Категории

пятница, 7 ноября 2014 г.

Mikrotik WPA2-EAP WDS MESH

Постановка задачи, реализовать Wi-Fi сеть WPA2-EAP с авторизацией через LDAP учетки или сертификаты с бесшовным роумингом, используя WDS-MESH. При этом трафик Wi-Fi клиентов завернуть во vlan(tagged), а трафик самого роутера оставить без тега (untagged).
  1. Сброс кнопкой Reset на корпусе.
  2. Подключаемся через Windox по кабелю 2-5 порты или Wifi, в открывшемся диалоговом окне сброс пока не нажимаем!
  3. Прописываем статический ip на ether1, основной шлюз, DNS сервер.
    /ip address add address=10.10.0.101/24 interface=ether1 network=10.10.0.0
/ip dns set servers=10.10.10.254
/ip route add distance=1 gateway=10.10.0.1
  4. Жмем сброс настроек в диалоговом окне (см п.2).
  5. Роутер произведет сброс заводских настроек, но оставит пользовательские (см п.3.)
  6. Если роутер, спустя минуту не ушол в ребут - делаем вручную.
  7. Подключаемся по статическому ip (см п.3) и делаем остальные настройки, Identity(я выбрал простой нейминг точек ap1, ap2...), clock, SNTP, отключаем ненужные сервисы (telnet, api) и т.д... 
    /system ntp client set enabled=yes primary-ntp=10.10.10.254
/system clock set time-zone-name=Asia/Novosibirsk
/system identity set name=ap1
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
  8. Добавляем интерфейс vlan5 от ether1.
    /interface vlan add interface=ether1 l2mtu=1594 name=vlan5 vlan-id=5
  9. Создаем Bridge интерфейс, называем его например br-vlan5, добавляем в него порты wlan1, vlan5. 
    /interface bridge add name=br-vlan5
/interface bridge port add bridge=br-vlan5 interface=wlan1
/interface bridge port add bridge=br-vlan5 interface=vlan5
  10. Создаем Mesh интерфейс, называем его например Mesh-Interface, добавляем в него порт br-vlan5. 
    /interface mesh add hwmp-rann-propagation-delay=5 name=Mesh-Interface
/interface mesh port add interface=br-vlan5 mesh=Mesh-Interfacee
  11. Создаем Security Profle:
    12. /interface wireless security-profiles add authentication-types=wpa2-eap management-protection=allowed mode=dynamic-keys name=WPA2-EAP-MESH
    1. Name: WPA2-EAP-MESH
    2. Mode: dynamic keys
    3. Authentication Types: [v] WPA2 EAP
    4. Unicast & Group Ciphers: aes ccm
    5. Supplicant Identity: ap1 (для каждой точки свой, на всякий случай, если вдруг точка начнет авторизовываться в RADIUS, будет легче найти проблемную).
    6. Management Protection: Disabled
    7. EAP Methods: passthrough
    8. TLS Mode: no certificates
    9. TLS Certificate: none
  12. Настраиваем wlan1 интерфейс:
    13. /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no l2mtu=2290 mode=ap-bridge radio-name=AP1 security-profile=WPA2-EAP-MESH ssid=YOUR_SSID wds-default-bridge=Mesh-Interface wds-mode=dynamic-mesh wireless-protocol=802.11
    1. Выбираем канал (частоту, я выбрал 2412) (ВАЖНО, для работы WDS необходимо, чтобы канал на ВСЕХ роутерах был один).
    2. Mode: ap bridge
    3. Band: 2GHz-B/G/N
    4. Прописываем SSID сети.
    5. Wireless Protocol: 802.11.
    6. Security Profile: WPA2-EAP-MESH (см п.10).
    7. Bridge Mode: Enabled.
    8. WDS Mode: Dynamic-Mesh; WDS Default Bridge: Mesh-Interface.
  13. Производим настройку WDS:
    1. Создаем Security-Profile, чтобы роутеры могли авторизовывать друг друга. 
      /interface wireless security-profiles add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=4WDS supplicant-identity="" wpa2-pre-shared-key=wpa2password4wds
      1. Name: 4WDS
      2. Mode: dynamic keys
      3. Authentication Types: [v] WPA2 PSK
      4. Unicast & Group Ciphers: aes ccm
      5. WPA2 Pre-Shared Key: ОдинаковыйПарольНаВсехРоутерах
      6. Management Protection: Disabled
    2. Создаем Connect-List и добавляем в него MAC-адреса каждого роутера.
      /interface wireless connect-list add interface=wlan1 security-profile=4WDS wireless-protocol=802.11 mac-address=4C:5E:0C:XX:XX:01 comment=ap2
/interface wireless connect-list add interface=wlan1 security-profile=4WDS wireless-protocol=802.11 mac-address=4C:5E:0C:XX:XX:10 comment=ap3
      1. Interface: Wlan1
      2. Mac Address: XX:XX:XX:XX:XX:XX
      3. [V] Connect
      4. Wireless Protocol: 802.11
      5. Security Profile: 4WDS (см п.12.1.1)
  14. Добавляем информацию о RADIUS сервере:
    15. /radius add address=10.10.10.254 secret=supersecretpwd service=wireless
    1. Service: [v] wireless
    2. Address: 10.10.10.254 (у меня RADIUS на этом сервере).
    3. Secret: ***** (Пароль от радиус сервера).
    4. Authentication Port: 1812 (стандартный)
    5. Accounting Port: 1813 (стандартный)
  15. Настройка RADIUS сервера:
Продолжение следует...


  1. Manual:Interface/Wireless
  2. Wireless WDS Mesh
  3. Контроллер Wi-Fi точек доступа на Mikrotik

Комментариев нет:

Отправить комментарий