Ziel ist es einen "offenen" Zugang zum Netz anzubieten, aber jedoch Verschlüsselung beim Transport (zwischen Client und AP) bereitzustellen.

Dieses Ziel ist mit [[WLAN/openRADIUS|openRADIUS]] erreicht.

Einerseits wird WPA2-EAP (CCMP AES) verwendet und andererseits können zum Anmelden beliebige Zugangsdaten (login credentials) verwendet werden.

== Hardware ==

openRADIUS: lxc-to-go anybert in VirtualBox auf [[FreeNAS]]

== Installation? ==

 Bitte an andere (passende) Stelle verschieben! begin

FreeRADIUS Server, per lxc-to-go, im lxc-to-go Debian VServer, per VirtualBox, auf FreeNAS (storage)

https://github.com/plitc/lxc-to-go

<source lang=bash>   ./lxc-to-go-template.sh</source>

TEMPLATE: org.openwrt.freeradius.anonymous-eap-ttls

 Bitte an andere (passende) Stelle verschieben! end

== allgemeine Konfiguration ==

* Proto: EAP-TTLS
* AP: '''C3D2.anybert'''
* AP: '''C3D2.anybert 5''' (5 GHZ)
* Username: '''anonymous'''
* Password: '''anonymous'''

<code>EAP-TTLS, Username: anonymous, Password: anonymous, RADIUS: lxc-to-go anybert in VirtualBox auf FreeNAS</code>

== Konfiguration vom Server ==

==== anonymous-eap-ttls erstellen ====
<source lang=bash>lxc-to-go-provisioning -n radius -t deb8 -h yes -p 1812,1813,1814 -s yes</source>

* works currently only with deb8 lxc

https://github.com/plitc/lxc-to-go/blob/master/hooks/templates/org.openwrt.freeradius.anonymous-eap-ttls

==== RootCA für RADIUS erstellen ====

: <source lang=bash>ssh root@172.22.99.15</source>
: <source lang=bash>lxc-to-go login (anybert)</source>

: <source lang=bash>cd /etc/freeradius/certs</source>
: <source lang=bash>mv ca.pem ca.pem_ORI</source>
: <source lang=bash>mv server.key server.key_ORI</source>
: <source lang=bash>mv server.pem server.pem_ORI</source>

: <source lang=bash>openssl genrsa -aes256 -out ca.key 2048</source>
: <source lang=bash>openssl req -new -x509 -days 3650 -key ca.key -out ca.pem</source>
: <source lang=bash>openssl genrsa -aes256 -out server.key 2048</source>
: <source lang=bash>openssl req -new -key server.key -out server.csr</source>
: <source lang=bash>openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca.key -set_serial 01 -out server.pem</source>

: <source lang=bash>vi /etc/freeradius/eap.conf</source>
<source lang=bash>
   private_key_password = CHANGEME
</source>
: <source lang=bash>systemctl restart freeradius; systemctl status freeradius; tail -n 30 /var/log/freeradius/radius.log</source>

== Konfiguration vom Client ==

'''- für eine "höhere" Sicherheit sollte ein beliebiger Username/Password mit mindestens 16 Zeichen verwendet werden -'''

=== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> ===

==== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[Linux]] ====

<source lang=bash>
network={
	ssid="C3D2.anybert"
	key_mgmt=WPA-EAP
	eap=TTLS
	phase2="auth=PAP"
	identity="anonymous"
	password="anonymous"
#	priority=25
}
</source>

==== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[BSD]] ====

===== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[FreeBSD]] =====

<source lang=bash>
network={
	ssid="C3D2.anybert"
	proto=RSN
	key_mgmt=WPA-EAP
	eap=TTLS
	phase2="auth=PAP"
	identity="anonymous"
	password="anonymous"
	scan_ssid=1
#	priority=145
}
</source>

===== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[PC-BSD]] ======

Grundsätzlich kann die grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen genutzt werden.
: <source lang=bash>pc-su pc-netmanager</source>
Es ist halt das verfügbare Netzwerk ''C3D2.anybert'' hinzuzufügen (zu verwenden) und dabei ''WPA Enterprise'' i.V.m. ''EAP-TTLS'' einzustellen.

; Verfahren für ''phase2'' richtig eintragen

Bei grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen ([[pc-bsd:Network Configuration]]) gibt es keine Möglichkeit die Einstellung für ''phase2'' zu ändern. Sie ist immer ''MD5''.

Um den Wert zu richtig einzutragen, muss wie bei [[#FreeBSD]] üblich, die Datei <code>/etc/wpa_supplicant.conf</code> manuell bearbeitet werden.
: <source lang=bash>ee /etc/wpa_supplicant.conf</source>
<source lang=bash>
network={
	ssid="C3D2.anybert"
	proto=RSN
	key_mgmt=WPA-EAP
	eap=TTLS
	phase2="auth=PAP"
	identity="anonymous"
	password="anonymous"
	scan_ssid=1
#	priority=145
}
</source>

=== Zertifikate ===

==== Zertifikat ''radius.anybert.hq.c3d2.de''====
<source lang=bash>
Land                 DE
Bundesland           Sachsen
Ort                  Dresden
Firma                C3D2
Organisationseinheit C3D2
Allgemeiner Name     anybert.hq.c3d2.de
E-Mail-Adresse       mail@c3d2.de

Fingerabdrücke

SHA1 58 B5 F6 15 F3 00 CE 99 52 B2 F2 86 06 2E 7F 12 BD B6 F4 89
MD5 85 69 CB 77 1C C9 68 7E 73 43 B0 2C A4 3D 48 08
</source>

==== Herunterladen vom RootCA ====

http://gitlab.hq.c3d2.de/daniel.plominski/radius.anybert.hq.c3d2.de/tree/master

== Siehe auch ==

* [[wikipedia:de:Remote Authentication Dial-In User Service]]
* [[WLAN#WLAN]]

== Weblinks ==

* http://sites.e-advies.nl/openradius/

[[Kategorie:Netzwerk]]
[[Kategorie:Infrastruktur]]
[[Kategorie:HQ]]