Hallo,
ich habe eine neue Schnittstelle mit einem USB-WLAN Stick erstellt, und diesem eine Statische IP vergeben:
192.168.120.1/24. Clients erhalten per DHCP die IPs, ok. Meine Opensese Webgui rufe ich auf LAN1 auf:
192.168.70.1. Um FreeRadius zu nutzen muss ich ja jeweils die IP vom Radius Server angeben, und die für den AP.
Die Frage ist nun, was ist denn die richtige IP des Radius Servers: 127.0.0.1? oder die von LAN1?
Mein AP hat ja dann die IP der Schnittstelle: 192.168.120.1
Da alles auf einem APU Board läuft verwirrt mich das ein wenig, alles ist ja auch lokal?
127.0.0.1 funktioniert problemlos bei mir mit dem FreeRADIUS plugin. Wenn du die LAN IP einträgst, musst du vermutlich auch eine andere NAS IP im Radius Server konfigurieren (je nachdem welche Quell-IP ankommt) aber sonst sollte es keinen Unterschied machen.
Also ich habe jetzt viele Einstellungen ausprobiert, geht leider nicht. Ich finde auch keine saubere Dokumentation dazu, ieee802.1 aktivieren, dann beim Client PWD,FAST,LEAP, PEAP, usw.
Ich habe hier meien Screenschots angefangen mit der Schnittstelle wlan3, da sind alle Einstellungen zu sehen, die ich an wlan3 bzw. am AP gemacht habe. In der zweiten Antwort, da ich nur 4 Bilder laden kann, habe ich dann Radius Einstellungen, und ein Screenshot vom Client. Ich hoffe mir kann hier jemand helfen.
Und hier die Radius Einstellungen
Screenshot 3, Authentifizierung mittel gemeinsamen Schlüssel? Gehört das so?
nein, wenn man RADIUS will, muss man das raus nehmen oder ein hybrid setup fahren (was ich mache)
Quotenein, wenn man RADIUS will, muss man das raus nehmen oder ein hybrid setup fahren (was ich mache)
Bitte etwas genauer. Was muss man raus nehmen? WPA aktivieren, oder Authentifizierung mittels gemeinsamen Schlüssels? OpenSystem Authentifizierung?
Gemeinsamer Schlüssel ist doch WLAN mit PSK, also genau das was du nicht willst ..Open auth is für freie Gäste ..
hmm, also ich glaube hier werden paar Sachen durcheinander gebracht.
QuoteGemeinsamer Schlüssel ist doch WLAN mit PSK, also genau das was du nicht willst ..Open auth is für freie Gäste ..
Nochmal, ja ich will Radius mit EAP. Es gibt da aber nur 3 Möglichkeiten zur Auswahl!!! OpenAuth: dann kann ich mich ohne passwort anmelden, das will ich ja sicher nicht! Also habe ich da doch nur die Möglichkeit "Gemeinsamer Schlüssel" auszuwählen :-\
Wenn ich WPA nicht aktiviere, dann kann ich ja auch kein "IEEE802.1X Authentifizierung" nutzen, das steht da dabei (Setzen dieser Option wird die 802.1x-Authentifizierung aktivieren.
HINWEIS: Diese Option erfordert, dass die "WPA aktivieren" angehakt ist.) !
Es geht also um folgende Einstellungen.
WPA : Aktiveiren --> Key eintragen (muss ich ja dann wohl? )
WPA Schlüsselverwaltungsmodus: EAP / PreShared /Beides -> EAP
Authentifizierung: Open../Beides/ Gemeinsamer Schlüssel --> ???
IEEE802.1X Authentifizierung aktivieren: JA
Hoffe die Fragen sind nun klar?!
Ich kanns dir leider nicht sagen, ich hab keinen Stick. PSK ist schon mal falsch, 802.1X hört sich in dem Kontext so an als wäre die OPNsense der Client der sich an einem EAP WLAN anmelden soll.
1/2
2/2
kommt dann noch irgendwann für die docs.
User, Passwörter etc. sind ersetzt worden.
@fabian: Vielen Dank, genau so habe ich es auch gemacht, und es funktioniert.
Leider haben mich die verwirrten Aussagen von @mimugmail verunsichert.
Sachade das es so lange gedauert hat, aber hauptsache es geht nun, danke.
Ne, OPNsense ist da verwirrend, Open auth und Festlegung eines PSK .. und das obwohl du EAP willst. Ich hab schon viele APs in der Hand gehabt, aber das ist Käse ..
@mimugmail: das geht - es gibt zwar Geräte, die sich dann halt nicht mehr entscheiden können, welches login-system verwendet wird aber mit meinem Linux-Rechner kann ich es mir aussuchen ob ich mit RADIUS oder mit PSK rein gehe und RADIUS wirft einfach die besseren Sitzungsschlüssel ab und man kann nicht passiv mitsniffen.
Auf der CLI ist das auch sichtbar:
% nmcli d wifi list
... WPA2 802.1X
So wie ich mich jetzt informiert habe, ist es leider so, das die Angriffe gegen WPA2 auch EAP also Radius betreffen, da der Angriff sich gegen das Protokoll WPA2 wendet, welches ja beide nutzen. Wenn das so stimmt, so würde das bedeuten, ich habe NULL Sicherheitsvorteile gegenüber WPA2 PSK mit WPA2 EAP TLS. Das ist dann wirklich Schade!
Das ist ein sehr wichtiger Punkt. Sonst fühlen sich viele in falscher Sicherheit, also bitte Aufkären, und die User davor warnen, falls es denn so stimmt?!
Quellenangabe bitte
Ich kenne nur das hier und da schauts mit PSK schlimmer aus als mit EAP: https://hashcat.net/forum/thread-7717.html