют на ранжирование сайта;Основные инструменты для анализа;Как проверить сайт на наличие технических ошибок;Как найти […]
  • Google рассказал, как учитываются вызовы API в краулинговом бюджетеGoogle рассказал, как учитываются вызовы API в краулинговом бюджете Сотрудник поиска Google Джон Мюллер ответил на вопрос, как вызовы API для извлечения данных влияют на краулинговый бюджет. Речь шла о сайте, который связывается с API на клиентском сайте для получения данных. Специалист спросил, учитываются ли эти URL в бюджете сканирования, и может ли […]
  • «Росатом» создаст собственного виртуального оператора«Росатом» создаст собственного виртуального оператора «Росатом» планирует запустить собственного виртуального оператора. Дочерний IT-интегратор «Гринатом» уже получил лицензию Роскомнадзора на оказание услуг мобильной связи. ShutterstockВиртуального оператора связи запустят в рамках проекта MVNO (Mobile Virtual Network Operator), […]