• wi-fi
• radius

В чем разница между режимами WPA-Personal и WPA-Enterprise?

• WPA-Personal (WPA-PSK): Данный режим подходит для большинства домашних сетей. Когда на беспроводной маршрутизатор или на точку доступа устанавливается пароль, он должен вводиться пользователями при подключении к сети Wi-Fi. В режиме PSK беспроводной доступ не может управляться индивидуально или централизованно. Один пароль распространяется на всех пользователей, и он должен быть вручную изменен на каждом беспроводном устройстве после того, как он вручную изменяется на беспроводном маршрутизаторе или на точке доступа. Данный пароль хранится на беспроводных устройствах. Таким образом, каждый пользователь компьютера может подключиться к сети, а также увидеть пароль.
• WPA-Enterprise (WPA-802.1x, RADIUS): Данный режим предоставляет необходимую в рабочей среде защиту беспроводной сети. Данный режим сложнее в настройке и предлагает индивидуальное и централизованное управление доступом к вашей сети Wi-Fi. Когда пользователи попытаются подключиться к сети, им понадобится предоставить свои учетные данные для аутентификации. Данный режим поддерживает аутентификацию по протоколу 802.1x через RADIUS-сервер и подходит в том случае, если установлен сервер radius. Режим WPA-Enterprise должен использоваться исключительно в том случае, если для аутентификации устройств подключен сервер RADIUS. Пользователи фактически не имеют дела с ключами шифрования. Они создаются защищенно и назначаются во время каждой пользовательской рабочей сессии в фовом режиме после того, как пользователь предоставляет свои аутентификационные данные. Это не допускает извлечения пользователеми сетевого ключа из компьютера.

Задача. Инсталлировать связку radius сервера FreeRADIUS на Хостинг VPS/VDS на Ubuntu 14.04.3 LTS, клиентом будет выступать D-Link DAP-1360.

• Инсталлируем

  aptitude install freeradius

• Работу сервера можно проверить сразу, для этого нам нужно добавить пользователя и в файле users раскомментировать пользователя

  "John Doe"      Cleartext-Password := "hello"
                  Reply-Message = "Hello, %{User-Name}"

  Проверим утилитой radtest

  radtest "John Doe" hello 127.0.0.1:1812 0 testing123
   
  Sending Access-Request of id 45 to 127.0.0.1 port 1812
  	User-Name = "John Doe"
  	User-Password = "hello"
  	NAS-IP-Address = 127.0.1.1
  	NAS-Port = 0
  	Message-Authenticator = 0x00000000000000000000000000000000
  rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=45, length=37
  	Reply-Message = "Hello, John Doe"

  Если в ответ получаем заголовок Access-Accept, значит сервер работает. С удаленного сервера тоже должно работать:

  radtest "John Doe" hello 10.26.95.251:1812 0 testing123

• Запуск в отладочном режиме

  service freeradius stop
  freeradius -X

• Сделаем подготовительные действия — скопируем исходные конфиги, почистим конфигурация от комментариев.

  cp -r /etc/freeradius /etc/freeradius.backup
  find /etc/freeradius -type f -exec file {} \;  | grep 'text' | cut -d':' -f1 | xargs sed -i '/^ *\t* *#/d;/^$/d'

• Добавим в файл clients.conf описание двух устройств. Первое, просто чтобы делать тесты не только на localhost

  client localgrey {
          ipaddr = 10.26.95.251
          secret          = 123966
          require_message_authenticator = no
          nastype     = other     
  }

  второе опишем непосредственно D-Link DAP-1360

  client wifi_dap1360 {
          ipaddr = 10.26.95.80
          secret          = 123966
          require_message_authenticator = no
          nastype     = other     
  }

• Добавим нового пользователя в файл users

  usertest Cleartext-Password := "usertest"

  и проверим его из консоли

  radtest usertest usertest 10.26.95.251:1812 0 123966
  Sending Access-Request of id 253 to 10.26.95.251 port 1812
  	User-Name = "usertest"
  	User-Password = "usertest"
  	NAS-IP-Address = 127.0.1.1
  	NAS-Port = 0
  rad_recv: Access-Accept packet from host 10.26.95.251 port 1812, id=253, length=20

• Настройка D-Link DAP-1360. Важно!!! Нужно указать статический IP в настройке LAN, если DHCP выдает ошибку при настройке WPA Enterprise.

• Все настройка завершена!! При подключении Лучшие Программы на Android (Андроид) для DevOps клиента, выбираем режим PEAP.

В целом вышеизложенное Howto верно и для Windows 10 64bit.

• Оригинальный сайт (http://freeradius.org) не поддерживает Windows, но на нем есть ссылка на Cygwin. Качаем сборку под Windows: FreeRADIUS.net.
• Установленный сервер готов к работе из коробки.
• Я изменил только файл clients.conf, закоментировав в нем все директивы client и дописав описание D-Link DAP-1360, несколько в другом формате, чем под Ubuntu

  client 10.26.95.80/32 {
  	secret		= 123966
  	shortname	= wifi80
  	require_message_authentication = no
  	nastype = other
  }

• И файл users.conf, удалив в нем все строки и добавил в них моих пользователей в формате (формат описания пользователей тоже отличается от Ubuntu)

  testuser	User-Password == "testpw"
  seconduser	User-Password == "slava"
  duser	User-Password == "duser"