1 Attachment(s)
MikroTik WPA2 AES EAP-PEAP
Hi All,
Udah lama banget ga nulis-nulis lagi di FMI karena sibuk gawe hehehe sekarang mau share dan berbagi ilmu yah... mungkin lumayan buat nambah pengetahuan bagi yang belum tahu, kalo sudah tahu dilengkapi biar jadi sempurna
Topik ini di angkat sebenarnya kebetulan ada customer kantor menggunakan security lumayan ini buat Mobile Terminal (Honeywell, Motorola, Opticon, Bluebird Pidion) alias perangkat AutoID, pas kebetulan yang di bawa ada 2 tipe, 1 WindowsCE dan 1 lagi Windows Embeded Handheld, sayangnya pas di coba hanya WindowsCE saja yang bisa melakukan koneksi ke wireless sedangkan WEH ga bisa. Akhirnya seharian browsing sana sini dan nanya sama sesepuh di spectrumindo, akhirnya bisa sukses konek.
Kelupaan, thanks berat buat om Herry Darmawan atas infonya hehehe
Langsung aja bisa di coba untuk di praktekan.
Sesuatu yang di butuhkan
Informasi
| |
MikroTik RB dengan Wireless card --> yang saya gunakan RB411.
Linux OS --> yang saya gunakan Ubuntu Server 12.04 x64.
Radius Server ---> yang saya gunakan Freeradius.
Kabel Ethernet jangan kelupaan.
(Sample Only)
Network Wireless
IP Address : 192.168.22.1/29
IP Pool : 192.168.22.2 - 192.168.22.5
Network Radius
IP Address Freeradius : 192.168.8.1/24
IP Address MikroTik : 192.168.8.195/24
|  |
Berikut Step-nya
NOTE
| |
Buka mikrotik dengan Winbox, buka terminal dan masukan informasi security
| | >_
/interface wireless security-profiles add authentication-types=wpa2-eap eap-methods=passthrough group-ciphers=tkip,aes-ccm \ group-key-update=5m interim-update=0s management-protection=allowed \
management-protection-key="" mode=dynamic-keys name=high-sec radius-eap-accounting=yes \
radius-mac-accounting=no radius-mac-authentication=no radius-mac-caching=disabled \
radius-mac-format=XX-XX-XX-XX-XX-XX radius-mac-mode=as-username-and-password static-algo-0=\
none static-algo-1=none static-algo-2=none static-algo-3=none static-key-0="" static-key-1=\
"" static-key-2="" static-key-3="" static-sta-private-algo=none static-sta-private-key="" \
static-transmit-key=key-0 supplicant-identity=Admin123 tls-certificate=none tls-mode=\
no-certificates unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key="" wpa2-pre-shared-key=""
| |
Untuk Wireless-nya
| | >_
/interface wireless add area="" arp=enabled bridge-mode=enabled default-ap-tx-limit=0 default-authentication default-client-tx-limit=0 default-forwarding=yes disable-running-check=no disabled=n
hide-ssid=no l2mtu=2290 mac-address=02:0E:8E:26:01:D5 master-interface=wlan1 \
max-station-count=2007 mtu=1500 multicast-helper=default name=wlan3 proprietary-exte
post-2.9.25 security-profile=high-sec ssid=Enterprise update-stats-interval=disabled
wds-cost-range=0 wds-default-bridge=none wds-default-cost=0 wds-ignore-ssid=no wds-m
disabled wmm-support=disabled | |
Karena tidak ingin terganggu maka wireless-ny pake VWLAN karena cuman buat testing :Peace: dan wireless-nya langsung ber-IP jadi ga pake bridge2-an karena ya itu tadi testing doank :ngacir: untuk IP-address-nya bebas.
| | >_
/ip dhcp-serveradd address-pool=Enter authoritative=after-2sec-delay bootp-support=static disabled=no interface=wlan3 lease-time=8h name=Enter
/ip dhcp-server config
set store-leases-disk=5m
/ip dhcp-server network
add address=192.168.22.0/29 comment="Enterprise EAP" dhcp-option="" dns-server=192.168.22.1 gateway=192.168.22.1 ntp-server="" \
wins-server="" | |
Setelah di atas sudah kita ke radius mikrotik dulu
| | >_
/radiusadd accounting-backup=no accounting-port=1813 address=192.168.8.177 authentication-port=1812 called-id="" disabled=no domain="" \
realm="" secret=Admin123 service=hotspot,wireless timeout=3s
/radius incoming
set accept=yes port=3799 | |
|  |
Next Step, kita menuju ke Freeradius, jadi siapkan Ubuntu-nya :Peace: saya tidak akan memandu gimana cara install Ubuntu-nya hehehehe :ngacir:
NOTE
| |
| | >_
sudo apt-get install mysql-client mysql-server freeradius freeradius-utils freeradius-mysql php5-common php5-gd php-pear php-db libapache2-mod-php5 php5-mysql php5-mcrypt apache2 phpmyadmin | |
Yang saya lakukan menggunakan simple password, user : root password : admin123
Jika waktu instalasi anda di tawari user dan password bebas saja, hanya saja karena testing jadi menggunakan seperti itu.
Jika sudah selesai instalasi semua, masuk ke MySQL
| | >_
mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 51
Server version: 5.5.24-0ubuntu0.12.04.1 (Ubuntu)
Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql> create database radius;
Query OK, 0 rows affected (0.00 sec) | |
Setelah di sukses membuat database, saat-nya kita meng-import sql skema milik freeradius
| | >_
mysql -u root -p radius < /etc/freeradius/sql/mysql/schema.sql | |
Kemudian import sql untuk nas milik freeradius
| | >_
mysql -u root -p radius < /etc/freeradius/sql/mysql/nas.sql | |
Sudah selesai semua dan lancar tiada masalah, saat-nya kita mencoba mengakses menggunakan user dan password :o
| | >_
nano /etc/freeradius/users | |
Tambahkan di paling bawah paling enak, kosongnya panjang :hammer:
| | >_
root Cleartext-password := "admin123" | |
Untuk keluar dan menyimpan "ctrl+x" setelah itu kita restart service freeradius-nya
| | >_
root@out-standing:/home/akangage# /etc/init.d/freeradius restart
* Stopping FreeRADIUS daemon freeradius [ OK ]
* Starting FreeRADIUS daemon freeradius [ OK ] | |
Kita coba masukan user dan password yang sudah di buat barusan
| | >_
radtest root admin123 localhost 1812 testing123 | |
Jika sukses maka akan muncul informarsi Access-Accept
| | >_
Sending Access-Request of id 233 to 127.0.0.1 port 1812 User-Name = "root"
User-Password = "admin123"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=233, length=20 | |
Sukses membuat akses freeradius, sekarang saat-nya dari radius ke MySQL
| | >_
mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 72
Server version: 5.5.24-0ubuntu0.12.04.1 (Ubuntu)
Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql> use radius;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> INSERT INTO radcheck (UserName, Attribute, Value) VALUES ('akangage', 'Password', 'tes123');
Query OK, 1 row affected (0.04 sec)
mysql> exit
Bye | |
Sekarang kita edit credential freeradius terhadap SQL
| | >_
/etc/freeradius/sql.conf | |
database=mysql
login=root
password=admin123
Serta lepas tanda pagar pada "readclient = yes"
Mari kita coba lagi bisa atau tidak login
| | >_
Sending Access-Request of id 233 to 127.0.0.1 port 1812 User-Name = "akangage"
User-Password = "tes123"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=233, length=20 | |
OK, bisa konek berarti sejauh ini lancar jaya :Peace:
Sekarang kita edit untuk SQL bekerja atas freeradius
| | >_
nano /etc/freeradius/sites-enabled/default | |
Buang tanda pagar pada sql, sebelumnya
| | >_
# See “Authorization Queries” in sql.conf
# sql
# See “Accounting queries” in sql.conf
# sql
# See “Simultaneous Use Checking Queries” in sql.conf
# sql
# See “Authentication Logging Queries” in sql.conf
# sql | |
Menjadi :
| | >_
# See “Authorization Queries” in sql.conf
sql
# See “Accounting queries” in sql.conf
sql
# See “Simultaneous Use Checking Queries” in sql.conf
sql
# See “Authentication Logging Queries” in sql.conf
sql | |
Berikutnya kita edit
| | >_
nano /etc/freeradius/radiusd.conf | |
Rubahlah sebelumnya (jika)
Menjadi
Biar support via MySQL untuk menyimpan data, kita edit dulu yang ini
| | >_
nano /etc/freeradius/sites-enabled/inner-tunnel | |
Buang tanda pagar pada sql, sebelumnya
| | >_
# See “Authorization Queries” in sql.conf
# sql
# See “Authentication Logging Queries” in sql.conf
# sql | |
Menjadi :
| | >_
# See “Authorization Queries” in sql.conf
sql
# See “Authentication Logging Queries” in sql.conf
sql | |
Saat-nya memasukan informasi MikroTik :linux2: akhirnya....
| | >_
nano /etc/freeradius/clients.conf | |
Masukan informasi ini di paling bawah saja, agak longar soalnya :genit:
| | >_
client 192.168.8.195 {
secret=Admin123
shortname=routeros
nastype=mikrotik
} | |
Biar lebih mudah ga repot setting di client eq. Smartphone
| | >_
nano /etc/freeradius/modules/mschap | |
Buang tanda pagarnya dan di aktifkan semua
| | >_
use_mppe = yes
require_encryption = yes
require_strong = yes
with_ntdomain_hack = yes
| |
Refresh library-nya
Mari kita tambakan library document MikorTik pada freeradius
| | >_
nano /etc/freeradius/dictionary | |
Tambahkan ini di paling bawah lagi :wowcantik
| | >_
$INCLUDE /usr/share/freeradius/dictionary.mikrotik | |
Setelah di simpan, mari kita restart
| | >_
root@out-standing:/home/akangage# /etc/init.d/freeradius restart
* Stopping FreeRADIUS daemon freeradius [ OK ]
* Starting FreeRADIUS daemon freeradius [ OK ] | |
| |
Sekarang kita bantu dengan GUI untuk freeradius dengan daloradius, mayan jadi agak mudah ngak buka teks lagi :hammer:
NOTE
| | Kita sedot dulu daloradiusnya bos
| | >_
wget http://downloads.sourceforge.net/project/daloradius/daloradius/daloradius0.9-9/daloradius-0.9-9.tar.gz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fdaloradius%2F&ts=1361864084&use_mirror=nchc | |
Mari kita operasikan tar.gz-nya
| | >_
tar xvfz daloradius-0.9-9.tar.gz | |
Lalu kita rubah menjadi bahasa manusia
| | >_
mv daloradius-0.9-9 daloradius | |
Kemudian kita pindahkan ke www agar bisa di akses via web browser
Jangan lupa di chown jika ada beberapa yang mengganggu.
Sekarang kita update database freeradius dengan daloradius, kita menuju folder dimana DB daloradius di simpan
| | >_
cd /var/www/daloradius/contrib/db | |
Kemudian kita improt
| | >_
mysql -u root -p radius < mysql-daloradius.sql | |
Jangan lupa kita rubah dulu password DB di daloradius bisa konak sama freeradius
| | >_
nano /var/www/daloradius/library/daloradius.conf.php | |
Rubah password DB menjadi :
| | >_
$configValues['CONFIG_DB_PASS'] = 'admin123'; | |
| |
Ahaaa...... nongol dah daloradiusnya dengan input di browser http://ip address/daloradius
http://www.forummikrotik.com/images/...loradius-1.jpg
Secara default
User : administrator
Pass : radius
:Peace:
Sekarang mari kita test, apakah EAP-PEAP bisa ngacir di Mobile Terminal windows CE, kita install dulu SOTTI disini saya menggunakan Bluebird Pidion BIP-7000 WinCE edition, karena ada WinMobile juga.
http://www.forummikrotik.com/images/...ture1JPG-1.jpg http://www.forummikrotik.com/images/...capture3-1.jpg http://www.forummikrotik.com/images/...capture4-1.jpg http://www.forummikrotik.com/images/...capture5-1.jpg http://www.forummikrotik.com/images/...capture6-1.jpg http://www.forummikrotik.com/images/...capture7-1.jpg http://www.forummikrotik.com/images/...capture8-1.jpg http://www.forummikrotik.com/images/...apture10-1.jpg http://www.forummikrotik.com/images/...apture11-1.jpg
