Настраиваем централизованное управление точками доступа MikroTik CAPsMAN с аутентификацией на основе MAC-адресов и посредством RADIUS
Будем считать, что соединение между точками доступа и маршрутизатором реализовано посредством 802.1Q-транков с разрешенными VLAN 100 и VLAN 200, интерфейсу маршрутизатора в VLAN 100 назначен адрес 10.0.0.1, а клиентские устройства, подключающиеся к точке доступа, должны помещаться в VLAN 200. Используемое оборудование - Mikrotik RB2011IL и MikroTik hAP ac2
Настройка транков
Конфигурирование транков будет выполнено на примере точки доступа. Интерфейсы будут настраиваться следующим образом: ether1 - транк-порт с разрешенными VLAN 100 и VLAN 200, а интерфейсы ether2 - ether5 - порты доступа в VLAN 200
создаем мост с выключенной фильтрацией VLAN
interface bridge add name=bridge vlan-filtering=no
добавляем к мосту транк-порт, выключая аппаратную обработку кадров
interface bridge port add bridge=bridge interface=ether1 hw=no
настраиваем транк-порт
interface bridge vlan add bridge=bridge tagged=bridge,ether1 vlan-ids=100
interface bridge vlan add bridge=bridge tagged=bridge,ether1 vlan-ids=200
добавляем к мосту порты доступа, указывая соответствующий VID (аппаратную обработку кадров также отключаем)
interface bridge port add bridge=bridge interface=ether2 hw=no pvid=200
…
interface bridge port add bridge=bridge interface=ether5 hw=no pvid=200
добавляем к мосту беспроводные интерфейсы
interface bridge port add bridge=bridge interface=wlan1
interface bridge port add bridge=bridge interface=wlan2
создаем VLAN-интерфейс
interface vlan add name=vlan100 interface=bridge vlan-id=100
назначаем VLAN-интерфейсу IP-адрес
ip address add interface=vlan100 address=some_ip_address
включаем фильтрацию VLAN
interface bridge set 0 vlan-filtering=yes
Подключение точек доступа
на маршрутизаторе разрешаем входящий трафик CAPsMAN
ip firewall filter add chain=input in-interface=vlan100 protocol=udp dst-port=5246,5247 action=accept
создаем конфигурацию точек доступа
caps-man configuration add name=cfg country=russia ssid=some_ssid datapath.bridge=bridge datapath.vlan-mode=use-tag datapath.vlan-id=200 security.authentication-types=wpa2-psk security.passphrase=some_pass
добавляем правило развертывания
caps-man provisioning add master-configuration=cfg action=create-dynamic-enabled
включаем CAPsMAN
caps-man manager set enabled=yes
на точках доступа настраиваем подключение к CAPsMAN
interface wireless cap set enabled=yes interfaces=wlan1,wlan2 caps-man-addresses=10.0.0.1
Проверка подлинности на основе MAC-адресов
на маршрутизаторе разрешаем подключение нужных клиентов
caps-man access-list add mac-address=aa:bb:cc:dd:ee:ff action=accept
запрещаем подключение всех остальных устройств
caps-man access-list add action=reject
Проверка подлинности посредством RADIUS
Предполагается, что в качестве RADIUS-сервера выступает Windows Server 2008 R2 с ролью "Службы политики сети и доступа", на сервере установлен сертификат, выданный центром сертификации предприятия, а IP-адрес сервера - 10.0.0.254
на RADIUS-сервере в оснастке "Сервер сетевых политик" добавляем маршрутизатор в качестве RADIUS-клиента
создаем политику запросов на подключение
обзор - тип сервера доступа к сети - unspecified
условия - ограничение по дням недели и времени суток - пн-вс с 00:00 до 24:00
создаем сетевую политику
обзор → тип сервера доступа к сети → unspecified
условия → группы Windows → SomeDomain\Пользователи Wi-Fi
условия → тип порта NAS → Wireless IEEE 802.11
ограничения → методы проверки подлинности → Microsoft: Защищенные EAP (PEAP) → Защищенный пароль EAP-MSCHAP v2
на маршрутизаторе добавляем RADIUS-сервер
radius add address=10.0.0.254 secret="some_password"
изменяем конфигурацию точек доступа
caps-man configuration set 0 security.authentication-types=wpa2-eap security.eap-methods=passthrough
caps-man configuration unset 0 security.passphrase
замечание: для предотвращения атак "Man-in-the-middle" необходимо добавить сертификат корневого центра сертификации предприятия в соответствующее хранилище сертификатов клиентов, а в параметрах Wi-Fi подключений включить проверку сертификата сервера аутентификации