gitolite/c3d2-wiki
gitolite
/
c3d2-wiki
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity
c3d2-wiki/WLAN%2FopenRADIUS.mw

164 lines
5.0 KiB
Plaintext
Raw Blame History

Ziel ist es einen "offenen" Zugang zum Netz anzubieten, aber jedoch Verschlüsselung beim Transport (zwischen Client und AP) bereitzustellen.
Dieses Ziel ist mit [[WLAN/openRADIUS|openRADIUS]] erreicht.
Einerseits wird WPA2-EAP (CCMP AES) verwendet und andererseits können zum Anmelden beliebige Zugangsdaten (login credentials) verwendet werden.
== Hardware ==
openRADIUS: lxc-to-go anybert in VirtualBox auf [[FreeNAS]]
== Installation? ==
Bitte an andere (passende) Stelle verschieben! begin
FreeRADIUS Server, per lxc-to-go, im lxc-to-go Debian VServer, per VirtualBox, auf FreeNAS (storage)
https://github.com/plitc/lxc-to-go
<source lang=bash> ./lxc-to-go-template.sh</source>
TEMPLATE: org.openwrt.freeradius.anonymous-eap-ttls
Bitte an andere (passende) Stelle verschieben! end
== allgemeine Konfiguration ==
* Proto: EAP-TTLS
* AP: '''C3D2.anybert'''
* AP: '''C3D2.anybert 5''' (5 GHZ)
* Username: '''anonymous'''
* Password: '''anonymous'''
<code>EAP-TTLS, Username: anonymous, Password: anonymous, RADIUS: lxc-to-go anybert in VirtualBox auf FreeNAS</code>
== Konfiguration vom Server ==
==== anonymous-eap-ttls erstellen ====
<source lang=bash>lxc-to-go-provisioning -n radius -t deb8 -h yes -p 1812,1813,1814 -s yes</source>
* works currently only with deb8 lxc
https://github.com/plitc/lxc-to-go/blob/master/hooks/templates/org.openwrt.freeradius.anonymous-eap-ttls
==== RootCA für RADIUS erstellen ====
: <source lang=bash>ssh root@172.22.99.15</source>
: <source lang=bash>lxc-to-go login (anybert)</source>
: <source lang=bash>cd /etc/freeradius/certs</source>
: <source lang=bash>mv ca.pem ca.pem_ORI</source>
: <source lang=bash>mv server.key server.key_ORI</source>
: <source lang=bash>mv server.pem server.pem_ORI</source>
: <source lang=bash>openssl genrsa -aes256 -out ca.key 2048</source>
: <source lang=bash>openssl req -new -x509 -days 3650 -key ca.key -out ca.pem</source>
: <source lang=bash>openssl genrsa -aes256 -out server.key 2048</source>
: <source lang=bash>openssl req -new -key server.key -out server.csr</source>
: <source lang=bash>openssl x509 -req -days 3650 -in server.csr -CA ca.pem -CAkey ca.key -set_serial 01 -out server.pem</source>
: <source lang=bash>vi /etc/freeradius/eap.conf</source>
<source lang=bash>
private_key_password = CHANGEME
</source>
: <source lang=bash>systemctl restart freeradius; systemctl status freeradius; tail -n 30 /var/log/freeradius/radius.log</source>
== Konfiguration vom Client ==
'''- für eine "höhere" Sicherheit sollte ein beliebiger Username/Password mit mindestens 16 Zeichen verwendet werden -'''
=== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> ===
==== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[Linux]] ====
<source lang=bash>
network={
ssid="C3D2.anybert"
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
# priority=25
}
</source>
==== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[BSD]] ====
===== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[FreeBSD]] =====
<source lang=bash>
network={
ssid="C3D2.anybert"
proto=RSN
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
scan_ssid=1
# priority=145
}
</source>
===== Konfiguration für das Verbinden mit <code>wpa_supplicant</code> bei [[PC-BSD]] ======
Grundsätzlich kann die grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen genutzt werden.
: <source lang=bash>pc-su pc-netmanager</source>
Es ist halt das verfügbare Netzwerk ''C3D2.anybert'' hinzuzufügen (zu verwenden) und dabei ''WPA Enterprise'' i.V.m. ''EAP-TTLS'' einzustellen.
; Verfahren für ''phase2'' richtig eintragen
Bei grafischen Oberfläche für die Verwaltung der Netzwerkverbindungen ([[pc-bsd:Network Configuration]]) gibt es keine Möglichkeit die Einstellung für ''phase2'' zu ändern. Sie ist immer ''MD5''.
Um den Wert zu richtig einzutragen, muss wie bei [[#FreeBSD]] üblich, die Datei <code>/etc/wpa_supplicant.conf</code> manuell bearbeitet werden.
: <source lang=bash>ee /etc/wpa_supplicant.conf</source>
<source lang=bash>
network={
ssid="C3D2.anybert"
proto=RSN
key_mgmt=WPA-EAP
eap=TTLS
phase2="auth=PAP"
identity="anonymous"
password="anonymous"
scan_ssid=1
# priority=145
}
</source>
=== Zertifikate ===
==== Zertifikat ''radius.anybert.hq.c3d2.de''====
<source lang=bash>
Land DE
Bundesland Sachsen
Ort Dresden
Firma C3D2
Organisationseinheit C3D2
Allgemeiner Name anybert.hq.c3d2.de
E-Mail-Adresse mail@c3d2.de
Fingerabdrücke
SHA1 58 B5 F6 15 F3 00 CE 99 52 B2 F2 86 06 2E 7F 12 BD B6 F4 89
MD5 85 69 CB 77 1C C9 68 7E 73 43 B0 2C A4 3D 48 08
</source>
==== Herunterladen vom RootCA ====
http://gitlab.hq.c3d2.de/daniel.plominski/radius.anybert.hq.c3d2.de/tree/master
== Siehe auch ==
* [[wikipedia:de:Remote Authentication Dial-In User Service]]
* [[WLAN#WLAN]]
== Weblinks ==
* http://sites.e-advies.nl/openradius/
[[Kategorie:Netzwerk]]
[[Kategorie:Infrastruktur]]
[[Kategorie:HQ]]
Reference in New Issue View Git Blame Copy Permalink