WPA-EAP

Dieser Artikel soll das Setup einer WPA-EAP Authentifizierung für WLAN-Accesspoints beschreiben.

Das Setup wird ein „heimnetz“ und „gastnetz“ erstellen, wobei man sich im „heimnetz“ per Zertifikat ( EAP-TLS) authentifiziert und im „gastnetz“ per Username und Passwort ( EAP-PEAP).

Die beiden Netze („gastnetz“ und „heimnetz“) werden zwischen den APs (Accesspoints) und dem zentralen Router über VLAN gekapselt.

Als Hardware wird ein OpenWRT kompatibles Gerät, der TL-1043ND von TP-Link, eingesetzt. Des Weiteren wird als Betriebssystem der APs OpenWrt Backfire 10.03.1 eingesetzt.

Als Radius-Server wird Freeradius verwendet.

Will ein Client (in unserem Beispiel ein AP) eine Verbindung zum Radiusserver aufbauen, benötigt man einen entsprechenden Eintrag in der Datei „/etc/freeradius/client.conf“.

...
client 10.0.0.1 {
  secret = changeme
  shortname = ap-main
  nastype = other
}
...

Des Weiteren ist EAP zu konfigurieren. „/etc/freeradius/eap.conf“

	eap {		
		default_eap_type = tls		
		timer_expire     = 60
		ignore_unknown_eap_types = no		
		cisco_accounting_username_bug = no		
		max_sessions = 4096
 
		tls {			
			certdir = ${confdir}/certs
			cadir = ${confdir}/certs
			private_key_file = ${certdir}/freeradius.key			
			certificate_file = ${certdir}/freeradius.crt
			CA_file = ${cadir}/ca.crt
			dh_file = ${certdir}/dh2048.pem
			random_file = /dev/urandom
			check_crl = no
			CA_path = ${cadir}		    
			cipher_list = "DEFAULT"
 
			cache {			      
			      enable = no
			      lifetime = 24 # hours
			      max_entries = 255
			}			
 
		}
 
		peap {			
			default_eap_type = mschapv2
			copy_request_to_tunnel = no
			use_tunneled_reply = no
			virtual_server = "inner-tunnel"
		}
 
		mschapv2 {
		}
	}