WPA-EAP (802.1X) lebih dikenal dengan sebutan WPA-Enterprise.
Metode keamanan dan algoritma enkripsi pada WPA-EAP (WPA-Enterprise) ini sama saja dengan WPA Pre-Shared Key, tetapi autentikasi yang digunakan berbeda.
Pada WPA-Enterprise ini menggunakan autentikasi 802.1X atau EAP (Extensible Authentication Protocol). EAP merupakan protokol layer 2 yang menggantikan PAP dan CHAP.
Mikrotik RouterOS versi 7 sudah mendukung sepenuhnya EAP (802.1X) untuk authenticator jaringan nirkabel (wireless). Dalam hal ini adalah WPA-Enterprise.
Ini membuat Mikrotik dengan RouterOS versi 7 dapat berfungsi sebagai authenticator untuk WPA-Enterprise tanpa diperlukan RADIUS Server external seperti FreeRADIUS.
Syarat mutlak agar Mikrotik RouterOS versi 7 dapat berfungsi sebagai authenticator WPA-Enterprise ini adalah Sertifikat TLS.
I. Membuat Sertifikat TLS di Mikrotik.
Manajemen Sertifikat di Mikrotik bisa di akses di Menu System, Certificates.
1. Membuat Certification Authority (CA).
Click tambah, isikan semua field-field yang diperlukan, click ok.
Pindah ke tab Key Usage. Enable opsi: crl sign dan key cert sign. Kemudian click ok.
Kemudian click sign. Isikan CA CRL Host dengan IP Mikrotik yang digunakan sebagai authenticator WPA-Enterprise (Gateway). Kemudian click start.
2. Membuat Sertifikat untuk Server.
Click tambah, isikan semua field-field yang diperlukan, click ok.
Pindah ke tab Key Usage. Enable opsi: digital signature, key encipherment, dan tls server. Kemudian click ok.
Kemudian click sign. Pilih CA yang telah kita buat sebelumnya. Kemudian click start.
Click pada checklist Trusted. Kemudian click ok.
3. Membuat Sertifikat untuk Client.
Sertifikat untuk Client ini bersifat opsional. Dan hanya digunakan untuk WPA-Enterprise dengan metode yang lebih aman, yaitu EAP-TLS. EAP-TLS membutuhkan sertifikat untuk komunikasi 2 arah, baik disisi server maupun client.
Click tambah, isikan semua field-field yang diperlukan, click ok.
Pindah ke tab Key Usage. Enable opsi: tls client. Kemudian click ok.
Kemudian click sign. Pilih CA yang telah kita buat sebelumnya. Kemudian click start.
Click pada checklist Trusted. Kemudian click ok.
Sampai pada tahap ini sertifikat TLS sudah siap digunakan.
II. Setting User Manager untuk management WPA-Enterprise.
1. Buat Profile RADIUS.
Enable opsi Wireless. Kemudian click ok.
2. Setting NAS di User Manager.
NAS address diisi IP dari Access Point yang akan kita gunakan. Disini terlihat User Manager hanya dapat menggunakan single IP /32. Tidak bisa menggunakan IP Block (IP Range) seperti FreeRADIUS.
FreeRADIUS bisa menggunakan IP Block semisal /24 atau /21 atau lainnya. Tapi di Mikrotik tidak bisa. Kita harus mendefinisikan satu per satu IP Access Point (NAS).
3. Setting Sertifikat di User Manager.
Pada tab Sessions, click Settings. Checklist Enabled, dan pilih sertifikat untuk server yang telah kita buat sebelumnya. Kemudian click ok.
4. Buat Limitasi.
Angka 0 (nol) berarti Unlimited.
5. Buat Nama Profile.
6. Buat User.
Click tanda tambah. Isikan Name sebagai Username, dan Password.
7. Assign Username ke Profile Limitasi.
Sampai tahap ini Mikrotik sudah siap digunakan sebagai authenticator WPA-Enterprise.
III. Testing WPA-Enterprise.
Di Access Point, isikan IP Mikrotik yang telah kita setting, dan Secret sesuai dengan yang telah kita konfigurasi sebelumnya.
Gunakan Smartphone atau laptop untuk melakukan uji coba.
Hasil test dengan Windows 10.
Hasil test dengan Smartphone Oppo.
Hasil test dengan Smartphone Samsung.
WPA Enterprise dengan Mikrotik - Lynix
May 2, 2022
May 2, 2022