Ziel ist es einen "offenen" Zugang zum Netz anzubieten, aber jedoch Verschlüsselung beim Transport (zwischen Client und AP) bereitzustellen.
Dieses Ziel ist mit [[WLAN/openRADIUS|openRADIUS]] erreicht.
Einerseits wird WPA2-EAP (CCMP AES) verwendet und andererseits können zum Anmelden beliebige Zugangsdaten (login credentials) verwendet werden.
== Hardware/Software ==
openRADIUS
* lxc "radius" container auf [[Flatbert]]
== Installation? ==
Abgeleitet von:
https://github.com/plitc/lxc-to-go/blob/master/hooks/templates/org.openwrt.freeradius.anonymous-eap-ttls
== allgemeine Konfiguration ==
* Proto: EAP-TTLS
* AP: '''C3D2.anybert'''
* AP: '''C3D2.anybert 5''' (5 GHZ)
* Username: '''anonymous'''
* Password: '''anonymous'''
EAP-TTLS, Username: anonymous, Password: anonymous
== Konfiguration vom Client ==
'''!!! für eine "höhere" Sicherheit sollte ein beliebiger Username/Password mit mindestens 16 Zeichen verwendet werden !!!'''
=== Konfiguration für das Verbinden mit wpa_supplicant ===
==== Konfiguration für das Verbinden mit wpa_supplicant bei [[Linux]] ====
network={
ssid="C3D2.anybert"
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
# priority=25
}
===== für 5 GHZ Netz =====
network={
ssid="C3D2.anybert 5"
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
# priority=25
}
==== Konfiguration für das Verbinden mit wpa_supplicant bei [[BSD]] ====
===== Konfiguration für das Verbinden mit wpa_supplicant bei [[FreeBSD]] =====
network={
ssid="C3D2.anybert"
proto=RSN
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
scan_ssid=1
# priority=145
}
===== für 5 GHZ Netz =====
network={
ssid="C3D2.anybert 5"
proto=RSN
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
scan_ssid=1
# priority=145
}
===== Konfiguration für das Verbinden mit wpa_supplicant bei [[PC-BSD]] ======
Grundsätzlich kann die grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen genutzt werden.
: pc-su pc-netmanager
Es ist halt das verfügbare Netzwerk ''C3D2.anybert'' hinzuzufügen (zu verwenden) und dabei ''WPA Enterprise'' i.V.m. ''EAP-TTLS'' einzustellen.
; Verfahren für ''phase2'' richtig eintragen
Bei grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen ([[pc-bsd:Network Configuration]]) gibt es keine Möglichkeit die Einstellung für ''phase2'' zu ändern. Sie ist immer ''MD5''.
Um den Wert zu richtig einzutragen, muss wie bei [[#FreeBSD]] üblich, die Datei /etc/wpa_supplicant.conf manuell bearbeitet werden.
: ee /etc/wpa_supplicant.conf
network={
ssid="C3D2.anybert"
proto=RSN
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
scan_ssid=1
# priority=145
}
=== Zertifikate ===
==== Zertifikat ''anybert.radius.hq.c3d2.de''====
Land DE
Bundesland Sachsen
Ort Dresden
Firma C3D2
Organisationseinheit C3D2
Allgemeiner Name anybert.radius.hq.c3d2.de
E-Mail-Adresse mail@c3d2.de
Fingerabdrücke
SHA1 16 19 C5 93 A5 3E E7 3F 07 DC B9 B1 F1 B3 FB DD 62 F5 25 C6
MD5 F9 3E CB 8E 2A 52 21 CF F4 AF 43 29 50 9D FE 3B
==== Einrichtung des Certificate für WPA_Supplicant ====
siehe: https://gitlab.hq.c3d2.de/daniel.plominski/anybert.radius.hq.c3d2.de/blob/master/README.md
'''Version 0.2.1'''
$ sudo su
$ cd /etc/wpa_supplicant; mkdir certs; cd certs
$ wget --no-check-certificate https://gitlab.hq.c3d2.de/daniel.plominski/anybert.radius.hq.c3d2.de/raw/master/certs/anybert.radius.hq.c3d2.de
$ wget --no-check-certificate https://gitlab.hq.c3d2.de/daniel.plominski/anybert.radius.hq.c3d2.de/raw/master/certs/radius.hq.c3d2.de
* vi /etc/wpa_supplicant/wpa_supplicant.conf
### C3D2 Wireless Network // ###
network={
ssid="C3D2.anybert"
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
ca_cert="/etc/wpa_supplicant/certs/radius.hq.c3d2.de"
# priority=25
}
network={
ssid="C3D2.anybert 5"
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
ca_cert="/etc/wpa_supplicant/certs/radius.hq.c3d2.de"
# priority=26
}
### // C3D2 Wireless Network ###
==== Herunterladen vom RootCA ====
https://gitlab.hq.c3d2.de/daniel.plominski/anybert.radius.hq.c3d2.de/tree/master
== Konfiguration vom Server ==
==== anonymous-eap-ttls erstellen ====
lxc-to-go-provisioning -n radius -t deb8 -h yes -p 1812,1813,1814 -s yes
* works currently only with deb8 lxc
https://github.com/plitc/lxc-to-go/blob/master/hooks/templates/org.openwrt.freeradius.anonymous-eap-ttls
==== RootCA für RADIUS erstellen ====
: ssh root@172.22.99.15
: lxc-to-go login (anybert)
: cd /etc/freeradius/certs
: mv ca.pem ca.pem_ORI
: mv server.key server.key_ORI
: mv server.pem server.pem_ORI
: openssl genrsa -aes256 -out ca.key 2048
: openssl req -new -x509 -days 3650 -key ca.key -out ca.pem
: openssl genrsa -aes256 -out server.key 2048
: openssl req -new -key server.key -out server.csr
: openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca.key -set_serial 01 -out server.pem
: vi /etc/freeradius/eap.conf
private_key_password = CHANGEME
: systemctl restart freeradius; systemctl status freeradius; tail -n 30 /var/log/freeradius/radius.log
== Siehe auch ==
* [[wikipedia:de:Remote Authentication Dial-In User Service]]
* [[WLAN#WLAN]]
== Weblinks ==
* http://sites.e-advies.nl/openradius/
[[Kategorie:Netzwerk]]
[[Kategorie:Infrastruktur]]
[[Kategorie:HQ]]