mikrotik laten connecteren op Telenet WiFree (PEAP MSCHAPv2)

[fryelectro]

Iemand ervaring met dit? In een tijdelijke setup zou ik een Mikrotik RB2011UiAS-2HnD willen gebruiken om via WiFree Internet op te pikken en lokaal te verdelen.

Echter lijkt het me dat PEAP mschapv2 niet ondersteund wordt. Gevolg is dat ik de Mikrotik niet kan laten authenticeren op de WiFree SSID. In het security profile op de wlan interface kan ik ook geen user en pass meegeven:(

[ubremoved_2964]

oei mschapv2 is op < 1 dag te kraken met FPGA

https://www.cloudcracker.com/blog/2012/ ... s-chap-v2/

[fryelectro]

Allemaal juist, maar dat was de vraag eigenlijk niet;) Trouwens ik kies niet voor mschap he, het is TN die dit gebruikt op de Wifree ssid.

[ Post made via mobile device ]

[ubremoved_539]

Waarom connecteer je dan niet gewoon op hun Telenet WIFI Home ?

[krisken]

Ik denk dat je deze howto moet volgen
http://wirelessinfo.be/index.php/mikrot ... ve-omnitik

[tb0ne]

EAP is geen verplichting dacht ik, als je een gewone client instelt dan moet de eerste gebruiker gewoon aanloggen en dan gebruiken andere dezelfde verbinding.
Je kan aangeven dat je aangemeld moet blijven wat tot 30 dagen connectiviteit zou moeten opleveren.
Of dit in praktijk zo werkt heb ik wel niet getest.

[ubremoved_539]

EAP is geen verplichting dacht ik, als je een gewone client instelt dan moet de eerste gebruiker gewoon aanloggen en dan gebruiken andere dezelfde verbinding.

Dat is voor het oudere WifiHome... de Wifree werkt dus anders.

[fryelectro]

Ondertussen via CLI username en pw kunnen instellen, dmv de mschapv2-username en mschapv2-password parameters.

Code: Selecteer alles

name="wifree" mode=dynamic-keys authentication-types=wpa2-eap unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa-pre-shared-key="" 
     wpa2-pre-shared-key="" supplicant-identity="" eap-methods=passthrough tls-mode=dont-verify-certificate tls-certificate=none 
     mschapv2-username="xxxxx" mschapv2-password="xxxxx" static-algo-0=none static-key-0="" static-algo-1=none static-key-1="" 
     static-algo-2=none static-key-2="" static-algo-3=none static-key-3="" static-transmit-key=key-0 static-sta-private-algo=none 
     static-sta-private-key="" radius-mac-authentication=no radius-mac-accounting=no radius-eap-accounting=no interim-update=0s 
     radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username-and-password radius-mac-caching=disabled group-key-update=5m 
     management-protection=allowed management-protection-key="" 

Helaas wil de 802.1x naar Telenet niet lukken:

Code: Selecteer alles

02:29:36 wireless,info 00:3A:9A:xx:xx:xx@wlan1 established connection on 2462000, SSID TelenetWiFree 
02:30:31 wireless,info 00:3A:9A:xx:xx:xx@wlan1: lost connection, 802.1x authentication timeout 

Bijgevolg geef ik het op, was maar een probeerseltje.

[Tomsworld]

Zou je het certificaat niet moeten importeren ?

Ik zal eens ergens een user / pw regelen om dat te testen ooit als ik tijd heb.

[wirelessinfo]

Bij Mikrotik nog niet gevonden hoe je dit moet doen maar wel met de UBNT Nanostation.
http://www.wirelessinfo.be/index.php/ub ... net-wifree
Als er iemand is in geslaagd om dit op Mikrotik te verwezenlijken laat iets weten.

[NuKeM]

Bij deze een warme oproep in dit oude topic, is dit iemand al gelukt?
Denk dat het momenteel EAP TTLS MsCHAPv2 is?
En welk GlobalSign certificaat (laatst las ik R3)?

Mijn config:

Code: Selecteer alles

/interface bridge
add admin-mac=B8: auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether2 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-eap,wpa2-eap eap-methods=eap-ttls-mschapv2 management-protection=allowed mode=dynamic-keys mschapv2-password=telenetpaswoord mschapv2-username=Zxx name=WiFree2 supplicant-identity="" \
    tls-certificate=Root-R3.crt_0 tls-mode=verify-certificate
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=2 band=2ghz-b/g/n country=belgium disabled=no distance=indoors frequency-mode=regulatory-domain security-profile=WiFree2 ssid=TelenetWiFree
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf disabled=yes interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=wlan1 list=WAN
/interface wireless connect-list
add disabled=yes interface=wlan1 mac-address=06: security-profile=WiFree2 wireless-protocol=802.11
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
add disabled=no interface=wlan1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Brussels
/system logging
add topics=certificate
add topics=wireless,debug,info
add topics=system
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[wirelessinfo]

Met welke Mikrotik router voer je deze test uit?

Grt

[NuKeM]

Momenteel met een Hap mini.

[Senne]

Denk dat het momenteel EAP TTLS MsCHAPv2 is?

Sinds de Telenet Mobile App is weg gevallen zijn ze iets duidelijker geworden qua instellingen :

Bij EAP-methode selecteer je TTLS
Onder Phase2-verificatie kies je voor MSCHAPV2.
Kies onder CA-certificaat voor Systeemcertificaten gebruiken
Vul het Domein in: authentic.telenet.be
Bij Identiteit geef je je persoonlijke, Telenet- of internet-login in. Geef ook je wachtwoord in. Anonieme identiteit mag je openlaten.

Het certificaat ‘authentic.telenet.be’ (verstrekt door GlobalSign Organization)

http://www2.telenet.be/nl/klantenservic ... et-wi-free

Heb het zelf nog niet geprobeerd. Staat nog op mijn todo :')

[NuKeM]

Inderdaad, als je het op een PC of smartphone wil doen is het geen probleem. De uitdaging is om een Mikrotik router als zo'n client te gebruiken

[Senne]

Aha. Als ik dan aan toe kom maar meteen genoeg tijd voor uittrekken Ik vond het al een klein mirakel dat ze tegenwoordig de 'algemene' instellingen op hun site hebben staan.

[krisken]

Ook hier interesse in de juiste manier

[NuKeM]

Ik heb nog geen tijd gehad om verder te experimenteren, maar las wel volgende link:
https://serverfault.com/questions/98637 ... rtificates

Als ik het goed heb moet er op de mikrotik misschien een client certificaat gemaakt worden (op basis van het R3 CA Globalsign certificaat) met de juiste purposes en misschien ook als SAN (subject-alt-name) "authentic.telenet.be" dat dan in het security profile als tls-certificate wordt meegegeven? Ik weet er eigenlijk veel te weinig van en hoop dat iemand met verstand van zaken dit kan uitklaren

Zie ook ander topic hier: https://userbase.be/forum/viewtopic.php?t=53272

[ITnetadmin]

Wss geeft de AP je client een cert.
Want een client cert is nutteloos als die niet gesigned is door de CA van de AP.
Truc zal dus zijn om de mikrotik die cert te doen aanvaarden.

[DarkV]

Als ik het goed heb moet er op de mikrotik misschien een client certificaat gemaakt worden (op basis van het R3 CA Globalsign certificaat)

Waarom zou je een client certificaat moeten aanmaken... op je smartphone doe je dat toch ook niet (en Telenet doet geen controle van client certificaten maar gebruikt louter user/password als authenticatie).

Je moet wel zorgen op je Mikrotik dat je een trust doet van de certificate chain van het authentic.telenet.be certificaat (maw. de reeds vermelde Globalsign CA's en intermediates).

[wirelessinfo]

Ik heb nog nooit een verbinding kunnen maken met Mikrotik CPE. Maar vroeger heb ik dit wel gekund met Ubiquiti Nanostation M2.
Na een tijdje was dit ook niet meer mogelijk.
Grt

[tb0ne]

Wat is er recent gewijzigd dat het niet meer zou lukken?
In het verleden nog gebruikt:
https://userbase.be/forum/viewtopic.php?t=51566

Bevestiging hier:
https://forum.mikrotik.com/viewtopic.php?t=59412

Ik kan wel nog eens een poging doen, ik geloof dat een van mijn buren ondertussen Telenet heeft...

[NuKeM]

Die recente bevestiging op het Mikrotik forum heb ook gezien, helaas post niemand zijn settings... alsof ze vanzelfsprekend zijn (mogelijk zijn ze dat ook en zie ik iets dom over het hoofd)

[NuKeM]

Enige vooruitgang, ik ben verbonden, maar vlieg er terug af.
Heb de debug logging voor wifi afgezet en die zei dat ik de juiste group ciphers niet had voor het AP.
Dus ook TPIK aangezet en nu kan ik verbinden... voor 15-30 seconden ofzo Dan volgt een 802.1x authentication timeout

[CCatalyst]

Dan volgt een 802.1x authentication timeout

Eens packet capture doen om te checken of hij uberhaupt wel probeert te authen.

[Ontheronix]

Ik had het tot september werkend op een RPi met OpenWRT (in sept ben ik verhuisd). Dezelfde instellingen als hierboven. Misschien ook het proberen waard?

Werkt nog steeds hier Wel met aparte subnetten dus extra NAT-laag. (WWAN en LAN zone in Openwrt)

Config:
LEDE (=Openwrt) 17.01.
Encryption:WPA2-EAP
Cipher: Auto
EAP-method: PEAP
Path to CA-certificate: leeg!
Authentication: EAP-MSCHAPV2.

[Charle]

Verbinden met WiFree is met een ‘gewoon’ toestel al zeer moeilijk en onstabiel, het zal via een wisp router dus maar dezelfde kwaliteit geven...

[Tim.Bracquez]

***

[DarkV]

Dit lukt ook niet meer met UBNT gear, ze hebben met certs zitten spelen.

Veel spelen kan moeilijk omdat het uiteindelijk een officieel certificaat moet zijn... anders zou je PC het ook niet vertrouwen.

In het ergste geval moet je een nieuw intermediate certificaat importeren.

[Ontheronix]

Ik had het tot september werkend op een RPi met OpenWRT (in sept ben ik verhuisd). Dezelfde instellingen als hierboven. Misschien ook het proberen waard?

Blijkt nog steeds te werken Wel met aparte subnetten dus extra NAT-laag. (WWAN en LAN zone in Openwrt)

Config:
LEDE (=Openwrt) 17.01.
Encryption:WPA2-EAP
Cipher: Auto
EAP-method: PEAP
Path to CA-certificate: leeg!
Authentication: EAP-MSCHAPV2.

[unxplained]

Ik probeer dit werkende te krijgen op een tp-link archer C7 met openwrt. Verbinden lukt wel en werkt ook gewoon, maar na een tijdje valt deze weg en is er geen DHCP renewal meer.

Iemand ervaring mee?

[jokke009]

Ik probeer dit werkende te krijgen op een tp-link archer C7 met openwrt. Verbinden lukt wel en werkt ook gewoon, maar na een tijdje valt deze weg en is er geen DHCP renewal meer.

Iemand ervaring mee?

Het heeft lang gewerkt met mijn archer-c5 openwrt.. helaas bleek dat geregeld te crashen na een dag of 2, vanaf half 2019.

Met een debian box pc, een wifi stick zelf zitten zoeken achter het probleem. Het is inderdaad bij die DHCP renewal dat het faalt. Had een cronjob ingesteld dat die ifdown en ifupped als dat gebeurde.
Met een windows client echter heb ik deze problemen niet. Zijn dat linux drivers dan die buggy zijn? Wel zie ik geregeled IP conflicts in de windows client, maar als gebruiker ervaar ik daar niets van, geen down time. Lijkt of windows daar gewoon beter mee omgaat (geen idee hoe).

[unxplained]

Soms verlies ik zelfs internetverbinding terwijl DHCP renewals gewoon blijven werken. Met tcpdump zie ik de DHCP renewals gewoon verder gaan, en DNS requests naar de servers van telenet werken ook nog. Maar verder dan dat werkt er niks. Ik heb nu een shell scriptje gemaakt dat elke 10 seconden een ICMP pakketje stuurt en als dit gedurende een bepaalde duur niet meer werkt doen we DHCP release, wifi radio down, nieuw mac adres generen en wifi weer up. Het gevolg is dat internet access instant weer werkt.

Het scriptje kan je hier vinden:

[Ontheronix]

Heeft iemand het werkend op nieuwere openwrt-versies zoals OpenWrt 21.02? Ik wordt precies gekickt ofzo:

Wed Jun 16 23:48:39 2021 daemon.notice wpa_supplicant[1142]: wlan0: SME: Trying to authenticate with 06:53:7c:43:d2:55 (SSID='TelenetWiFree' freq=2462 MHz)
Wed Jun 16 23:48:39 2021 kern.info kernel: [ 2389.427402] wlan0: authenticate with 06:53:7c:43:d2:55
Wed Jun 16 23:48:39 2021 kern.info kernel: [ 2389.448314] wlan0: send auth to 06:53:7c:43:d2:55 (try 1/3)
Wed Jun 16 23:48:39 2021 kern.info kernel: [ 2389.533593] wlan0: send auth to 06:53:7c:43:d2:55 (try 2/3)
Wed Jun 16 23:48:39 2021 daemon.notice wpa_supplicant[1142]: wlan0: Trying to associate with 06:53:7c:43:d2:55 (SSID='TelenetWiFree' freq=2462 MHz)
Wed Jun 16 23:48:39 2021 kern.info kernel: [ 2389.548218] wlan0: authenticated
Wed Jun 16 23:48:39 2021 kern.info kernel: [ 2389.553936] wlan0: associate with 06:53:7c:43:d2:55 (try 1/3)
Wed Jun 16 23:48:39 2021 kern.info kernel: [ 2389.722188] wlan0: associate with 06:53:7c:43:d2:55 (try 2/3)
Wed Jun 16 23:48:40 2021 kern.info kernel: [ 2389.854863] wlan0: associate with 06:53:7c:43:d2:55 (try 3/3)
Wed Jun 16 23:48:40 2021 kern.info kernel: [ 2389.942763] wlan0: association with 06:53:7c:43:d2:55 timed out

Op 17.02 op een RPi werkt het prima, zonder certificaten of iets.

[wirelessinfo]

Ik weet dat dit een oude topic is maar denk dat sommige mensen hiernaar zoeken.
Ik heb twee Mikrotik configuraties gemaakt hoe te verbinden met Telenet Wi-Free.
De eerste is met behulp van een Mikrotik router met één Wifi radio https://www.youtube.com/watch?v=--5msWaq6Fs&t=838s
De tweede versie is met behulp van een Mikrotik router die is uitgerust met twee Wifi radio's https://youtu.be/_ln0KIIUBSY
In de hoop jullie te hebben geholpen.
Groeten
Jean-Pierre

[NuKeM]

Zeer interessant, ik ben blij dat het eindelijk iemand gelukt is
Als ik de komende maanden eens tijd heb, zal ik dit ook proberen opzetten om zo redundantie (een fallback) te verkrijgen via mijn router.

[unxplained]

Ik weet dat dit een oude topic is maar denk dat sommige mensen hiernaar zoeken.
Ik heb twee Mikrotik configuraties gemaakt hoe te verbinden met Telenet Wi-Free.
De eerste is met behulp van een Mikrotik router met één Wifi radio https://www.youtube.com/watch?v=--5msWaq6Fs&t=838s
De tweede versie is met behulp van een Mikrotik router die is uitgerust met twee Wifi radio's https://youtu.be/_ln0KIIUBSY
In de hoop jullie te hebben geholpen.
Groeten
Jean-Pierre

Heb je hiermee ook het probleem dat de verbinding na een paar uur soms wegvalt of is de verbinding altijd stabiel?

[wirelessinfo]

Beste, ik heb inderdaad ondervonden dat de verbinding soms uitvalt. Ik heb het vermoeden dat Telenet dat opzettelijk doet om constante verbindingen op hun netwerk te weren.

[achaos]

Beste, ik heb inderdaad ondervonden dat de verbinding soms uitvalt. Ik heb het vermoeden dat Telenet dat opzettelijk doet om constante verbindingen op hun netwerk te weren.

Om met Wifree te verbinden heb ik een raspberry pi draaien met openwrt met de module “watchdog”, deze module houdt de status bij en reconnect/rebooten als het nodig is.
Iemand een idee wat het stabielste is? Microtik of raspberry pi?

[wirelessinfo]

Ik heb goede ervaringen met Mikrotik maar kan niet zeggen hoe het met de RPI verloopt.
Uiteraard kan je met de Mikrotik router netwatch gebruiken en met een script de draadloze interface even uit en terug inschakelen.
Dit is een optie die je kan gaan gebruiken.
Groeten
Jean-Pierre