*Empty MediaWiki Message*
This commit is contained in:
parent
58b2b0a87d
commit
73775fa550
|
@ -1,47 +1,90 @@
|
|||
Ziel ist es einen "offenen" Zugang zum Netz anzubieten, aber jedoch Verschlüsselung beim Transport (zwischen Client und AP) bereitzustellen.
|
||||
|
||||
WPA2-EAP (CCMP AES) mit beliebigen login credentials, für ein "offenes" netz jedoch mit transportverschlüsselung (zwischen Client und AP)
|
||||
Dieses Ziel ist mit [[WLAN/openRADIUS|openRADIUS]] erreicht.
|
||||
|
||||
Einerseits wird WPA2-EAP (CCMP AES) verwendet und andererseits können zum Anmelden beliebige Zugangsdaten (login credentials) verwendet werden.
|
||||
|
||||
== Hardware ==
|
||||
|
||||
openRADIUS: lxc-to-go anybert in VirtualBox auf [[FreeNAS]]
|
||||
|
||||
== allgemeine Konfiguration ==
|
||||
|
||||
* Proto: EAP-TTLS
|
||||
* AP: '''C3D2.anybert'''
|
||||
* AP: '''C3D2.anybert 5''' (5 GHZ)
|
||||
* Benutzername: '''anonymous'''
|
||||
* Username: '''anonymous'''
|
||||
* Password: '''anonymous'''
|
||||
|
||||
<code>EAP-TTLS, Username: anonymous, Password: anonymous, RADIUS: lxc-to-go anybert in VirtualBox auf FreeNAS</code>
|
||||
|
||||
== WPA Konfiguration ==
|
||||
== Konfiguration vom Server ==
|
||||
|
||||
== Konfiguration vom Client ==
|
||||
|
||||
'''- für eine "höhere" Sicherheit sollte ein beliebiger Username/Password mit mindestens 16 Zeichen verwendet werden -'''
|
||||
|
||||
=== Linux ===
|
||||
=== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> ===
|
||||
|
||||
<source lang=bash>network={
|
||||
ssid="C3D2.anybert"
|
||||
key_mgmt=WPA-EAP
|
||||
eap=TTLS
|
||||
phase2="auth=PAP"
|
||||
identity="anonymous"
|
||||
password="anonymous"
|
||||
priority=25
|
||||
}</source>
|
||||
==== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[Linux]] ====
|
||||
|
||||
=== Free/PC BSD ===
|
||||
<source lang=bash>
|
||||
network={
|
||||
ssid="C3D2.anybert"
|
||||
key_mgmt=WPA-EAP
|
||||
eap=TTLS
|
||||
phase2="auth=PAP"
|
||||
identity="anonymous"
|
||||
password="anonymous"
|
||||
# priority=25
|
||||
}
|
||||
</source>
|
||||
|
||||
<source lang=bash>network={
|
||||
ssid="C3D2.anybert"
|
||||
priority=145
|
||||
scan_ssid=1
|
||||
proto=RSN
|
||||
key_mgmt=WPA-EAP
|
||||
eap=TTLS
|
||||
identity="anonymous"
|
||||
password="anonymous"
|
||||
phase2="auth=PAP"
|
||||
}</source>
|
||||
==== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[BSD]] ====
|
||||
|
||||
Erstellt man sich das wpa profil mit dem PCBSD Network Manager, muss manuell in der /etc/wpa_supplicant.conf von phase2="auth=Md5" auf phase2="auth=PAP" abgeändert werden!
|
||||
===== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[FreeBSD]] =====
|
||||
|
||||
siehe: https://wiki.c3d2.de/WLAN#WLAN
|
||||
<source lang=bash>
|
||||
network={
|
||||
ssid="C3D2.anybert"
|
||||
proto=RSN
|
||||
key_mgmt=WPA-EAP
|
||||
eap=TTLS
|
||||
phase2="auth=PAP"
|
||||
identity="anonymous"
|
||||
password="anonymous"
|
||||
scan_ssid=1
|
||||
# priority=145
|
||||
}
|
||||
</source>
|
||||
|
||||
===== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[PC-BSD]] ======
|
||||
|
||||
Grundsätzlich kann die grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen genutzt werden.
|
||||
: <source lang=bash>pc-su pc-netmanager</source>
|
||||
Es ist halt das verfügbare Netzwerk ''C3D2.anybert'' hinzuzufügen (zu verwenden) und dabei ''WPA Enterprise'' i.V.m. ''EAP-TTLS'' einzustellen.
|
||||
|
||||
; Verfahren für ''phase2'' richtig eintragen
|
||||
|
||||
Bei grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen ([[pc-bsd:Network Configuration]]) gibt es keine Möglichkeit die Einstellung für ''phase2'' zu ändern. Sie ist immer ''MD5''.
|
||||
|
||||
Um den Wert zu richtig einzutragen, muss wie bei [[#FreeBSD]] üblich, die Datei <code>/etc/wpa_supplicant.conf</code> manuell bearbeitet werden.
|
||||
: <source lang=bash>ee /etc/wpa_supplicant.conf</source>
|
||||
<source lang=bash>
|
||||
network={
|
||||
ssid="C3D2.anybert"
|
||||
proto=RSN
|
||||
key_mgmt=WPA-EAP
|
||||
eap=TTLS
|
||||
phase2="auth=PAP"
|
||||
identity="anonymous"
|
||||
password="anonymous"
|
||||
scan_ssid=1
|
||||
# priority=145
|
||||
}
|
||||
</source>
|
||||
|
||||
siehe: [[WLAN#WLAN]]
|
||||
|
||||
FreeRADIUS Server, per lxc-to-go, im lxc-to-go Debian VServer, per VirtualBox, auf FreeNAS (storage)
|
||||
|
||||
|
@ -52,7 +95,6 @@ https://github.com/plitc/lxc-to-go
|
|||
TEMPLATE: org.openwrt.freeradius.anonymous-eap-ttls
|
||||
|
||||
= radius.anybert.hq.c3d2.de Certificate =
|
||||
|
||||
<source lang=bash>
|
||||
|
||||
Land DE
|
||||
|
@ -67,7 +109,6 @@ Fingerabdrücke
|
|||
|
||||
SHA1 58 B5 F6 15 F3 00 CE 99 52 B2 F2 86 06 2E 7F 12 BD B6 F4 89
|
||||
MD5 85 69 CB 77 1C C9 68 7E 73 43 B0 2C A4 3D 48 08
|
||||
|
||||
</source>
|
||||
|
||||
= RootCA Download =
|
||||
|
@ -75,11 +116,7 @@ MD5 85 69 CB 77 1C C9 68 7E 73 43 B0 2C A4 3D 48 08
|
|||
http://gitlab.hq.c3d2.de/daniel.plominski/radius.anybert.hq.c3d2.de/tree/master
|
||||
|
||||
= anonymous-eap-ttls erstellen =
|
||||
|
||||
|
||||
<source lang=bash>
|
||||
lxc-to-go-provisioning -n radius -t deb8 -h yes -p 1812,1813,1814 -s yes
|
||||
</source>
|
||||
<source lang=bash>lxc-to-go-provisioning -n radius -t deb8 -h yes -p 1812,1813,1814 -s yes</source>
|
||||
|
||||
* works currently only with deb8 lxc
|
||||
|
||||
|
@ -87,24 +124,29 @@ https://github.com/plitc/lxc-to-go/blob/master/hooks/templates/org.openwrt.freer
|
|||
|
||||
= RootCA für RADIUS erstellen =
|
||||
|
||||
: <source lang=bash>ssh root@172.22.99.15</source>
|
||||
: <source lang=bash>lxc-to-go login (anybert)</source>
|
||||
|
||||
: <source lang=bash>cd /etc/freeradius/certs</source>
|
||||
: <source lang=bash>mv ca.pem ca.pem_ORI</source>
|
||||
: <source lang=bash>mv server.key server.key_ORI</source>
|
||||
: <source lang=bash>mv server.pem server.pem_ORI</source>
|
||||
|
||||
: <source lang=bash>openssl genrsa -aes256 -out ca.key 2048</source>
|
||||
: <source lang=bash>openssl req -new -x509 -days 3650 -key ca.key -out ca.pem</source>
|
||||
: <source lang=bash>openssl genrsa -aes256 -out server.key 2048</source>
|
||||
: <source lang=bash>openssl req -new -key server.key -out server.csr</source>
|
||||
: <source lang=bash>openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca.key -set_serial 01 -out server.pem</source>
|
||||
|
||||
: <source lang=bash>vi /etc/freeradius/eap.conf</source>
|
||||
<source lang=bash>
|
||||
ssh root@172.22.99.15
|
||||
lxc-to-go login (anybert)
|
||||
|
||||
cd /etc/freeradius/certs
|
||||
mv ca.pem ca.pem_ORI
|
||||
mv server.key server.key_ORI
|
||||
mv server.pem server.pem_ORI
|
||||
|
||||
openssl genrsa -aes256 -out ca.key 2048
|
||||
openssl req -new -x509 -days 3650 -key ca.key -out ca.pem
|
||||
openssl genrsa -aes256 -out server.key 2048
|
||||
openssl req -new -key server.key -out server.csr
|
||||
openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca.key -set_serial 01 -out server.pem
|
||||
|
||||
vi /etc/freeradius/eap.conf
|
||||
|
||||
private_key_password = CHANGEME
|
||||
|
||||
systemctl restart freeradius; systemctl status freeradius; tail -n 30 /var/log/freeradius/radius.log
|
||||
</source>
|
||||
: <source lang=bash>systemctl restart freeradius; systemctl status freeradius; tail -n 30 /var/log/freeradius/radius.log</source>
|
||||
|
||||
== Siehe auch ==
|
||||
* [[wikipedia:de:Remote Authentication Dial-In User Service]]
|
||||
|
||||
[[Kategorie:Netzwerk]]
|
||||
[[Kategorie:Infrastruktur]]
|
||||
[[Kategorie:HQ]]
|
||||
|
|
Loading…
Reference in New Issue
Block a user