WLAN/openRADIUS

Aus C3D2
Wechseln zu: Navigation, Suche

Ziel ist es einen "offenen" Zugang zum Netz anzubieten, aber jedoch Verschlüsselung beim Transport (zwischen Client und AP) bereitzustellen.

Dieses Ziel ist mit openRADIUS erreicht.

Einerseits wird WPA2-EAP (CCMP AES) verwendet und andererseits können zum Anmelden beliebige Zugangsdaten (login credentials) verwendet werden.

Hardware/Software

openRADIUS

Installation?

Abgeleitet von:

https://github.com/plitc/lxc-to-go/blob/master/hooks/templates/org.openwrt.freeradius.anonymous-eap-ttls

allgemeine Konfiguration

  • Proto: EAP-TTLS
  • AP: C3D2.anybert
  • AP: C3D2.anybert 5 (5 GHZ)
  • Username: anonymous
  • Password: anonymous

EAP-TTLS, Username: anonymous, Password: anonymous

Konfiguration vom Client

!!! für eine "höhere" Sicherheit sollte ein beliebiger Username/Password mit mindestens 16 Zeichen verwendet werden !!!

Konfiguration für das Verbinden mit NetworkManager

C3d2.eap.png

Konfiguration für das Verbinden mit wpa_supplicant

Konfiguration für das Verbinden mit wpa_supplicant bei Linux

network={
	ssid="C3D2.anybert"
	key_mgmt=WPA-EAP
	eap=TTLS
	phase2="auth=PAP"
	identity="anonymous"
	password="anonymous"
#	priority=25
}
5 GHz Netz
network={
	ssid="C3D2.anybert 5"
	key_mgmt=WPA-EAP
	eap=TTLS
	phase2="auth=PAP"
	identity="anonymous"
	password="anonymous"
#	priority=25
}

Konfiguration für das Verbinden mit wpa_supplicant bei BSD

Konfiguration für das Verbinden mit wpa_supplicant bei FreeBSD
network={
	ssid="C3D2.anybert"
	proto=RSN
	key_mgmt=WPA-EAP
	eap=TTLS
	phase2="auth=PAP"
	identity="anonymous"
	password="anonymous"
	scan_ssid=1
#	priority=145
}
5 GHZ Netz
network={
	ssid="C3D2.anybert 5"
	proto=RSN
	key_mgmt=WPA-EAP
	eap=TTLS
	phase2="auth=PAP"
	identity="anonymous"
	password="anonymous"
	scan_ssid=1
#	priority=145
}
Konfiguration für das Verbinden mit wpa_supplicant bei PC-BSD

Grundsätzlich kann die grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen genutzt werden.

pc-su pc-netmanager

Es ist halt das verfügbare Netzwerk C3D2.anybert hinzuzufügen (zu verwenden) und dabei WPA Enterprise i.V.m. EAP-TTLS einzustellen.

Verfahren für phase2 richtig eintragen

Bei grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen (pc-bsd:Network Configuration) gibt es keine Möglichkeit die Einstellung für phase2 zu ändern. Sie ist immer MD5.

Um den Wert zu richtig einzutragen, muss wie bei #FreeBSD üblich, die Datei /etc/wpa_supplicant.conf manuell bearbeitet werden.

ee /etc/wpa_supplicant.conf
network={
	ssid="C3D2.anybert"
	proto=RSN
	key_mgmt=WPA-EAP
	eap=TTLS
	phase2="auth=PAP"
	identity="anonymous"
	password="anonymous"
	scan_ssid=1
#	priority=145
}

Zertifikate

Zertifikat radius.hq.c3d2.de

WLAN/openRADIUS/radius.hq.c3d2.de.pem

Einrichtung des Certificate für WPA_Supplicant

siehe: https://gitlab.hq.c3d2.de/daniel.plominski/anybert.radius.hq.c3d2.de/blob/master/README.md

Version 0.2.1

$ sudo su
$ cd /etc/wpa_supplicant; mkdir certs; cd certs
$ wget --no-check-certificate https://gitlab.hq.c3d2.de/daniel.plominski/anybert.radius.hq.c3d2.de/raw/master/certs/anybert.radius.hq.c3d2.de
$ wget --no-check-certificate https://gitlab.hq.c3d2.de/daniel.plominski/anybert.radius.hq.c3d2.de/raw/master/certs/radius.hq.c3d2.de
  • vi /etc/wpa_supplicant/wpa_supplicant.conf
### C3D2 Wireless Network // ###

network={
        ssid="C3D2.anybert"
        key_mgmt=WPA-EAP
        eap=TTLS
        phase2="auth=PAP"
        identity="anonymous"
        password="anonymous"
        ca_cert="/etc/wpa_supplicant/certs/radius.hq.c3d2.de"
        # priority=25
}

network={
        ssid="C3D2.anybert 5"
        key_mgmt=WPA-EAP
        eap=TTLS
        phase2="auth=PAP"
        identity="anonymous"
        password="anonymous"
        ca_cert="/etc/wpa_supplicant/certs/radius.hq.c3d2.de"
        # priority=26
}

### // C3D2 Wireless Network ###

Herunterladen vom RootCA

https://gitlab.hq.c3d2.de/daniel.plominski/anybert.radius.hq.c3d2.de/tree/master

Konfiguration vom Server

anonymous-eap-ttls erstellen

lxc-to-go-provisioning -n radius -t deb8 -h yes -p 1812,1813,1814 -s yes
  • works currently only with deb8 lxc

https://github.com/plitc/lxc-to-go/blob/master/hooks/templates/org.openwrt.freeradius.anonymous-eap-ttls

RootCA für RADIUS erstellen

ssh root@172.22.99.15
lxc-to-go login (anybert)
cd /etc/freeradius/certs
mv ca.pem ca.pem_ORI
mv server.key server.key_ORI
mv server.pem server.pem_ORI
openssl genrsa -aes256 -out ca.key 2048
openssl req -new -x509 -days 3650 -key ca.key -out ca.pem
openssl genrsa -aes256 -out server.key 2048
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca.key -set_serial 01 -out server.pem
vi /etc/freeradius/eap.conf
   private_key_password = CHANGEME
systemctl restart freeradius; systemctl status freeradius; tail -n 30 /var/log/freeradius/radius.log

Siehe auch

Weblinks