Az alábbi a problémám: egy cégnél be kéne üzemelni egy pfSense tűzfalra a freeRadiust wifi AP-k számára. Azonban sehol nem találok épkézláb leírást arról, hogy miként kell ezt megvalósítani. Ráadásul úgy kellene megoldani, hogy a felhasználóknak csak annyi dolguk legyen csatlakozáskor, hogy beírják a felh.nevet és jelszót: ne kelljen már extra hitelesítési paramétereket állítgatni (eap, peap, mschap, stb.), mert attól agyf@szt kap mindenki.
Ami útbaigazításokat találtam, azok csak a VPN csatlakozásokhoz való radius beállításokat taglalta. Valahogy a wifi radiusos hitelesítésénekhez nem találtam semmit.
- 273 megtekintés
Hozzászólások
Már pedig egyszer mindenképpen fel kell venni az AP-t az eszközökön, méghozzá kézzel, szóval agyf@szt fog kapni boldog-boldogtalan.
Amúgy ezt leszámítva csak kattintgatás az egész, FreeRadiust telepítsd és állítsd be, AP-ket állítsd be, fix IP, radius-jelszó, vedd fel a pfSense-n az AP-ket és utána mehetnek a felhasználónév/jelszó párosok kézzel vagy valami szerverről.
- A hozzászóláshoz be kell jelentkezni
Oké, csak az a baj, hogy még eddig sem tudok eljutni, mert nincs róla semmilyen fellelhető útbaigazító anyag.
Az, hogy freeRadius beállítása wifi access pointok számára, windows kliens csatlakozással, ilyen sehol sincs.
- A hozzászóláshoz be kell jelentkezni
tudom, hogy valami rohadtul elkerüli a figyelmemet, de már annyit próbálkoztam, hogy elvesztettem a fonalat. Tehát most csak egy higgadt iránymutatás és egy totál földhöz ragadt ismertető anyag kellene, majd elindulnom ismét a kájhától. Nehogymár ez ne jöjjön össze.
- A hozzászóláshoz be kell jelentkezni
Van AD/ldap backend, vagy hol tarolnatok a user credentialoket?
- A hozzászóláshoz be kell jelentkezni
egyelőre nagyon egyszerűen: a pfSense >> freeRadius >> Users alatt van bejegyezbe egyetlen account. Ha ezt már sikerül beüzemelni, onnan már sínen vagyok mint József Attila.
(Az a bosszantó, hogy 2 évvel ezelőtt simán belőttem ezt a dolgot máshol, de olyan szinten más dolgokkal voltam elfoglalva mostanában, hogy már halvány szellentésem sincs, mit hogyan csináltam. És hozzáférési lehetőségem sincs ahhoz a confighoz.)
- A hozzászóláshoz be kell jelentkezni
https://docs.netgate.com/pfsense/en/latest/packages/using-eap-and-peap-…
PEAP+MSCHAPv2 részt nézd meg.
- A hozzászóláshoz be kell jelentkezni
köszönöm a segítséget, működik.
Saját CA-cert. kulcsokat kellett generálni, ahogy a leírás is tanácsolta. Innen már minden ment.
- A hozzászóláshoz be kell jelentkezni
azaz csak félig működik. Windows kivételével minden csatlakozik. Bármilyen titkosításra is váltottam, a windows mindent elutasít.
- A hozzászóláshoz be kell jelentkezni
vindóz is megoldva, android is csatlakozik.
Default EAP Type: TTLS
EAP-TTLS Default EAP Type: MSCHAPv2
Még egyszer köszönöm a segítséget!
- A hozzászóláshoz be kell jelentkezni
update:
egy frászt csatlakozik. Egyszer ment, aztán annyi. Még próbálgatom egy napig, aztán átváltok azure szolgáltatásra. Azon pikkpakk megy minden, szenvedés nélkül.
- A hozzászóláshoz be kell jelentkezni
ne legyen bepipálva a validate server certificate PEAP beállításoknál (windows alatt)
- A hozzászóláshoz be kell jelentkezni
kösz, megnézem ezt a variációt is.
Én EZT találtam és működik:
To add these registry values, follow these steps:
- Click Start, click Run, type regedit in the Open box, and then click OK.
- Locate and then click the following subkey in the registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
- On the Edit menu, point to New, and then click DWORD Value.
- Type TlsVersion for the name of the DWORD value, and then press Enter.
- Right-click TlsVersion, and then click Modify.
- In the Value data box, use the following values for the various versions of TLS, and then click OK.
TLS version DWORD value TLS 1.0 0xC0 TLS 1.1 0x300 TLS 1.2 0xC00 - Exit Registry Editor, and then either restart the computer or restart the EapHost service.
- A hozzászóláshoz be kell jelentkezni
Szerintem itt a peap method a mukodo beallitas.
- A hozzászóláshoz be kell jelentkezni