164 lines
5.0 KiB
Plaintext
164 lines
5.0 KiB
Plaintext
Ziel ist es einen "offenen" Zugang zum Netz anzubieten, aber jedoch Verschlüsselung beim Transport (zwischen Client und AP) bereitzustellen.
|
|
|
|
Dieses Ziel ist mit [[WLAN/openRADIUS|openRADIUS]] erreicht.
|
|
|
|
Einerseits wird WPA2-EAP (CCMP AES) verwendet und andererseits können zum Anmelden beliebige Zugangsdaten (login credentials) verwendet werden.
|
|
|
|
== Hardware ==
|
|
|
|
openRADIUS: lxc-to-go anybert in VirtualBox auf [[FreeNAS]]
|
|
|
|
== Installation? ==
|
|
|
|
Bitte an andere (passende) Stelle verschieben! begin
|
|
|
|
FreeRADIUS Server, per lxc-to-go, im lxc-to-go Debian VServer, per VirtualBox, auf FreeNAS (storage)
|
|
|
|
https://github.com/plitc/lxc-to-go
|
|
|
|
<source lang=bash> ./lxc-to-go-template.sh</source>
|
|
|
|
TEMPLATE: org.openwrt.freeradius.anonymous-eap-ttls
|
|
|
|
Bitte an andere (passende) Stelle verschieben! end
|
|
|
|
== allgemeine Konfiguration ==
|
|
|
|
* Proto: EAP-TTLS
|
|
* AP: '''C3D2.anybert'''
|
|
* AP: '''C3D2.anybert 5''' (5 GHZ)
|
|
* Username: '''anonymous'''
|
|
* Password: '''anonymous'''
|
|
|
|
<code>EAP-TTLS, Username: anonymous, Password: anonymous, RADIUS: lxc-to-go anybert in VirtualBox auf FreeNAS</code>
|
|
|
|
== Konfiguration vom Server ==
|
|
|
|
==== anonymous-eap-ttls erstellen ====
|
|
<source lang=bash>lxc-to-go-provisioning -n radius -t deb8 -h yes -p 1812,1813,1814 -s yes</source>
|
|
|
|
* works currently only with deb8 lxc
|
|
|
|
https://github.com/plitc/lxc-to-go/blob/master/hooks/templates/org.openwrt.freeradius.anonymous-eap-ttls
|
|
|
|
==== RootCA für RADIUS erstellen ====
|
|
|
|
: <source lang=bash>ssh root@172.22.99.15</source>
|
|
: <source lang=bash>lxc-to-go login (anybert)</source>
|
|
|
|
: <source lang=bash>cd /etc/freeradius/certs</source>
|
|
: <source lang=bash>mv ca.pem ca.pem_ORI</source>
|
|
: <source lang=bash>mv server.key server.key_ORI</source>
|
|
: <source lang=bash>mv server.pem server.pem_ORI</source>
|
|
|
|
: <source lang=bash>openssl genrsa -aes256 -out ca.key 2048</source>
|
|
: <source lang=bash>openssl req -new -x509 -days 3650 -key ca.key -out ca.pem</source>
|
|
: <source lang=bash>openssl genrsa -aes256 -out server.key 2048</source>
|
|
: <source lang=bash>openssl req -new -key server.key -out server.csr</source>
|
|
: <source lang=bash>openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca.key -set_serial 01 -out server.pem</source>
|
|
|
|
: <source lang=bash>vi /etc/freeradius/eap.conf</source>
|
|
<source lang=bash>
|
|
private_key_password = CHANGEME
|
|
</source>
|
|
: <source lang=bash>systemctl restart freeradius; systemctl status freeradius; tail -n 30 /var/log/freeradius/radius.log</source>
|
|
|
|
== Konfiguration vom Client ==
|
|
|
|
'''- für eine "höhere" Sicherheit sollte ein beliebiger Username/Password mit mindestens 16 Zeichen verwendet werden -'''
|
|
|
|
=== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> ===
|
|
|
|
==== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[Linux]] ====
|
|
|
|
<source lang=bash>
|
|
network={
|
|
ssid="C3D2.anybert"
|
|
key_mgmt=WPA-EAP
|
|
eap=TTLS
|
|
phase2="auth=PAP"
|
|
identity="anonymous"
|
|
password="anonymous"
|
|
# priority=25
|
|
}
|
|
</source>
|
|
|
|
==== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[BSD]] ====
|
|
|
|
===== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[FreeBSD]] =====
|
|
|
|
<source lang=bash>
|
|
network={
|
|
ssid="C3D2.anybert"
|
|
proto=RSN
|
|
key_mgmt=WPA-EAP
|
|
eap=TTLS
|
|
phase2="auth=PAP"
|
|
identity="anonymous"
|
|
password="anonymous"
|
|
scan_ssid=1
|
|
# priority=145
|
|
}
|
|
</source>
|
|
|
|
===== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[PC-BSD]] ======
|
|
|
|
Grundsätzlich kann die grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen genutzt werden.
|
|
: <source lang=bash>pc-su pc-netmanager</source>
|
|
Es ist halt das verfügbare Netzwerk ''C3D2.anybert'' hinzuzufügen (zu verwenden) und dabei ''WPA Enterprise'' i.V.m. ''EAP-TTLS'' einzustellen.
|
|
|
|
; Verfahren für ''phase2'' richtig eintragen
|
|
|
|
Bei grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen ([[pc-bsd:Network Configuration]]) gibt es keine Möglichkeit die Einstellung für ''phase2'' zu ändern. Sie ist immer ''MD5''.
|
|
|
|
Um den Wert zu richtig einzutragen, muss wie bei [[#FreeBSD]] üblich, die Datei <code>/etc/wpa_supplicant.conf</code> manuell bearbeitet werden.
|
|
: <source lang=bash>ee /etc/wpa_supplicant.conf</source>
|
|
<source lang=bash>
|
|
network={
|
|
ssid="C3D2.anybert"
|
|
proto=RSN
|
|
key_mgmt=WPA-EAP
|
|
eap=TTLS
|
|
phase2="auth=PAP"
|
|
identity="anonymous"
|
|
password="anonymous"
|
|
scan_ssid=1
|
|
# priority=145
|
|
}
|
|
</source>
|
|
|
|
=== Zertifikate ===
|
|
|
|
==== Zertifikat ''radius.anybert.hq.c3d2.de''====
|
|
<source lang=bash>
|
|
Land DE
|
|
Bundesland Sachsen
|
|
Ort Dresden
|
|
Firma C3D2
|
|
Organisationseinheit C3D2
|
|
Allgemeiner Name anybert.hq.c3d2.de
|
|
E-Mail-Adresse mail@c3d2.de
|
|
|
|
Fingerabdrücke
|
|
|
|
SHA1 58 B5 F6 15 F3 00 CE 99 52 B2 F2 86 06 2E 7F 12 BD B6 F4 89
|
|
MD5 85 69 CB 77 1C C9 68 7E 73 43 B0 2C A4 3D 48 08
|
|
</source>
|
|
|
|
==== Herunterladen vom RootCA ====
|
|
|
|
http://gitlab.hq.c3d2.de/daniel.plominski/radius.anybert.hq.c3d2.de/tree/master
|
|
|
|
== Siehe auch ==
|
|
|
|
* [[wikipedia:de:Remote Authentication Dial-In User Service]]
|
|
* [[WLAN#WLAN]]
|
|
|
|
== Weblinks ==
|
|
|
|
* http://sites.e-advies.nl/openradius/
|
|
|
|
[[Kategorie:Netzwerk]]
|
|
[[Kategorie:Infrastruktur]]
|
|
[[Kategorie:HQ]]
|