Комментарии 8
напомнило: "используй то, что под рукою, и не ищи себе другое." Филеаса Фогга
Хороший грамотный подход, к тому же экономный :)
Сдается мне, для виндовых пользователей на ноутах придется в настройках вифи профиля убирать галочку "проверять сертификат сервера". Андроид-то по умолчанию доверяет левым сертам, айось предупреждает, но тоже говоришь согласен и все ок. А вот винда требует ручной настройки с убиранием галочки проверки серта.
Без сертификата, авторизация в RADIUS не работает
А у меня не получается: судя по всему Access-Challenge отправляется с какого-то другого внутреннего адреса Mikrotik (т.е. не с того, на который отправлялся Access-Request). Поэтому он благополучно теряется radius-клиентом и мы получаем таймаут.
Убило в начальном описании про сложно узнать MAC у пользователей с новой фичей генерировать случайный MAC устройством. У вас сеть! Вы хозяин! Разве так сложно утвердить регламент, что в этой сети MAC не скрываем. Если MAC не родной, то не пускаем в сеть, пусть ищет кнопочку отключить "Частный адрес".
Инфантилизм в администрировании сетей - это бич индустрии. В результате городим порой такие кульбиты, когда можно на человеческом, административном уровне регламентировать пользователю не делать так, как вам не нравится.
Как подружить Wi-Fi Mikrotik и TP-Link с помощью RADIUS