MIKROTIK

Implementasi Dot1X di Mikrotik pada ROS Versi 6.45

Dot1X merupakan implementasi dari standard IEEE 802.1X di MikroTik RouterOS. Fungsi utama dari protokol ini adalah untuk mengaktifkan fungsi Network Access Control pada koneksi kabel (port-based). Teknologi ini juga bisa disebut sebagai EAP over LAN (EAPOL) karena untuk metode authentikasi menggunakan protokol EAP (Extensible Authentication Protocol).
Pada implementasinya setiap perangkat yang terkoneksi dengan standard 802.1X akan dibagi kedalam beberapa istilah, yaitu supplicantauthenticatorauthentication server (RADIUS Server).

Dengan adanya Network Access Control ini, maka setiap perangkat (supplicant) yang akan terkoneksi memerlukan authentikasi terlebih dahulu. Analoginya sama seperti ketika kita akan terkoneksi ke wireless access point dan harus memasukkan authentikasi sebelum terkoneksi.
Adapun secara teknis ada beberapa proses/tahap untuk melakukan authentikasi diantaranya InitializationInitiationNegotiationAuthentication.

Pada Mikrotik fitur Dot1X (IEEE 802.1X) baru ditambahkan pada RouterOS versi 6.45.1. Saat ini Mikrotik mendukung untuk fungsi sebagai Supplicant ataupun Authenticator. Dan tipe EAP yang disupport ketika sebagai supplicant seperti EAP-TLS, EAP-TTLS, EAP-MSCHAPv2 dan PEAP.

Contoh Implementasi

Konfigurasi Authenticator
Langkah pertama kita akan konfigurasi terlebih dahulu perangakat yang akan menjadi authenticator. Perangkat yang digunakan adalah layer 2 device yang mana bisa menggunakan CSS Series, CRS Series, atau Routerboard (Bridge mode).Konfigurasi yang dilakukan, kita akan setting pada menu ‘RADIUS’. Kita arahkan pada RADIUS Server yang ada di jaringan. Radius Server yang kami gunakan adalah Freeradius. 

Selanjutnya kita setting untuk Dot1X server. Sesuai dengan contoh topologi diatas, kita aktifkan Dot1X pada ether2 dan ether3.

Kemudian kita juga buat konfigurasi VLAN untuk membagi broadcast domain disetiap portnya. Pada ether1 kita setting sebagai ‘Tagged Port’, sedangkan ether2 sebagai ‘Untagged Port’ VLAN-ID 100 dan ether3 ‘Untagged Port’ VLAN-ID 200.

Konfigurasi VLAN ini kita gunakan metode ‘Bridge VLAN Filtering’.

VLAN Assignment 
Enable Bridge VLAN Filtering 

Konfigurasi Supplicant
Untuk perangkat supplicant secara umum sudah support di berbagai platform, seperti Windows, Linux, MAC OS, ataupun Router.
Contoh kasus disni kita akan mengunakan supplicant dengan perangkat Windows dan Routerboard MikroTik.

Langkah-langkah konfigurasi Windows sebagai Dot1X Client:
1. Mengaktifkan ‘Wired AutoConfig’ pada Windows ‘Services’

Search ‘Services’
Pilih dan klik2x ‘Wired AutoConfig’
Pilih Startup Type ‘Automatic’ dan ‘Start’

2. Kemudian jika ‘Wired AutoConfig’ sudah Running, maka pada adapter/ethernet properties akan muncul Tab ‘Authentication’. Disini kita bisa memilih jenis authentikasi yang akan digunakan. Sebagai contoh, kita akan menggunakan Protected EAP (PEAP).

3. Jika sudah maka ketika perangkat tersebut disambungkan pada ether3 maka secara otomatis akan ditampilkan sebuah ‘Pop-Up’ untuk mengisikan authentikasinya. Kemudian kita isikan Username dan Password sesuai dengan data yang sudah disetting pada RADIUS SERVER.

 Langkah-langkah konfigurasi Mikrotik RouterOS sebagai Dot1X Client.

1. Masuk pada menu ‘Dot1X’, pilih pada Tab ‘Client’. Kemudian tambahkan pengaturan untuk mengaktifkan Dot1X Client. Pastikan Dot1X Client diaktifkan pada interface router yang tersambung ke Dot1X Server (Authenticator).

2. Pastikan juga memasukkan username dan password dari RADIUS Server dengan benar. Untuk Username diisi pada paremeter ‘Identity’. Kemudian ‘EAP Methods’ kita menggunakan EAP MSCHAPv2. 

3. Jika berhasil, maka bisa dilihat pada informasi ‘Status: authenticated’.

Monitoring Dot1X 

Hal terakhir adalah kita juga bisa melakukan monitoting apakah koneksi Dot1X berhasil atau tidak melalui perangkat authenticator (Dot1X Server). Kita bisa melihat pada Tab State dan juga Tab Active.

Pada Tab State terdapat informasi Status yang mana bisa berupa authorized, Iface-down, rejected-holding, un-authorized.

  • Authorized – Akses ke interface diijinkan
  • iface-down – Kondisi interface tidak running
  • rejected-holding – Akses ditolak (reject) oleh RADIUS Server
  • un-authorized – Akses ke interface tidak dijinkan

Pada Tab Active kita bisa melihat informasi MAC-Address dari perangkat supplicant yang terkoneksi ke authenticator (Dot1x Server).
*) NOTE:
Untuk konfigurasi Dot1X Client pada Mikrotik RouterOS penggunaan EAP Methods EAP-TLSEAP-TTLSEAP-PEAPdiperlukan sertifikat SSL/TLS.