2015-05-21 03:40:38 +02:00
Ziel ist es einen "offenen" Zugang zum Netz anzubieten, aber jedoch Verschlüsselung beim Transport (zwischen Client und AP) bereitzustellen.
2015-05-18 08:40:44 +02:00
2015-05-21 03:40:38 +02:00
Dieses Ziel ist mit [[WLAN/openRADIUS|openRADIUS]] erreicht.
Einerseits wird WPA2-EAP (CCMP AES) verwendet und andererseits können zum Anmelden beliebige Zugangsdaten (login credentials) verwendet werden.
2015-06-07 11:57:35 +02:00
== Hardware/Software ==
2015-05-21 03:40:38 +02:00
2015-06-07 11:57:35 +02:00
openRADIUS
* lxc "radius" container auf [[Flatbert]]
2015-05-21 03:40:38 +02:00
2015-05-21 04:31:05 +02:00
== Installation? ==
2015-06-07 11:55:59 +02:00
Abgeleitet von:
2015-05-21 04:31:05 +02:00
2015-06-07 11:59:35 +02:00
https://github.com/plitc/lxc-to-go/blob/master/hooks/templates/org.openwrt.freeradius.anonymous-eap-ttls
2015-05-21 04:31:05 +02:00
2015-05-21 03:40:38 +02:00
== allgemeine Konfiguration ==
2015-05-18 08:40:44 +02:00
2015-05-20 13:56:02 +02:00
* Proto: EAP-TTLS
* AP: '''C3D2.anybert'''
2015-05-20 16:38:11 +02:00
* AP: '''C3D2.anybert 5''' (5 GHZ)
2015-05-21 03:40:38 +02:00
* Username: '''anonymous'''
2015-05-20 13:56:02 +02:00
* Password: '''anonymous'''
2015-05-18 08:40:44 +02:00
2015-06-07 11:57:35 +02:00
<code>EAP-TTLS, Username: anonymous, Password: anonymous</code>
2015-05-20 18:31:06 +02:00
2015-05-21 03:40:38 +02:00
== Konfiguration vom Client ==
2015-05-20 18:31:06 +02:00
'''- für eine "höhere" Sicherheit sollte ein beliebiger Username/Password mit mindestens 16 Zeichen verwendet werden -'''
2015-05-21 03:40:38 +02:00
=== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> ===
2015-05-20 18:31:06 +02:00
2015-05-21 03:40:38 +02:00
==== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[Linux]] ====
2015-05-18 08:40:44 +02:00
2015-05-21 03:40:38 +02:00
<source lang=bash>
network={
ssid="C3D2.anybert"
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
# priority=25
}
</source>
2015-05-20 18:31:06 +02:00
2015-05-29 18:03:21 +02:00
===== für 5 GHZ Netz =====
2015-05-29 18:01:05 +02:00
<source lang=bash>
network={
ssid="C3D2.anybert 5"
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
# priority=25
}
</source>
2015-05-21 03:40:38 +02:00
==== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[BSD]] ====
2015-05-20 18:01:18 +02:00
2015-05-21 03:40:38 +02:00
===== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[FreeBSD]] =====
2015-05-20 18:35:53 +02:00
2015-05-21 03:40:38 +02:00
<source lang=bash>
network={
ssid="C3D2.anybert"
proto=RSN
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
scan_ssid=1
# priority=145
}
</source>
2015-05-29 18:03:21 +02:00
===== für 5 GHZ Netz =====
2015-05-29 18:02:25 +02:00
<source lang=bash>
network={
ssid="C3D2.anybert 5"
proto=RSN
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
scan_ssid=1
# priority=145
}
</source>
2015-05-21 03:40:38 +02:00
===== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[PC-BSD]] ======
Grundsätzlich kann die grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen genutzt werden.
: <source lang=bash>pc-su pc-netmanager</source>
Es ist halt das verfügbare Netzwerk ''C3D2.anybert'' hinzuzufügen (zu verwenden) und dabei ''WPA Enterprise'' i.V.m. ''EAP-TTLS'' einzustellen.
; Verfahren für ''phase2'' richtig eintragen
Bei grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen ([[pc-bsd:Network Configuration]]) gibt es keine Möglichkeit die Einstellung für ''phase2'' zu ändern. Sie ist immer ''MD5''.
Um den Wert zu richtig einzutragen, muss wie bei [[#FreeBSD]] üblich, die Datei <code>/etc/wpa_supplicant.conf</code> manuell bearbeitet werden.
: <source lang=bash>ee /etc/wpa_supplicant.conf</source>
<source lang=bash>
network={
ssid="C3D2.anybert"
proto=RSN
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
scan_ssid=1
# priority=145
}
</source>
2015-05-21 03:55:20 +02:00
=== Zertifikate ===
2015-05-20 17:46:56 +02:00
2015-06-07 11:55:59 +02:00
==== Zertifikat ''anybert.radius.hq.c3d2.de''====
2015-05-21 03:55:20 +02:00
<source lang=bash>
2015-05-20 17:46:56 +02:00
Land DE
Bundesland Sachsen
Ort Dresden
Firma C3D2
Organisationseinheit C3D2
2015-06-07 11:55:59 +02:00
Allgemeiner Name anybert.radius.hq.c3d2.de
2015-05-20 17:46:56 +02:00
E-Mail-Adresse mail@c3d2.de
Fingerabdrücke
2015-05-20 17:47:48 +02:00
2015-06-07 11:55:59 +02:00
SHA1
MD5
2015-05-20 17:47:26 +02:00
</source>
2015-05-20 17:40:28 +02:00
2015-06-07 11:55:59 +02:00
==== Einrichtung des Certificate für WPA_Supplicant ====
siehe: http://gitlab.hq.c3d2.de/daniel.plominski/anybert.radius.hq.c3d2.de/blob/master/README.md
2015-05-21 03:55:20 +02:00
==== Herunterladen vom RootCA ====
2015-05-20 22:06:47 +02:00
2015-06-07 11:55:59 +02:00
http://gitlab.hq.c3d2.de/daniel.plominski/anybert.radius.hq.c3d2.de/tree/master
2015-05-20 22:06:47 +02:00
2015-05-29 18:04:31 +02:00
== Konfiguration vom Server ==
==== anonymous-eap-ttls erstellen ====
<source lang=bash>lxc-to-go-provisioning -n radius -t deb8 -h yes -p 1812,1813,1814 -s yes</source>
* works currently only with deb8 lxc
https://github.com/plitc/lxc-to-go/blob/master/hooks/templates/org.openwrt.freeradius.anonymous-eap-ttls
==== RootCA für RADIUS erstellen ====
: <source lang=bash>ssh root@172.22.99.15</source>
: <source lang=bash>lxc-to-go login (anybert)</source>
: <source lang=bash>cd /etc/freeradius/certs</source>
: <source lang=bash>mv ca.pem ca.pem_ORI</source>
: <source lang=bash>mv server.key server.key_ORI</source>
: <source lang=bash>mv server.pem server.pem_ORI</source>
: <source lang=bash>openssl genrsa -aes256 -out ca.key 2048</source>
: <source lang=bash>openssl req -new -x509 -days 3650 -key ca.key -out ca.pem</source>
: <source lang=bash>openssl genrsa -aes256 -out server.key 2048</source>
: <source lang=bash>openssl req -new -key server.key -out server.csr</source>
: <source lang=bash>openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca.key -set_serial 01 -out server.pem</source>
: <source lang=bash>vi /etc/freeradius/eap.conf</source>
<source lang=bash>
private_key_password = CHANGEME
</source>
: <source lang=bash>systemctl restart freeradius; systemctl status freeradius; tail -n 30 /var/log/freeradius/radius.log</source>
2015-05-21 03:40:38 +02:00
== Siehe auch ==
2015-05-21 10:54:11 +02:00
2015-05-21 03:40:38 +02:00
* [[wikipedia:de:Remote Authentication Dial-In User Service]]
2015-05-21 03:55:20 +02:00
* [[WLAN#WLAN]]
2015-05-21 03:40:38 +02:00
2015-05-21 10:54:11 +02:00
== Weblinks ==
* http://sites.e-advies.nl/openradius/
2015-05-21 03:40:38 +02:00
[[Kategorie:Netzwerk]]
[[Kategorie:Infrastruktur]]
[[Kategorie:HQ]]
