Fórumok
Az alábbi a problémám: egy cégnél be kéne üzemelni egy pfSense tűzfalra a freeRadiust wifi AP-k számára. Azonban sehol nem találok épkézláb leírást arról, hogy miként kell ezt megvalósítani. Ráadásul úgy kellene megoldani, hogy a felhasználóknak csak annyi dolguk legyen csatlakozáskor, hogy beírják a felh.nevet és jelszót: ne kelljen már extra hitelesítési paramétereket állítgatni (eap, peap, mschap, stb.), mert attól agyf@szt kap mindenki.
Ami útbaigazításokat találtam, azok csak a VPN csatlakozásokhoz való radius beállításokat taglalta. Valahogy a wifi radiusos hitelesítésénekhez nem találtam semmit.
Hozzászólások
Már pedig egyszer mindenképpen fel kell venni az AP-t az eszközökön, méghozzá kézzel, szóval agyf@szt fog kapni boldog-boldogtalan.
Amúgy ezt leszámítva csak kattintgatás az egész, FreeRadiust telepítsd és állítsd be, AP-ket állítsd be, fix IP, radius-jelszó, vedd fel a pfSense-n az AP-ket és utána mehetnek a felhasználónév/jelszó párosok kézzel vagy valami szerverről.
Oké, csak az a baj, hogy még eddig sem tudok eljutni, mert nincs róla semmilyen fellelhető útbaigazító anyag.
Az, hogy freeRadius beállítása wifi access pointok számára, windows kliens csatlakozással, ilyen sehol sincs.
tudom, hogy valami rohadtul elkerüli a figyelmemet, de már annyit próbálkoztam, hogy elvesztettem a fonalat. Tehát most csak egy higgadt iránymutatás és egy totál földhöz ragadt ismertető anyag kellene, majd elindulnom ismét a kájhától. Nehogymár ez ne jöjjön össze.
Van AD/ldap backend, vagy hol tarolnatok a user credentialoket?
egyelőre nagyon egyszerűen: a pfSense >> freeRadius >> Users alatt van bejegyezbe egyetlen account. Ha ezt már sikerül beüzemelni, onnan már sínen vagyok mint József Attila.
(Az a bosszantó, hogy 2 évvel ezelőtt simán belőttem ezt a dolgot máshol, de olyan szinten más dolgokkal voltam elfoglalva mostanában, hogy már halvány szellentésem sincs, mit hogyan csináltam. És hozzáférési lehetőségem sincs ahhoz a confighoz.)
https://docs.netgate.com/pfsense/en/latest/packages/using-eap-and-peap-…
PEAP+MSCHAPv2 részt nézd meg.
köszönöm a segítséget, működik.
Saját CA-cert. kulcsokat kellett generálni, ahogy a leírás is tanácsolta. Innen már minden ment.
azaz csak félig működik. Windows kivételével minden csatlakozik. Bármilyen titkosításra is váltottam, a windows mindent elutasít.
vindóz is megoldva, android is csatlakozik.
Default EAP Type: TTLS
EAP-TTLS Default EAP Type: MSCHAPv2
Még egyszer köszönöm a segítséget!
update:
egy frászt csatlakozik. Egyszer ment, aztán annyi. Még próbálgatom egy napig, aztán átváltok azure szolgáltatásra. Azon pikkpakk megy minden, szenvedés nélkül.
ne legyen bepipálva a validate server certificate PEAP beállításoknál (windows alatt)
kösz, megnézem ezt a variációt is.
Én EZT találtam és működik:
To add these registry values, follow these steps:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
Szerintem itt a peap method a mukodo beallitas.