12
Radius Server, Wlan und Android Client Problem Zertifikat
Hi,
ich bin derzeit auf der Suche nach einer, möglichst einfachen Lösung, die auch lange halten wird im besten Fall.
Hintergrund: ich betreibe mittels NAS und Wlan APs ein kleines "WPA Enterprise" Netz für - sagen wir mal - Vereinsräume und Mitglieder. Läuft seit Jahren problemlos und super.
Jetzt ist der erste Nutzer mit einem Handy vor Ort, wo sich die Zertifikats Validierung nicht abschalten lässt (Android). Sonst gibt es da ja immer die Möglichkeit "nicht validieren" auszuwählen. Sprich ich bekomme den Client derzeit nicht ins Wlan.
Welchen Weg hab ich, um den Client einfach und ohne Kosten (Geld) ebenfalls ins Wlan zu bringen?
Auf der NAS (Synology) läuft der Radius. Die APs sind so eingestellt, das lokale User des NAS ins Wlan kommen mit ihren Credentials. Die NAS hat das Zertifikat von Synology und eines von Lets Encrypt.
Ich will aber keinesfalls EAP-TLS machen, sondern bei PEAP bleiben. Am liebsten nur bei mir etwas ändern, das es geht.
Oder auf dem einen Client (dann aber jeweils mit großen Zeitfenstern, nicht alle 3 Monate was neues dort).
Kann mir da jemand helfen, Tipps geben? Anleitungen? Danke!
ich bin derzeit auf der Suche nach einer, möglichst einfachen Lösung, die auch lange halten wird im besten Fall.
Hintergrund: ich betreibe mittels NAS und Wlan APs ein kleines "WPA Enterprise" Netz für - sagen wir mal - Vereinsräume und Mitglieder. Läuft seit Jahren problemlos und super.
Jetzt ist der erste Nutzer mit einem Handy vor Ort, wo sich die Zertifikats Validierung nicht abschalten lässt (Android). Sonst gibt es da ja immer die Möglichkeit "nicht validieren" auszuwählen. Sprich ich bekomme den Client derzeit nicht ins Wlan.
Welchen Weg hab ich, um den Client einfach und ohne Kosten (Geld) ebenfalls ins Wlan zu bringen?
Auf der NAS (Synology) läuft der Radius. Die APs sind so eingestellt, das lokale User des NAS ins Wlan kommen mit ihren Credentials. Die NAS hat das Zertifikat von Synology und eines von Lets Encrypt.
Ich will aber keinesfalls EAP-TLS machen, sondern bei PEAP bleiben. Am liebsten nur bei mir etwas ändern, das es geht.
Oder auf dem einen Client (dann aber jeweils mit großen Zeitfenstern, nicht alle 3 Monate was neues dort).
Kann mir da jemand helfen, Tipps geben? Anleitungen? Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6064693805
Url: https://administrator.de/contentid/6064693805
Printed on: May 2, 2024 at 00:05 o'clock
12 Comments
Latest comment
Wenn es nur ein Client ist - schauen was ist an dem Gerät besonders. Ist es irgendeine uralte Firmware? Irgendwelche sinnlosen Settings,... Wenns nämlich am Endgerät liegt bleibt dir nur eines: Dem Besitzer sagen "Pech gehabt". Wenn du es anfasst kannst du auch gleich vom nächsten Haus springen. Du stellst irgendwas um damit es bei euch läuft - und ab da wird es nämlich heissen "aber zuhause/im Hotel/am Flughafen/... gehts jetzt nich mehr, vorher gings problemlos, mach bitte wieder heile, du hast es schließlich auch kaputt gemacht". Im BESTEN Fall kannst du dem Besitzer nen Tipp geben das es auf Gerät xyz mit selber Firmware u. selben Browser,.. läuft und das Setting abc ggf. was sein könnte. Aber ich fasse zB. das Gerät eines Gastes nich mal mit Handschuhen und ner Zange an denn ab dann ist jedes Bild was irgendwann ggf. mal irgendwo war ja "vorher noch drauf gewesen" und man darf erst mal versuchen zu beweisen das man von der Systemeinstellung gar kein Bild löschen kann...
1
Welchen Weg hab ich, um den Client einfach und ohne Kosten (Geld) ebenfalls ins Wlan zu bringen?
Du kannst ihm das Radius Server Zertifikat einfach per Mail Attachment schicken. Wenn der User es doppelklickt wird es automatisch in Android importiert und der Fall ist erledigt.Es ist wie Kollege @maretz oben schon gesagt hat immer nur eine Frage des Clients. Nur der bestimmt ob er eine Zertifikatsvalidierung haben will oder nicht. Der Server erzwingt es nicht wenn der Client ihm sagt: "Nöö, ich möchte keine Zertifikatsvalidierung!".
Ansonsten wie oben gesagt die Zertifikats Datei als Mail Attachment schicken oder irgendwie per USB Stick, SD Karte, File Sharing etc. auf den Androiden bringen.
Siehe auch hier:
Freeradius Management mit WebGUI
Zitat von @maretz:
Wenn es nur ein Client ist - schauen was ist an dem Gerät besonders. Ist es irgendeine uralte Firmware?
Wenn es nur ein Client ist - schauen was ist an dem Gerät besonders. Ist es irgendeine uralte Firmware?
Ne, das ist eine Sache, die mit Android 11 direkt von Google kam. Andere Clients setzen es nur nicht um, scheinbar...
Daher ist "der User" nicht Schuld. Siehe z.B. etc
https://www.netzwelt.de/news/184775-android-11-google-verbietet-euch-mit ...
Zitat von @aqui:
Es ist wie Kollege @maretz oben schon gesagt hat immer nur eine Frage des Clients. Nur der bestimmt ob er eine Zertifikatsvalidierung haben will oder nicht. Der Server erzwingt es nicht wenn der Client ihm sagt: "Nöö, ich möchte keine Zertifikatsvalidierung!".
Ansonsten wie oben gesagt die Zertifikats Datei als Mail Attachment schicken oder irgendwie per USB Stick, SD Karte, File Sharing etc. auf den Androiden bringen.
Welchen Weg hab ich, um den Client einfach und ohne Kosten (Geld) ebenfalls ins Wlan zu bringen?
Du kannst ihm das Radius Server Zertifikat einfach per Mail Attachment schicken. Wenn der User es doppelklickt wird es automatisch in Android importiert und der Fall ist erledigt.Es ist wie Kollege @maretz oben schon gesagt hat immer nur eine Frage des Clients. Nur der bestimmt ob er eine Zertifikatsvalidierung haben will oder nicht. Der Server erzwingt es nicht wenn der Client ihm sagt: "Nöö, ich möchte keine Zertifikatsvalidierung!".
Ansonsten wie oben gesagt die Zertifikats Datei als Mail Attachment schicken oder irgendwie per USB Stick, SD Karte, File Sharing etc. auf den Androiden bringen.
Genau, aber der Weg ist das, was ich suche. Also welches Zertifikat und wie technisch etc?
Wenn ich z.B. für den Radius das Synology Zertifikat einstelle, das Ding exportiere bekomme ich ein cert.pem und ein privkey.pem - wie mache ich daraus ein "Wlan Zertifikat" für den Client?
Wäre das der richtige Weg? Ich kann ja Zertifikate so in Android importieren.
Kannst du das genauer beschreiben?
wie mache ich daraus ein "Wlan Zertifikat" für den Client?
Du brauchst lediglich nur diese cert.pem Datei. Das ist schon das fertige Server Zertifikat. Im Synology werkelt ein FreeRadius Server und der vergibt sich beim Aktivieren automatisch ein selbstsigniertes Zertifikat sofern man nicht dediziert eins selber anlegt oder importiert.Das cert.pem sendest du an den Androiden und importierst es.
Wenn man eigene selbstsignierte erzeugen will:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Bei VPN Server Zertifikaten ist es ähnlich:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Ebenso bei Tool wie dem bekannten XCA:
Merkzettel: VPN Installation mit OpenVPN
Musst du aber nicht zwingend wenn du mit dem Default Zertifikat leben kannst.
Zitat von @aqui:
Das cert.pem sendest du an den Androiden und importierst es.
wie mache ich daraus ein "Wlan Zertifikat" für den Client?
Du brauchst lediglich nur diese cert.pem Datei. Das ist schon das fertige Server Zertifikat. Im Synology werkelt ein FreeRadius Server und der vergibt sich beim Aktivieren automatisch ein selbstsigniertes Zertifikat sofern man nicht dediziert eins selber anlegt oder importiert.Das cert.pem sendest du an den Androiden und importierst es.
Soweit war ich auch schon, allerdings ist die cert.pem nicht ausreichend. Beim Import versuch kommt die Meldung von meinem Android:
"Privater Schlüssel zum Installieren des Zertifikates erforderlich".
Okay, die Meldung kommt nur auf meinem Samsung. Auf einem anderen Android oder iPhone kann ich die Pem installieren. wtf.
Android Schrott...mehr muss man sicher nicht sagen! 🤣
Gibt es ggf. noch ein Firmware Update für die Gurke?!
Gibt es ggf. noch ein Firmware Update für die Gurke?!
Sorry, aber das bringt mich so nicht weiter. Das Handy da hat im JAN23 das letzte Update gerade erst bekommen.
Und wie oben verlinkt, ist das ja ein Sicherheitsaspekt, den Google bewusst ab V11 reingebracht hat, scheinbar aber nicht alle Hersteller umsetzen.
Auf einem anderen Android, wo ich das cert.pem von Synology installieren konnte, als Wlan Zertifkat, lässt sich dieses in den Wlan Enterprise Einstellungen aber nicht wählen. Sprich auch da funktioniert dieser Weg so nicht.
Und wie oben verlinkt, ist das ja ein Sicherheitsaspekt, den Google bewusst ab V11 reingebracht hat, scheinbar aber nicht alle Hersteller umsetzen.
Auf einem anderen Android, wo ich das cert.pem von Synology installieren konnte, als Wlan Zertifkat, lässt sich dieses in den Wlan Enterprise Einstellungen aber nicht wählen. Sprich auch da funktioniert dieser Weg so nicht.
Na ja wenn von 100 Smartphones 99 mit deinem o.a. Setup und Zertifikat fehlerlos funktionieren, muss man den Fehler doch ganz sicher nicht in der Netzwerk Infrastruktur und dessen Setup suchen, oder?
cert.pem von Synology installieren konnte, als Wlan Zertifkat
Was hat denn auch ein Server Zertifikat mit einem WLAN Client Zertifkat zu tun? Ist ja so wie Fisch und Fahrrad....
Hallo.
Die Android-Geräte bis dato validieren kein Zertifikat, dort ist es so eingestellt, das eben nichts bestätigt wird.
Dieses Sony Handy hat die Option nicht mehr, die Google mit Android 11 auf den Pixelgeräten eben bewusst abgeschafft hat scheinbar.
Die iOS Devices fragen, wenn ein neues Zertifikat auf dem Radius hinterlegt wurde, ob man ihm vertraut.
Okay, dann bleibt die Frage: wie und welches Zertifikat muss ich auf diesem Androidgerät hinterlegen, damit ich es bei der WPA Enterprise Anmeldung am Radius eben validieren kann.
Oder einfacher gesagt: kann mir jetzt jemand helfen, dieses Gerät ins Wlan zu bringen?
(Dann hat der User Pech, oder stell auf PSK um etc sind keine Lösung, sorry).
Danke.
Die Android-Geräte bis dato validieren kein Zertifikat, dort ist es so eingestellt, das eben nichts bestätigt wird.
Dieses Sony Handy hat die Option nicht mehr, die Google mit Android 11 auf den Pixelgeräten eben bewusst abgeschafft hat scheinbar.
Die iOS Devices fragen, wenn ein neues Zertifikat auf dem Radius hinterlegt wurde, ob man ihm vertraut.
Okay, dann bleibt die Frage: wie und welches Zertifikat muss ich auf diesem Androidgerät hinterlegen, damit ich es bei der WPA Enterprise Anmeldung am Radius eben validieren kann.
Oder einfacher gesagt: kann mir jetzt jemand helfen, dieses Gerät ins Wlan zu bringen?
(Dann hat der User Pech, oder stell auf PSK um etc sind keine Lösung, sorry).
Danke.
Das ist das ganz normale Server Zertifikat des Radius Servers.
Okay, das hab ich ja schon hier geschrieben (21.02.2023 um 13:50:20 Uhr).
Das Zertifikat, was der Radius benutzt, ist das von Synology, beim Export bekomme ich ein ZIP File, in dem liegen eine cert.pem und die privkey.pem.
Damit scheint es eben nicht zu gehen - oder wie?
in dem liegen eine cert.pem und die privkey.pem.
Es ist die cert.pem Datei! Das ist das Server Zertifikat was auf dem Endgerät installiert sein muss in den "vertrauenswürdigen Stammzertifikaten" und das Gerätebezogen um mal mit Windows Sprech zu reden.Damit scheint es eben nicht zu gehen
Warum nicht? Das kann man doch fehlerlos importieren, denn genau dafür ist so ein Zertifikat ja da. Kannst du an einem Windows Rechner ja mal testweise ausprobieren. Siehe HIER.
