Добрый день всем! Есть задача организовать бесшовный роуминг, WPA2 EAP с авторизацией на Windows 2012 NPS, все настроил в тестовой среде вначале просто на Mikrotik, без CAPsMAN и все заработало, НО если те же настройки применить к профилю на капсмане, то клиент получает IP (DHCP сервер на другом микротике), в логах NPS пишет "Network Policy Server granted access to a user.", НО связи с сетью нет, даже пингов. Как только убираю CAPsMAN - связь появляется. Может что не доглядел? Буду признателен за любую помощь! конфиг с тестового микротика (ssid test работает; при включении capsman ssid test1 не работает как надо): # nov/21/2017 15:25:06 by RouterOS 6.40.3 # software id = 8DXE-SL0U # # model = 951Ui-2HnD # serial number = 4AC704232693 /caps-man channel add band=2ghz-b/g/n control-channel-width=20mhz frequency=2427 name=channel1 /interface bridge add admin-mac=4C:5E:0C:7A:C4:98 auto-mac=no fast-forward=no name=bridgeLocal /interface ethernet set [ find default-name=ether1 ] /caps-man interface add disabled=no mac-address=64: D1:54:71:3E:89 master-interface=none name=cap1 \ radio-mac=64: D1:54:71:3E:89 /caps-man datapath add bridge=bridgeLocal client-to-client-forwarding=yes local-forwarding=no \ name=datapath1 /caps-man security add authentication-types=wpa2-eap eap-methods=passthrough \ eap-radius-accounting=yes encryption=tkip name=wpa2 /caps-man configuration add channel=channel1 country=russia datapath=datapath1 mode=ap name=cfg1 \ rx-chains=0,1,2 security=wpa2 ssid=test1 tx-chains=0,1,2 /interface wireless security-profiles add authentication-types=wpa2-eap group-ciphers=tkip mode=dynamic-keys name=\ test supplicant-identity="" unicast-ciphers=tkip /interface wireless # managed by CAPsMAN # channel: 2427/20-Ce/gn(20dBm), SSID: test1, CAPsMAN forwarding set [ find default-name=wlan1 ] country=russia frequency=2462 mode=ap-bridge \ security-profile=test ssid=test wps-mode=disabled /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled master-configuration=cfg1 name-format=\ prefix-identity name-prefix=CAP_ /interface bridge port add bridge=bridgeLocal interface=ether2 add bridge=bridgeLocal interface=ether3 add bridge=bridgeLocal interface=ether4 add bridge=bridgeLocal interface=ether5 add bridge=bridgeLocal interface=wlan1 add bridge=bridgeLocal interface=cap1 /interface wireless cap # set bridge=bridgeLocal caps-man-addresses=192.168.11.244 enabled=yes \ interfaces=wlan1 /ip address add address=192.168.11.244/24 interface=bridgeLocal network=192.168.11.0 add address=192.168.11.244/24 disabled=yes interface=ether1 network=\ 192.168.11.0 /ip dhcp-client add add-default-route=no dhcp-options=hostname,clientid interface=ether1 add dhcp-options=hostname,clientid interface=bridgeLocal /ip dns set allow-remote-requests=yes /ip firewall filter add action=accept chain=input /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set udplite disabled=yes set dccp disabled=yes set sctp disabled=yes /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set www-ssl disabled=no set api disabled=yes set api-ssl disabled=yes /radius add address=192.168.1.1 secret=xxxxxxx service=wireless /radius incoming set accept=yes /system clock set time-zone-name=Europe/Moscow /system ntp client set enabled=yes primary-ntp=192.168.1.1
без радиуса работает, выставляю wpa2 psk и с паролем все работает на "ура" без капсмана авторизация по радиусу с сертификатами отлично работает, доступ к сети есть, как только включаю капсман - получаю IP, в логах NPS доступ пользователю предоставлен, НО пингов от клиента и к клиенту нет..
Вот на заморском форму нашел: /caps-man security add authentication-types=wpa2-eap eap-methods=passthrough eap-radius-accounting=yes encryption=aes-ccm name=local-security-nextgen /interface wireless security-profiles add authentication-types=wpa2-eap management-protection=allowed mode=dynamic-keys name=profile2 radius-mac-accounting=yes radius-mac-authentication=yes radius-mac-caching=30s radius-mac-mode=as-username-and-password supplicant-identity="" /radius add address=192.168.146.13 secret=somebigkey service=wireless вроде работает в такой конфигурации
попробовал - не помогло, первая строчка как у меня, только вместо TKIP стоит AES получается нужно пробовать только с мак авторизацией на радиусе?
Посмотрите вот эту презентацию. presentation_3437_1465455889.pdf Там вам наверное все что в ней есть не нужно, но направление подскажет.
Добрый вечер! Подскажите насчет CRS 326, пожалуйста. При минимальной нагрузке System->Health показывает 63....67 градусов. Кулера внутри нету, стоит в серверной стойке 30U, рядом HP V1910 43градуса. Хотелось бы услышать ваше мнение, спасибо!
В прошлом году работали с CRS 125, с ними такого не было, стояли в стойках. Но внутри, если не ошибаюсь, был 40мм кулер.. в CRS 326 есть место для его крепления, но вот разъём 12VDC я не нашел... Денис, спасибо за ответ!)
