Перейти к содержимому
Калькуляторы

WPA+802.1x (WPA Enterprise) авторизация пользователей средствами radius

 

 

С 4.7.7 доступен из коробки и настраивается из webui http://forum.nag.ru/forum/index.php?showtopic=110269&view=findpost&p=1198743

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Настраиваем точку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Начиная с версии 4.7.7 в прошивку добавлен радиус сервер (использован free radius). Это позволяет без особых усилий развернуть сеть с централизованной аутентификацией на базе 802.1x EAP-TTLS-PEAP-MSCHAPv2 с прозрачным роумингом внутри сети и индивидуальными парами логин/пароль для каждого пользователя.

 

Конфигурация не нуждается в коментариях (см скриншот). Стоит отметить лишь что Shared Secret в настройках радиус сервера и в настройках Wireless-Security должны совпадать. Настройка AP приведена на скриншоте выше.

 

Одним из примеров использования может являться, разбиравшийся недавно на форуме, пример с гостинницей.

 

При заселении клиента, администратор на ресепшн заводит пользователь учётную запись, например "office_N" с паролем "васяпупкин". После чего Вася Пупкин получает доступ к сети.

 

В момент выписки, администратор удаляет запись или меняет пароль.

 

Тем самым время жизни доступа = времени проживания клиента. Нет открытой сети - нет проблемы с законодательством. И т.д. и т.п.

radius.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Настройка клиентов...

 

Под андроид всё просто и ясно. Ткнули на сеть, ввели логин и пароль - заработало.

 

Под линукс в нетворк менеджере в свежих версиях так же выбираем сеть, выбираем WPA2 Enterprise, TTLS, MSCHAPv2.

Если система старенькая или по какой-то причине настроить не удаётся, то достаточно будет отредактировать нужную секцию в /etc/wpa_supplicant.conf по аналогии:

 

network={
   mode=0
   scan_ssid=1
   ssid="Wive-NG-MTEAP"
   priority=1
   key_mgmt=WPA-EAP IEEE8021X
   eap=PEAP
   identity="test1"
   password="test1"
   proactive_key_caching=1
}

 

С windows как всегда всё через Ж. Там нужно вручную создать подключение через "центр управления сетями и общим доступом" начиная с ввода SSID руками...

 

Собсно скриншоты по шагам:

1.jpg2.jpg3.jpg4.jpg5.jpg6.jpg7.jpg

 

Как оно в MacOS ХЗ. Но скорее всего как и в андроиде. Просьба попробовать у кого есть под рукой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на apple аналогично android'ам, ввести имя пользователя/пароль и принять сертификат от сервера

IMG_3672.PNG

IMG_3673.PNG

IMG_3674.PNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Одним из примеров использования может являться, разбиравшийся недавно на форуме, пример с гостиницей.

радиус можно использовать только в роли выключателя? (пользователь может залогиниться/нет)

или возможно иметь какие-то индивидуальные настройки на пользователя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

О встроенном фрирадиусе речь? Только авторизация. О каких настройках речь-то идёт? Ну в будущем будет время экаунтинг добавлю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нет, о стороннем.

 

о каких настройках? ну, скажем, кому-то дать доступ в локальную сеть, а кому-то нет. или зашейпить по-разному. или ещё что.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какой шейпинг на уровне простого бриджа? =))) Какое ограничение доступа? =)

 

Я вам подскажу как это правильно сделать:

1) wifi в отдельную подсеть со своим DHCP и т.д.

2) ограничение все абсолютно на уровне шлюза из wifi сети во всё остальное включая шейперы и прочее

 

Не надо пытаться на АП навешивать подобный функционал. Во первых дорого с точки зрения CPU, во вторых бессмысленно, ибо один фиг надо отделять мух от котлет (провод/беспровод) на L3. И там уже можно лимитировать кого и как удобно. Ну и радису развернуть.

 

В точку радиус встроен исключительно что бы быстро развернуть доступ к сети с индивидуальными парами логин/пароль.

 

Нет ну с дури и на АП нагородить можно. Вот только цена вам сильно не понравиться. Как и предсказуемость решения в разы упадёт вместе с гибкостью (в целом). =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2) ограничение все абсолютно на уровне шлюза из wifi сети во всё остальное включая шейперы и прочее

разумеется

 

вопрос был: может ли шлюз как-то идентифировать клиента? скажем, выдавать разным клиентам ip из разных диапазонов. или вообще в отдельные vlan разных клиентов.

или дёргать скрипты по подключению/отключению клиентов, которые будут правила iptables править. или ешё что.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По MAC, источнику репорта и паре логин/пароль. На L2 других данных нет. А там уже как настроите шлюз и взаимодействия радиуса и прочего на нём. Т.е. мы на уровне радиуса чётко можем видеть с какой АП и какой клиент пришёл. Остальное вопрос автоматизации на шлюзе (я ж не в курсе что вы в качестве оного юзаете). Там может вообще биллинг какой навороченный. Или может самонастроенный *nix с freeradius и самописной обвязкой.

 

От логики на АП это уже никак не зависит.

 

Можно накрутить хотспот в виде chillispot там данных и возможностей несколько больше. Но и ресурсов он жрёт в разы больше на AP. Тут вопрос скорее надо ставить как "а что требуется реализовать?" и исходя из этого уже решать что использовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в общем понятно, надо копать в сторону freeraduis, его интеграции с dhcp и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

или вообще в отдельные vlan разных клиентов.

 

Такого варианта нет и точно не предвидиться. Слишком дофига архитектурно менять придётся, ради кейза который нужен в 99% только WISP куда мы даже не планируем метить. У нас indoor однако. И если и будет outdoor то до массового прихода 802.11ax мы не будем планировать лезть в WISP.

 

в общем понятно, надо копать в сторону freeraduis, его интеграции с dhcp и т.п.

 

Да не обязательно FreeRadius. Просто это одна из самых навороченных реализаций при этом открытая. А так да. Свзяка радиус dhcp возможно управление оттуда же свитчами если уж сильно наворочено хочется. Тут всё от полёта фантазии админа зависит.

 

Ну и на текущих скоростях шейпить не влетая в CPU при любом pps надо точно не на оконечном железе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 удалённо эксплуатируемых уязвимостей free radius http://www.opennet.ru/opennews/art.shtml?num=46870 .... Некоторые касаются и нас. Всем кто ипользует радиус встроенный в прошивку, при этом не лимитирует доступ к нему - обновляемся до 6.2.9 без раздумья.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

возможно ли добавить ещё accounting, как это сделано например в dd-wrd и ubnt (nanostation)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.