Dies ist eine alte Version des Dokuments!
WPA-EAP
Dieser Artikel soll das Setup einer WPA-EAP Authentifizierung für WLAN-Accesspoints beschreiben.
Das Setup wird ein „heimnetz“ und „gastnetz“ erstellen, wobei man sich im „heimnetz“ per Zertifikat ( EAP-TLS) authentifiziert und im „gastnetz“ per Username und Passwort ( EAP-PEAP).
Die beiden Netze („gastnetz“ und „heimnetz“) werden zwischen den APs (Accesspoints) und dem zentralen Router über VLAN gekapselt.
Als Hardware wird ein OpenWRT kompatibles Gerät, der TL-1043ND von TP-Link, eingesetzt. Des Weiteren wird als Betriebssystem der APs OpenWrt Backfire 10.03.1 eingesetzt.
Als Radius-Server wird Freeradius verwendet.
Freeradius Konfiguration
Will ein Client (in unserem Beispiel ein AP) eine Verbindung zum Radiusserver aufbauen, benötigt man einen entsprechenden Eintrag in der Datei „/etc/freeradius/client.conf“.
... client 10.0.0.1 { secret = changeme shortname = ap-main nastype = other } ...
Des Weiteren ist EAP zu konfigurieren. „/etc/freeradius/eap.conf“
eap { default_eap_type = tls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = 4096 tls { certdir = ${confdir}/certs cadir = ${confdir}/certs private_key_file = ${certdir}/freeradius.key certificate_file = ${certdir}/freeradius.crt CA_file = ${cadir}/ca.crt dh_file = ${certdir}/dh2048.pem random_file = /dev/urandom check_crl = no CA_path = ${cadir} cipher_list = "DEFAULT" cache { enable = no lifetime = 24 # hours max_entries = 255 } } peap { default_eap_type = mschapv2 copy_request_to_tunnel = no use_tunneled_reply = no virtual_server = "inner-tunnel" } mschapv2 { } }