Xác thực MAC WiFi MikroTik với Máy chủ RADIUS của UserMan

MikroTik Router, RADIUS Server

MikroTik Wireless Router được sử dụng phổ biến như WiFi AP. MikroTik WiFi AP có rất nhiều tính năng để điều chỉnh mạng WiFi theo yêu cầu của bạn. Xác thực MAC là một trong những tính năng tuyệt vời và hữu ích trong MikroTik WiFi. Xác thực MAC cho phép lọc địa chỉ MAC, nghĩa là không MAC nào có thể kết nối với WiFi AP mà không cần xác thực. Xác thực MAC có thể được thực hiện trong cơ sở dữ liệu cục bộ hoặc Máy chủ RADIUS. Xác thực MAC với RADIUS Server cung cấp cơ sở để quản lý nhiều AP từ cơ sở dữ liệu tập trung. Trình quản lý người dùng là một Ứng dụng RADIUS được phát triển bởi nhóm MikroTik và có thể được sử dụng để quản lý người dùng PPPoE, Hotspot, DHCP và Wireless một cách dễ dàng. Cách cài đặt User Manager RADIUS Server với cấu hình cơ bản đã được thảo luận trong bài viết trước của tôi. Tôi cũng đã thảo luậncách cấu hình MikroTik Wireless Router làm WiFi AP trong một bài viết khác. Trong bài viết này, tôi sẽ thảo luận về cách quản lý người dùng WiFi bằng Trình quản lý người dùng RADIUS Server.

Giản đồ hệ thống

Sơ đồ mạng sau đây đang được theo dõi cho cấu hình bài viết này.

Trong sơ đồ mạng này, Bộ định tuyến không dây MikroTik (RB941-2nD) đang được sử dụng làm Điểm truy cập WiFi (IP: 192.168.70.2) được kết nối với Bộ chuyển mạch WAN nơi Máy chủ RADIUS của Trình quản lý người dùng (IP: 192.168.70.3) cũng được kết nối. AP WiFi sẽ được định cấu hình là AP được xác thực MAC để không có thiết bị Không dây nào (Máy tính xách tay, Điện thoại thông minh, Notebook, v.v.) được kết nối mà không cung cấp Địa chỉ MAC và Địa chỉ MAC sẽ được xác thực từ Máy chủ RADIUS.

Cấu hình AP WiFi được xác thực MAC với RADIUS Server

Cấu hình WiFi AP xác thực MAC hoàn chỉnh với Máy chủ RADIUS của Trình quản lý người dùng có thể được chia thành hai phần sau.

  • Kích hoạt xác thực MAC từ RADIUS Server trong WiFi AP
  • User Manager Cấu hình RADIUS Server để xác thực thiết bị WiFi

Phần 1: Kích hoạt xác thực MAC từ RADIUS Server trong MikroTik WiFi AP

Cấu hình MikroTik Wireless Router như WiFi AP đã được thảo luận trong một bài viết khác. Sơ đồ xác thực mặc định trong MikroTik WiFi AP là bất kỳ ai cũng có thể kết nối chỉ cần biết SSID và Mật khẩu. Sơ đồ này rõ ràng là không thích hợp hơn cho mạng an toàn. Vì vậy, xác thực MAC là sự lựa chọn tốt nhất cho bất kỳ mạng không dây nào. Vì xác thực MAC không được bật theo mặc định, chúng tôi phải bật xác thực MAC theo cách thủ công để áp dụng lược đồ này. Các bước sau đây sẽ chỉ ra cách bật xác thực RADIUS MAC trong MikroTik WiFi AP.

  • From Winbox, click on Wireless menu item. Wireless Tables window will appear.
  • Click on Security Profiles tab and then double click on created WiFi Profile that is being used by WiFi AP. Security Profile window will appear.
  • Click on RADIUS tab and then click on MAC Authentication check box.
  • If you want to MAC accounting, click on MAC Accounting check box and set Interim Update (example: 00:00:59 for one minute interval) time (The time interval for sending accounting status to RADIUS Server).
  • Optionally you can choose MAC address format that you prefer from MAC Format dropdown menu.
  • You can also set whether the MAC will be send as only username or both username and password to RADIUS Server for authentication. The default MAC mode is username only and I am keeping the default setting.
  • Click Apply and OK button.

MikroTik WiFi AP hiện là WiFi AP được xác thực MAC và xác thực MAC sẽ được kiểm tra từ Máy chủ RADIUS. Vì vậy, nếu RADIUS Server cho phép bất kỳ địa chỉ MAC nào, thiết bị sẽ được phép kết nối với WiFi AP nếu không thiết bị sẽ bị từ chối.

Bây giờ chúng ta phải định cấu hình máy khách RADIUS trong MikroTik RouterOS để RouterOS có thể giao tiếp với Máy chủ RADIUS để gửi và nhận dữ liệu xác thực, ủy quyền và kế toán. Các bước sau đây sẽ chỉ ra cách định cấu hình máy khách RADIUS trong MikroTik RouterOS.

  • From Winbox, click on RADIUS menu item. Radius window will appear.
  • Click on PLUS SIGN (+) to add a RADIUS Server. New Radius Server window will appear now.
  • Click on wireless checkbox from Service panel.
  • Put RADIUS Server IP address (in this article: 192.168.70.3) in Address input field.
  • Put Shared secret (in this article: 123) in Secret input field and remember it because you have to provide this secret in RADIUS Server Routers configuration.
  • Click Apply and OK button.
  • From RADIUS window, click on Incoming button. RADIUS Incoming window will appear.
  • Click on Accept checkbox and the default port will be 3799. So, nothing to do. Click Apply and OK button.

Cấu hình RADIUS Client trong MikroTik RouterOS đã hoàn tất. Bây giờ MikroTik RouterOS sẽ có thể giao tiếp với Máy chủ RADIUS được chỉ định.

Bây giờ chúng ta sẽ định cấu hình Máy chủ RADIUS của Trình quản lý người dùng để thiết bị không dây có thể được xác thực từ Máy chủ RADIUS và nhận được ủy quyền thích hợp.

Phần 2: Cấu hình máy chủ RADIUS của Trình quản lý người dùng để xác thực thiết bị WiFi

Trình quản lý người dùng là một ứng dụng RADIUS và Máy chủ RADIUS được sử dụng để thực hiện giải pháp AAA (Xác thực, Ủy quyền và Kế toán). Vì vậy, bằng cách sử dụng Máy chủ RADIUS của User Manger, chúng tôi có thể thực hiện xác thực, ủy quyền và kế toán các thiết bị WiFi trong Mạng không dây. Cách cài đặt User Manager RADIUS Server với cấu hình cơ bản đã được thảo luận trong một bài viết khác. Vì vậy, ở đây tôi chỉ trình bày cách cấu hình User Manger để xác thực thiết bị WiFi.

Lúc đầu, chúng tôi sẽ thêm Bộ định tuyến không dây làm thiết bị NAS của Trình quản lý người dùng để Trình quản lý người dùng có thể trả lời bất kỳ truy vấn RADIUS nào của Bộ định tuyến không dây của chúng tôi. Các bước sau đây sẽ chỉ ra cách thêm Bộ định tuyến không dây MikroTik làm thiết bị NAS trong Máy chủ RADIUS của Trình quản lý người dùng.

  • Login User Manager Web Interface.
  • Click on Routers menu item. Router page will appear.
  • From top menu bar click on Add menu and then choose New option. Router Details window will appear now.
  • In Main panel, put a meaningful name (example: MikroTik Router) for that client router in Name input field.
  • Put the IP address of the client router (example: 192.168.70.2 that will use User Manager as its RADIUS client) in IP address input field.
  • Put the password that you provide in RouterOS RADIUS Client configuration in Shared secret input field. This password must match otherwise the Wireless Router cannot communicate with this RADIUS Server.
  • In Radius incoming panel, check the CoA (Change of Authorization) check box and put CoA port 3799. This port will be used to send acknowledgment to NAS device for a user’s authorization. For example, if a user exceeds his time limit, RADIUS Server will tell the NAS device to disconnect the user immediately.
  • Click Add button to add this NAS device.

Cấu hình bộ định tuyến trong Trình quản lý người dùng

Bộ định tuyến không dây và Trình quản lý người dùng Máy chủ RADIUS hiện đã sẵn sàng giao tiếp với nhau. Trong bước tiếp theo, chúng tôi sẽ định cấu hình người dùng RADIUS sẽ được xác thực trong WiFi AP.

Trong Máy chủ RADIUS của Trình quản lý Người dùng, mọi người dùng phải có một hồ sơ nếu không thì người dùng đó không thể hợp lệ. Vì vậy, trước khi tạo người dùng, chúng ta phải định cấu hình hồ sơ cho người dùng. Trong bài viết này, chúng tôi sẽ tạo ba hồ sơ theo thông tin sau.

SN Profile Name Limitation
1 1 Mb Package 1 Mbps download speed
2 2 Mb Package 2 Mbps download speed
3 5 Mb Package 5 Mbps download speed

Các bước sau đây sẽ chỉ ra cách tạo ba cấu hình này với giới hạn đã mô tả.

  • Click on Profiles menu item. Profile page will appear.
  • From Profiles tab click on PLUS SIGN (+). Create profile pop up window will appear.
  • Put the first Profile name (1 Mb Package) in Name input box and click Create button. Profile and Profile property list will appear that can be changed as required.
  • The created profile has no limitation. To add limitation click on Add new limitation button. Profile part pop up window will appear.
  • In Period panel, you can set Days and Time when this profile will be active. By default it will keep 24/7.
  • From Limits Panel click on New limit button. Limitation details popup window will appear.
  • In Main panel, put a limit name (example: 1Mb) in Name input field.
  • In Rate limits panel, put 1M in Rate limit Tx input field and click Add button. Optionally you can set Burst Tx limit, Burst threshold and Burst time. In MikroTik Wireless Router, the Tx limit (transfer limit from AP to wireless device) is applied and Rx cannot be applied. Rx limit only applicable for RouterOS client. So, don’t need to put Rx limit.
  • Created limit will be available and remain selected in Limits panel. Click Add button to add this limit to user profile.
  • First profile with proper limitation will be created.

Tương tự tạo Gói 2 Mb và 5 Mb. Sau khi tạo hồ sơ, bây giờ chúng ta sẽ tạo người dùng và gán hồ sơ đã tạo cho người dùng.

Các bước sau đây sẽ chỉ ra cách tạo người dùng trong Máy chủ RADIUS của Trình quản lý người dùng.

  • Click on Users menu item. User page will appear.
  • From top menu bar click on Add and then click on One option. User details popup window will appear.
  • In Main panel, put the device MAC address that you want to allow in Username input filed. As we have chosen MAC Mode only username in WiFi RADIUS configuration, keep the Password field blank.
  • From Constraints panel, you can set IP address for this user from IP address input filed and from Wireless panel, you can set private password (SSID password) for this user from Preshared key input field.
  • You can also put user private information in Private information panel.
  • From Assign profile dropdown menu choose any created profile (example: 1 Mb Package) that you want to assign for this user.
  • Click Add button to create this user.

Bạn có thể tạo bao nhiêu người dùng tùy thích cho mạng không dây của mình theo các bước trên.

Sau khi tạo người dùng, bây giờ hãy kết nối thiết bị không dây mong muốn với WiFi AP. Nếu mọi thứ đều ổn, thiết bị mong muốn của bạn sẽ có thể kết nối với mạng không dây của bạn và bạn sẽ tìm thấy phiên hoạt động của người dùng trong Máy chủ RADIUS của Trình quản lý người dùng.

Phiên người dùng trong RADIUS Server

Bạn cũng có thể tìm thấy trạng thái người dùng được kết nối trong tab Đăng ký trong cửa sổ Bảng không dây. Tại đây, bạn sẽ tìm thấy tốc độ truyền dữ liệu của người dùng ở trạng thái Giới hạn AP Tx.

Nếu bất kỳ ai cố gắng kết nối với WiFi AP của bạn mà không được phép, anh ta sẽ bị từ chối.

Một câu hỏi phổ biến là nếu bất kỳ ai biết Địa chỉ MAC được phép và thay đổi địa chỉ MAC của mình, anh ta sẽ có thể kết nối trong quá trình hack này. MikroTik có một giải pháp dễ dàng cho tình huống này. Đặt mật khẩu riêng vào Khóa chia sẻ trước trong khi tạo người dùng trong Máy chủ RADIUS của Trình quản lý người dùng. Để được kết nối với WiFi AP, người dùng phải khớp địa chỉ MAC và khóa Chia sẻ trước nếu không sẽ không thể kết nối. Vì vậy, việc hack địa chỉ MAC sẽ vô ích.

Nếu bạn gặp bất kỳ sự nhầm lẫn nào để thực hiện đúng các bước trên, hãy xem video sau về Xác thực MAC WiFi với RADIUS Server. Tôi hy vọng nó sẽ làm giảm bất kỳ sự nhầm lẫn của bạn.

Cách Định cấu hình Xác thực RADIUS MAC trong Bộ định tuyến Không dây MikroTik đã được thảo luận trong bài viết này. Tôi hy vọng bây giờ bạn sẽ có thể định cấu hình Xác thực MAC WiFi AP với Máy chủ RADIUS của Trình quản lý người dùng. Tuy nhiên, nếu bạn gặp phải bất kỳ sự nhầm lẫn nào, vui lòng thảo luận trong nhận xét hoặc liên hệ với tôi từ trang Liên hệ .