fundave3
Goto Top

Free Radius Server zur WLAN Authentifizierung

Hallo Zusammen,

ich möchte einen Freeradius Server dafür nutzen, um einen Router mit WPA2-Enterprise Modus zu betreiben. Dabei möchte ich keine Benutzerkennungen nutzen, sondern Zertifikate.
Also EAP-TLS.
Der Radius Server ist ein Externer als der Access Point. Dieser läuft auf einem Raspi (hostapd ) Soweit ich weiß kann ich Hostapd in einem externen Radius Server einbinden.

MEin Problem ist nur, das ich nicht genau weiß wie ich die Zertifikate generiere.
Eine CA wird dann innerhalb des Radius Servers laufen.

In dem Fall authentifizieren die Clients sich ja dann mit Zertifikaten anstatt mit Kennwort und Username.

KAnn ich die Zertifikate mit eine SQL Datenbank verwalten ?
Es gibt wohl die Möglichkeit mit OpenLDAP und MYSQL.

Vielen Dank.

Content-ID: 387344

Url: https://administrator.de/forum/free-radius-server-zur-wlan-authentifizierung-387344.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

aqui
aqui 23.09.2018 um 12:16:24 Uhr
Goto Top
Die groben Grundlagen findest du hier:
https://www.heinlein-support.de/sites/default/files/zutrittskontrolle_im ...
http://www.erasmus-reinhold-gymnasium.de/delixs/freeradius/radius.pdf
Bzw. einfach mal bei Dr. Google nach freeradius wlan user certificate suchen.
Wie man den Freeradius in den hoastapd integriert findest du u.a. hier:
https://exitno.de/linux_wlan/
fundave3
fundave3 23.09.2018 um 16:59:11 Uhr
Goto Top
Hallo aqui,

vielen Dank. Ja dort war ich schon. Soweit bin ich sogar gekommen face-smile
Ich habe es geschafft den ldap in die freeRadius Config einzutragen und Server / CA Zertifikate zu erstellen.

Ein Client Zertifikat habe ich mit make client.pem erstellt.
Das hat soweit auch funktioniert. Musste natürlich auch pass out/in ändern.

Was mir noch nicht ganz klar wird.
Sobald ich ein Zertifikat erstellt habe, wird das in den LDAP geschoben ?

Kann ich mir anschauen welche clients gerade eingeloggt sind, Also die Session ?

Vielen Dank
aqui
aqui 23.09.2018 aktualisiert um 18:19:22 Uhr
Goto Top
Das müsste es nicht zwingend. LDAP dient nur der einfachen Userverwaltung bzw. die Kopplung an ein Windows AD mit LDAP. Du kannst das natürlich auch alles statisch machen aber bei mehr als 10 Usern skaliert das dann nicht mehr.
fundave3
fundave3 24.09.2018 um 20:31:12 Uhr
Goto Top
Hallo Aqui,

vielen Dank.
Ja schon klar.Allerdings habe ich bisher nur die Authentifizierung mittels USername und Password mit Ldap gefunden.
Leider nicht mit Zertifikate also EAP-TLS.
Daher meine Frage, wie verwalte ich die Zertifikate mit LDAP ?

Ich möchte bei bedarf Zertifikate sperren können, anschauen welche gerade aktiv sind.
Hast du da eine IDee?
fundave3
fundave3 28.09.2018 um 21:21:06 Uhr
Goto Top
Hallo Zusammen,

es funktioniert fast!
ICh habe es geschafft den freeradius zu erstellen und aufzusetzen.
Der Server nimmt meine Anmeldung an und gibt ein Accept zurück.
Das einzige Problem ist, der PI ZEro.
ICh habe mir mal im Debug Modus gestartet und verfolgt.
Wie ich sehe kann er kein KEy setzen. Ich habe etwas rumgesucht und rausgefunden, das der Treiber das nicht kann.
Ist das korrekt ? Kann ich irgendwie mit einem USB Dongle und einem anderen TReiber nachhelfen ?
cert2

Vielen Dank.
aqui
aqui 29.09.2018 um 18:45:27 Uhr
Goto Top
Der Server nimmt meine Anmeldung an und gibt ein Accept zurück.
Tadaa ! Das ist ja schonmal die halbe Miete !
Das einzige Problem ist, der PI ZEro.
Mmmmhhh, wieso. Ob auf einem Zero, einem richtigen oder einen ganz richtigen PC ist doch egal. Die FreeRadius Software ist doch immer gleich. Die hardware spielt dabei keinerlei Rolle. Weisst du auch sicher selber...?!
Wie ich sehe kann er kein KEy setzen.
Ist das ein Zero mit WLAN ??
Oder nutzt du einen ohne WLAN mit einem USB Adapter ??
Die nl80211 Fehlermeldung kommt vom hostapd und NICHT vom FreeRadius !
Hier findest du ein paar Tips zur grundlegenden Konfig des hostapd auf einem Zero:
https://www.heise.de/ct/ausgabe/2017-22-Digitales-Flugblatt-Raspberry-Pi ...

Hilfreich wäre es wenn du hier mal deine hostapd.conf postest. Ansonsten müssen wir raten oder die Glaskugel bemühen... face-sad
fundave3
fundave3 30.09.2018 aktualisiert um 21:34:14 Uhr
Goto Top
Hi Aqui,

ja die Fehlermeldung kommt von dem hostapd auf dem Zero mit onboard Wifi.
Der Zero ist über ein Tunnel verbunden, auf dem Server läuft ein Freeradius.
Ich vermute der Adapter vom PI kann das nicht. Daher wollte ich mir ein USB Adapter besorgen.
Hier einmal die Config.

interface=wlan0
driver=nl80211
ssid=IP-network
hw_mode=g
channel=7
wmm_enabled=0
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
#
ieee8021x=1
#
own_ip_addr=10.22.10.11
auth_server_addr=10.211.10.227
auth_server_port=1812
auth_server_shared_secret=*secret*
#
wpa=2
wpa_key_mgmt=WPA-EAP
wpa_pairwise=TKIP CCMP
#rsn_preauth=1
#rsn_preauth_interfaces=rl0
aqui
Lösung aqui 01.10.2018 aktualisiert um 10:33:10 Uhr
Goto Top
TKIP ist tödlich auf dem Client bzw. AP. Das solltest du niemals mehr verwenden !
Ein stabile Grundkonfig sähe so aus:
interface=wlan0 
driver=nl80211 
ssid=RaspberryPi-AP 
country_code=DE 
ieee80211d=1 
hw_mode=g 
ieee80211n=1 
wmm_enabled=1 
channel=3 
# Timing Parameter 
max_num_sta=32 
macaddr_acl=0 
auth_algs=1 
ignore_broadcast_ssid=0 
# Radius Settings
ieee8021x=1 
# 
own_ip_addr=10.22.10.11 
auth_server_addr=10.211.10.227 
auth_server_port=1812 
auth_server_shared_secret=*secret* 
# WPA Schluesseleinstellungen u. Passwort 
wpa=2 
wpa_passphrase=raspberry123 
wpa_key_mgmt=WPA-EAP 
rsn_pairwise=CCMP  
wpa_pairwise=CCMP 

Der Fehler tritt vermehrt mit der Nutzung von TKIP auf. Also TKIP mal dediziert abschalten. Sollter man so oder so immer !
Googelt man diesen Fehler soll der RasPi onboard Chipsatz angeblich kein 802.11w supporten was das auslöst.
Bei WPA-EAP sollte man ausserdem immer ieee80211w=2 im Setup setzen.
Da der Chipsatz aber recht neu und aktuell ist, ist das schwer vorstellbar.
Zur not mal alternativ mit einem USB Stick probieren.
https://www.reichelt.de/wlan-adapter-usb-150-mbit-s-tplink-tl-wn722n-p12 ...
o.ä.
fundave3
fundave3 17.10.2018 um 21:26:04 Uhr
Goto Top
Perfekto.... Vielen Dank.
Es läuft.
TKIP ist tötlich ? Okay, gut zu wissen.
ICh werde mich mal weiterbilden.

DAnke dir.
aqui
Lösung aqui 18.10.2018 aktualisiert um 11:09:12 Uhr
Goto Top
TKIP ist tö(d)lich ?
Ja, denn es begrenzt per Standard die Bandbreite !!
Sollte man niemals mehr einsetzen heutzutage. Auch in APs sollte man es immer abschalten wenn irgend möglich.
Klasse wenns nun klappt ! face-smile