WPA+802.1x (WPA Enterprise)

[sfstudio]

 

 

С 4.7.7 доступен из коробки и настраивается из webui http://forum.nag.ru/forum/index.php?showtopic=110269&view=findpost&p=1198743

 

[sfstudio]

Настраиваем точку.

[sfstudio]

Начиная с версии 4.7.7 в прошивку добавлен радиус сервер (использован free radius). Это позволяет без особых усилий развернуть сеть с централизованной аутентификацией на базе 802.1x EAP-TTLS-PEAP-MSCHAPv2 с прозрачным роумингом внутри сети и индивидуальными парами логин/пароль для каждого пользователя.

 

Конфигурация не нуждается в коментариях (см скриншот). Стоит отметить лишь что Shared Secret в настройках радиус сервера и в настройках Wireless-Security должны совпадать. Настройка AP приведена на скриншоте выше.

 

Одним из примеров использования может являться, разбиравшийся недавно на форуме, пример с гостинницей.

 

При заселении клиента, администратор на ресепшн заводит пользователь учётную запись, например "office_N" с паролем "васяпупкин". После чего Вася Пупкин получает доступ к сети.

 

В момент выписки, администратор удаляет запись или меняет пароль.

 

Тем самым время жизни доступа = времени проживания клиента. Нет открытой сети - нет проблемы с законодательством. И т.д. и т.п.

[sfstudio]

Настройка клиентов...

 

Под андроид всё просто и ясно. Ткнули на сеть, ввели логин и пароль - заработало.

 

Под линукс в нетворк менеджере в свежих версиях так же выбираем сеть, выбираем WPA2 Enterprise, TTLS, MSCHAPv2.

Если система старенькая или по какой-то причине настроить не удаётся, то достаточно будет отредактировать нужную секцию в /etc/wpa_supplicant.conf по аналогии:

 

network={
   mode=0
   scan_ssid=1
   ssid="Wive-NG-MTEAP"
   priority=1
   key_mgmt=WPA-EAP IEEE8021X
   eap=PEAP
   identity="test1"
   password="test1"
   proactive_key_caching=1
}

 

С windows как всегда всё через Ж. Там нужно вручную создать подключение через "центр управления сетями и общим доступом" начиная с ввода SSID руками...

 

Собсно скриншоты по шагам:

 

Как оно в MacOS ХЗ. Но скорее всего как и в андроиде. Просьба попробовать у кого есть под рукой.

[Kirill Vasilyev]

на apple аналогично android'ам, ввести имя пользователя/пароль и принять сертификат от сервера

[edo]

Одним из примеров использования может являться, разбиравшийся недавно на форуме, пример с гостиницей.

радиус можно использовать только в роли выключателя? (пользователь может залогиниться/нет)

или возможно иметь какие-то индивидуальные настройки на пользователя?

[sfstudio]

О встроенном фрирадиусе речь? Только авторизация. О каких настройках речь-то идёт? Ну в будущем будет время экаунтинг добавлю.

[edo]

нет, о стороннем.

 

о каких настройках? ну, скажем, кому-то дать доступ в локальную сеть, а кому-то нет. или зашейпить по-разному. или ещё что.

[sfstudio]

Какой шейпинг на уровне простого бриджа? =))) Какое ограничение доступа? =)

 

Я вам подскажу как это правильно сделать:

1) wifi в отдельную подсеть со своим DHCP и т.д.

2) ограничение все абсолютно на уровне шлюза из wifi сети во всё остальное включая шейперы и прочее

 

Не надо пытаться на АП навешивать подобный функционал. Во первых дорого с точки зрения CPU, во вторых бессмысленно, ибо один фиг надо отделять мух от котлет (провод/беспровод) на L3. И там уже можно лимитировать кого и как удобно. Ну и радису развернуть.

 

В точку радиус встроен исключительно что бы быстро развернуть доступ к сети с индивидуальными парами логин/пароль.

 

Нет ну с дури и на АП нагородить можно. Вот только цена вам сильно не понравиться. Как и предсказуемость решения в разы упадёт вместе с гибкостью (в целом). =)

[edo]

2) ограничение все абсолютно на уровне шлюза из wifi сети во всё остальное включая шейперы и прочее

разумеется

 

вопрос был: может ли шлюз как-то идентифировать клиента? скажем, выдавать разным клиентам ip из разных диапазонов. или вообще в отдельные vlan разных клиентов.

или дёргать скрипты по подключению/отключению клиентов, которые будут правила iptables править. или ешё что.

[sfstudio]

По MAC, источнику репорта и паре логин/пароль. На L2 других данных нет. А там уже как настроите шлюз и взаимодействия радиуса и прочего на нём. Т.е. мы на уровне радиуса чётко можем видеть с какой АП и какой клиент пришёл. Остальное вопрос автоматизации на шлюзе (я ж не в курсе что вы в качестве оного юзаете). Там может вообще биллинг какой навороченный. Или может самонастроенный *nix с freeradius и самописной обвязкой.

 

От логики на АП это уже никак не зависит.

 

Можно накрутить хотспот в виде chillispot там данных и возможностей несколько больше. Но и ресурсов он жрёт в разы больше на AP. Тут вопрос скорее надо ставить как "а что требуется реализовать?" и исходя из этого уже решать что использовать.

[edo]

в общем понятно, надо копать в сторону freeraduis, его интеграции с dhcp и т.п.

[sfstudio]

или вообще в отдельные vlan разных клиентов.

 

Такого варианта нет и точно не предвидиться. Слишком дофига архитектурно менять придётся, ради кейза который нужен в 99% только WISP куда мы даже не планируем метить. У нас indoor однако. И если и будет outdoor то до массового прихода 802.11ax мы не будем планировать лезть в WISP.

 

в общем понятно, надо копать в сторону freeraduis, его интеграции с dhcp и т.п.

 

Да не обязательно FreeRadius. Просто это одна из самых навороченных реализаций при этом открытая. А так да. Свзяка радиус dhcp возможно управление оттуда же свитчами если уж сильно наворочено хочется. Тут всё от полёта фантазии админа зависит.

 

Ну и на текущих скоростях шейпить не влетая в CPU при любом pps надо точно не на оконечном железе.

[sfstudio]

11 удалённо эксплуатируемых уязвимостей free radius http://www.opennet.ru/opennews/art.shtml?num=46870 .... Некоторые касаются и нас. Всем кто ипользует радиус встроенный в прошивку, при этом не лимитирует доступ к нему - обновляемся до 6.2.9 без раздумья.

[mar7]

возможно ли добавить ещё accounting, как это сделано например в dd-wrd и ubnt (nanostation)?