Ziel ist es einen "offenen" Zugang zum Netz anzubieten, aber jedoch Verschlüsselung beim Transport (zwischen Client und AP) bereitzustellen.
Dieses Ziel ist mit [[WLAN/openRADIUS|openRADIUS]] erreicht.
Einerseits wird WPA2-EAP (CCMP AES) verwendet und andererseits können zum Anmelden beliebige Zugangsdaten (login credentials) verwendet werden.
== Hardware/Software ==
openRADIUS
* lxc "radius" container auf [[Flatbert]]
== Installation? ==
Abgeleitet von:
https://github.com/plitc/lxc-to-go/blob/master/hooks/templates/org.openwrt.freeradius.anonymous-eap-ttls
== allgemeine Konfiguration ==
* Proto: EAP-TTLS
* AP: '''C3D2.anybert'''
* AP: '''C3D2.anybert 5''' (5 GHZ)
* Username: '''anonymous'''
* Password: '''anonymous'''
EAP-TTLS, Username: anonymous, Password: anonymous
== Konfiguration vom Client ==
'''!!! für eine "höhere" Sicherheit sollte ein beliebiger Username/Password mit mindestens 16 Zeichen verwendet werden !!!'''
=== Konfiguration für das Verbinden mit wpa_supplicant ===
==== Konfiguration für das Verbinden mit wpa_supplicant bei [[Linux]] ====
===== für 5 GHZ Netz =====
==== Konfiguration für das Verbinden mit wpa_supplicant bei [[BSD]] ====
===== Konfiguration für das Verbinden mit wpa_supplicant bei [[FreeBSD]] =====
===== für 5 GHZ Netz =====
===== Konfiguration für das Verbinden mit wpa_supplicant bei [[PC-BSD]] ======
Grundsätzlich kann die grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen genutzt werden.
:
Es ist halt das verfügbare Netzwerk ''C3D2.anybert'' hinzuzufügen (zu verwenden) und dabei ''WPA Enterprise'' i.V.m. ''EAP-TTLS'' einzustellen.
; Verfahren für ''phase2'' richtig eintragen
Bei grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen ([[pc-bsd:Network Configuration]]) gibt es keine Möglichkeit die Einstellung für ''phase2'' zu ändern. Sie ist immer ''MD5''.
Um den Wert zu richtig einzutragen, muss wie bei [[#FreeBSD]] üblich, die Datei /etc/wpa_supplicant.conf manuell bearbeitet werden.
:
=== Zertifikate ===
==== Zertifikat ''anybert.radius.hq.c3d2.de''====
==== Einrichtung des Certificate für WPA_Supplicant ====
siehe: https://gitlab.hq.c3d2.de/daniel.plominski/anybert.radius.hq.c3d2.de/blob/master/README.md
'''Version 0.2.1'''
* vi /etc/wpa_supplicant/wpa_supplicant.conf
==== Herunterladen vom RootCA ====
https://gitlab.hq.c3d2.de/daniel.plominski/anybert.radius.hq.c3d2.de/tree/master
== Konfiguration vom Server ==
==== anonymous-eap-ttls erstellen ====
* works currently only with deb8 lxc
https://github.com/plitc/lxc-to-go/blob/master/hooks/templates/org.openwrt.freeradius.anonymous-eap-ttls
==== RootCA für RADIUS erstellen ====
:
:
:
:
:
:
:
:
:
:
:
:
:
== Siehe auch ==
* [[wikipedia:de:Remote Authentication Dial-In User Service]]
* [[WLAN#WLAN]]
== Weblinks ==
* http://sites.e-advies.nl/openradius/
[[Kategorie:Netzwerk]]
[[Kategorie:Infrastruktur]]
[[Kategorie:HQ]]