Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Free Radius Server zur WLAN Authentifizierung

Mitglied: fundave3

fundave3 (Level 1) - Jetzt verbinden

22.09.2018 um 17:30 Uhr, 1731 Aufrufe, 10 Kommentare

Hallo Zusammen,

ich möchte einen Freeradius Server dafür nutzen, um einen Router mit WPA2-Enterprise Modus zu betreiben. Dabei möchte ich keine Benutzerkennungen nutzen, sondern Zertifikate.
Also EAP-TLS.
Der Radius Server ist ein Externer als der Access Point. Dieser läuft auf einem Raspi (hostapd ) Soweit ich weiß kann ich Hostapd in einem externen Radius Server einbinden.

MEin Problem ist nur, das ich nicht genau weiß wie ich die Zertifikate generiere.
Eine CA wird dann innerhalb des Radius Servers laufen.

In dem Fall authentifizieren die Clients sich ja dann mit Zertifikaten anstatt mit Kennwort und Username.

KAnn ich die Zertifikate mit eine SQL Datenbank verwalten ?
Es gibt wohl die Möglichkeit mit OpenLDAP und MYSQL.

Vielen Dank.

Mitglied: aqui
23.09.2018 um 12:16 Uhr
Die groben Grundlagen findest du hier:
https://www.heinlein-support.de/sites/default/files/zutrittskontrolle_im ...
http://www.erasmus-reinhold-gymnasium.de/delixs/freeradius/radius.pdf
Bzw. einfach mal bei Dr. Google nach freeradius wlan user certificate suchen.
Wie man den Freeradius in den hoastapd integriert findest du u.a. hier:
https://exitno.de/linux_wlan/
Bitte warten ..
Mitglied: fundave3
23.09.2018 um 16:59 Uhr
Hallo aqui,

vielen Dank. Ja dort war ich schon. Soweit bin ich sogar gekommen
Ich habe es geschafft den ldap in die freeRadius Config einzutragen und Server / CA Zertifikate zu erstellen.

Ein Client Zertifikat habe ich mit make client.pem erstellt.
Das hat soweit auch funktioniert. Musste natürlich auch pass out/in ändern.

Was mir noch nicht ganz klar wird.
Sobald ich ein Zertifikat erstellt habe, wird das in den LDAP geschoben ?

Kann ich mir anschauen welche clients gerade eingeloggt sind, Also die Session ?

Vielen Dank
Bitte warten ..
Mitglied: aqui
23.09.2018, aktualisiert um 18:19 Uhr
Das müsste es nicht zwingend. LDAP dient nur der einfachen Userverwaltung bzw. die Kopplung an ein Windows AD mit LDAP. Du kannst das natürlich auch alles statisch machen aber bei mehr als 10 Usern skaliert das dann nicht mehr.
Bitte warten ..
Mitglied: fundave3
24.09.2018 um 20:31 Uhr
Hallo Aqui,

vielen Dank.
Ja schon klar.Allerdings habe ich bisher nur die Authentifizierung mittels USername und Password mit Ldap gefunden.
Leider nicht mit Zertifikate also EAP-TLS.
Daher meine Frage, wie verwalte ich die Zertifikate mit LDAP ?

Ich möchte bei bedarf Zertifikate sperren können, anschauen welche gerade aktiv sind.
Hast du da eine IDee?
Bitte warten ..
Mitglied: fundave3
28.09.2018 um 21:21 Uhr
Hallo Zusammen,

es funktioniert fast!
ICh habe es geschafft den freeradius zu erstellen und aufzusetzen.
Der Server nimmt meine Anmeldung an und gibt ein Accept zurück.
Das einzige Problem ist, der PI ZEro.
ICh habe mir mal im Debug Modus gestartet und verfolgt.
Wie ich sehe kann er kein KEy setzen. Ich habe etwas rumgesucht und rausgefunden, das der Treiber das nicht kann.
Ist das korrekt ? Kann ich irgendwie mit einem USB Dongle und einem anderen TReiber nachhelfen ?
cert2 - Klicke auf das Bild, um es zu vergrößern

Vielen Dank.
Bitte warten ..
Mitglied: aqui
29.09.2018 um 18:45 Uhr
Der Server nimmt meine Anmeldung an und gibt ein Accept zurück.
Tadaa ! Das ist ja schonmal die halbe Miete !
Das einzige Problem ist, der PI ZEro.
Mmmmhhh, wieso. Ob auf einem Zero, einem richtigen oder einen ganz richtigen PC ist doch egal. Die FreeRadius Software ist doch immer gleich. Die hardware spielt dabei keinerlei Rolle. Weisst du auch sicher selber...?!
Wie ich sehe kann er kein KEy setzen.
Ist das ein Zero mit WLAN ??
Oder nutzt du einen ohne WLAN mit einem USB Adapter ??
Die nl80211 Fehlermeldung kommt vom hostapd und NICHT vom FreeRadius !
Hier findest du ein paar Tips zur grundlegenden Konfig des hostapd auf einem Zero:
https://www.heise.de/ct/ausgabe/2017-22-Digitales-Flugblatt-Raspberry-Pi ...

Hilfreich wäre es wenn du hier mal deine hostapd.conf postest. Ansonsten müssen wir raten oder die Glaskugel bemühen...
Bitte warten ..
Mitglied: fundave3
30.09.2018, aktualisiert um 21:34 Uhr
Hi Aqui,

ja die Fehlermeldung kommt von dem hostapd auf dem Zero mit onboard Wifi.
Der Zero ist über ein Tunnel verbunden, auf dem Server läuft ein Freeradius.
Ich vermute der Adapter vom PI kann das nicht. Daher wollte ich mir ein USB Adapter besorgen.
Hier einmal die Config.

01.
interface=wlan0
02.
driver=nl80211
03.
ssid=IP-network
04.
hw_mode=g
05.
channel=7
06.
wmm_enabled=0
07.
macaddr_acl=0
08.
auth_algs=1
09.
ignore_broadcast_ssid=0
10.
#
11.
ieee8021x=1
12.
#
13.
own_ip_addr=10.22.10.11
14.
auth_server_addr=10.211.10.227
15.
auth_server_port=1812
16.
auth_server_shared_secret=*secret*
17.
#
18.
wpa=2
19.
wpa_key_mgmt=WPA-EAP
20.
wpa_pairwise=TKIP CCMP
21.
#rsn_preauth=1
22.
#rsn_preauth_interfaces=rl0
Bitte warten ..
Mitglied: aqui
LÖSUNG 01.10.2018, aktualisiert um 10:33 Uhr
TKIP ist tödlich auf dem Client bzw. AP. Das solltest du niemals mehr verwenden !
Ein stabile Grundkonfig sähe so aus:
interface=wlan0 
driver=nl80211 
ssid=RaspberryPi-AP 
country_code=DE 
ieee80211d=1 
hw_mode=g 
ieee80211n=1 
wmm_enabled=1 
channel=3 
# Timing Parameter 
max_num_sta=32 
macaddr_acl=0 
auth_algs=1 
ignore_broadcast_ssid=0 
# Radius Settings
ieee8021x=1 
# 
own_ip_addr=10.22.10.11 
auth_server_addr=10.211.10.227 
auth_server_port=1812 
auth_server_shared_secret=*secret* 
# WPA Schluesseleinstellungen u. Passwort 
wpa=2 
wpa_passphrase=raspberry123 
wpa_key_mgmt=WPA-EAP 
rsn_pairwise=CCMP  
wpa_pairwise=CCMP 
Der Fehler tritt vermehrt mit der Nutzung von TKIP auf. Also TKIP mal dediziert abschalten. Sollter man so oder so immer !
Googelt man diesen Fehler soll der RasPi onboard Chipsatz angeblich kein 802.11w supporten was das auslöst.
Bei WPA-EAP sollte man ausserdem immer ieee80211w=2 im Setup setzen.
Da der Chipsatz aber recht neu und aktuell ist, ist das schwer vorstellbar.
Zur not mal alternativ mit einem USB Stick probieren.
https://www.reichelt.de/wlan-adapter-usb-150-mbit-s-tplink-tl-wn722n-p12 ...
o.ä.
Bitte warten ..
Mitglied: fundave3
17.10.2018 um 21:26 Uhr
Perfekto.... Vielen Dank.
Es läuft.
TKIP ist tötlich ? Okay, gut zu wissen.
ICh werde mich mal weiterbilden.

DAnke dir.
Bitte warten ..
Mitglied: aqui
LÖSUNG 18.10.2018, aktualisiert um 11:09 Uhr
TKIP ist tö(d)lich ?
Ja, denn es begrenzt per Standard die Bandbreite !!
Sollte man niemals mehr einsetzen heutzutage. Auch in APs sollte man es immer abschalten wenn irgend möglich.
Klasse wenns nun klappt !
Bitte warten ..
Ähnliche Inhalte
Windows Server
RADIUS Authentifizierung in WLAN
Frage von osze90Windows Server7 Kommentare

Hallo Ich bin bald sicher 1 Jahr a üben aber bringe es einfach nicht hin. Da das ursprüngliche Thema ...

LAN, WAN, Wireless
Wlan radius computer authentifizierung
Frage von q16marvinLAN, WAN, Wireless4 Kommentare

Hallo, ich habe nun sehr lange nach einer Lösung gesucht, leider nichts gefunden. Ziel: ich habe nun 12 Laptops ...

Netzwerkgrundlagen

Zertifikat für RADIUS Authentifizierung per WLAN

Frage von osze90Netzwerkgrundlagen34 Kommentare

Guten Tag Ich habe anhand dieser Anleitung " versucht eine RADIUS basierte Authentifizierung über meinen Access Points zu konfigurieren. ...

Windows Server

WLAN authentifizierung über Radius (MAC IOS)

Frage von checknixWindows Server3 Kommentare

Hallo zusammen, bei uns in der Firma wird die WLAN Authentifizierung über den Radius geregelt. Die User melden sich ...

Neue Wissensbeiträge
Off Topic
Noch mehr was ich nicht brauche
Information von brammer vor 2 TagenOff Topic6 Kommentare

Hallo, WOFÜR? WARUM? brammer

Windows Server

Windows Server 2016 Suche nicht funktioniert ist ausgegraut Windows Server 2016 Search not work

Erfahrungsbericht von Wano347 vor 3 TagenWindows Server

Hallo Leute, wir haben vor kurzem ein Problem gehabt: Windows Server 2016 frisch installiert. Nach Checkliste konfiguriert (sieht vor ...

Microsoft Office

Microsoft geht nun rechtlich gegen Lizengo vor - Billig Software

Information von takvorian vor 3 TagenMicrosoft Office9 Kommentare

Hallo zusammen, eben auf CRN gefunden, weis nicht ob das schon wer gepostet hat Microsoft verklagt Lizengo Gruß Tak

Firewall
Übernahme von SOPHOS durch Thoma Bravo
Information von Dilbert-MD vor 4 TagenFirewall3 Kommentare

Kam die Tage per Newsletter: Zitat: " Das Sophos Board of Directors hat gestern bekanntgegeben, dass die Private-Equity-Investment-Firma Thoma ...

Heiß diskutierte Inhalte
Router & Routing
Macht es schon Sinn IPv6 Adressen einzusetzen ?
Frage von mario89Router & Routing11 Kommentare

Hallo Leute, bitte entschuldigt die vielleicht blöde frage, aber ich wollte gerne mal hören, ob im Professionellen Umfeld IPv6 ...

Batch & Shell
Batch - Datei über das Kontextmenü (Senden an) des Windows Explorer umbenennen
gelöst Frage von AlfornoBatch & Shell10 Kommentare

Hallo, ich möchte eine beliebige Word Datei mittels Batch umbenennen. Als Ergebnis soll der neue Dateiname das Änderungsdatum sowie ...

Switche und Hubs
Zwei VLANs über Trunks über zwei Layer3-Switche per Glasfaser verbinden
Frage von FreundlicherSwitche und Hubs9 Kommentare

Hi, leider habe ich weder in der Berufsschule aufgepasst, noch in der Ausbildung das Thema praktisch behandelt (kleiner Betrieb). ...

Batch & Shell
Batch variable in nächste batch mitnehmen
Frage von BytexxBatch & Shell8 Kommentare

Hallo ich möchte ein kleines .bat programm schreiben und habe eine frage. wie kann ich ein installations pfad herrausfinden ...