128298
Mar 26, 2016 at 14:11:22 (UTC)
2627
7
0
Umsetzung von EAP-TLS im Heimnetzwerk mit Winodws Server oder Linux
Hallo Zusammen,
mir ist durchaus bewusst, dass das Thema Radius Server hier und da mehrfach im Forum erklärt und beschrieben ist.
Ich suche so blöd es auch klingt für meine eigentliche Arbeit eine schnelle und übersichtliche Lösung um Clients mithilfe von Zertifikaten (EAP-TLS) am Netzwerk anzumelden.
Das Ziel meiner eigentlichen Arbeit ist es einen Raspberry Pi (im Fahrzeug) erfolgreich mit WPA2 Enterprise mit einem Netzwerk zu verbinden. Wichtig ist hier vor allem, dass sowohl der Server als auch der Client sich gegenseitig authentifizieren müssen. Ich möchte eine Car-2-X Infrastructure aufbauen um Daten vom Fahrzeug sicher über WLAN auslesen zu können. Dabei soll wenn möglich noch zwichen einem Vollzugriff und einem Lesezugriff unterschieden werden. Dies wird dann aber, soweit mein Verständnis, direkt im Raspeberry konfiguriert bzw. Vollzugriff über SSH.
Ich erwarte keine Schritt für Schritt Anleitung aber der einen oder andere Tipp für anstehende Hürden nehme ich gerne mit
))
Viele Grüße und besten Dank!
p.s. Ich habe bereits mit freeradius/Ubuntu und Windows Server 2012 experementiert. Unter WinServ hat die Anmeldung via EAP (Benutzer/Password) mithilfe eines AP(DD-WRT) geklappt.
Ich hatte nur Probleme bei der Umstellung auf EAP-TLS.
So das wars jetzt aber, beste Grüße!
mir ist durchaus bewusst, dass das Thema Radius Server hier und da mehrfach im Forum erklärt und beschrieben ist.
Ich suche so blöd es auch klingt für meine eigentliche Arbeit eine schnelle und übersichtliche Lösung um Clients mithilfe von Zertifikaten (EAP-TLS) am Netzwerk anzumelden.
Das Ziel meiner eigentlichen Arbeit ist es einen Raspberry Pi (im Fahrzeug) erfolgreich mit WPA2 Enterprise mit einem Netzwerk zu verbinden. Wichtig ist hier vor allem, dass sowohl der Server als auch der Client sich gegenseitig authentifizieren müssen. Ich möchte eine Car-2-X Infrastructure aufbauen um Daten vom Fahrzeug sicher über WLAN auslesen zu können. Dabei soll wenn möglich noch zwichen einem Vollzugriff und einem Lesezugriff unterschieden werden. Dies wird dann aber, soweit mein Verständnis, direkt im Raspeberry konfiguriert bzw. Vollzugriff über SSH.
Ich erwarte keine Schritt für Schritt Anleitung aber der einen oder andere Tipp für anstehende Hürden nehme ich gerne mit
))Viele Grüße und besten Dank!
p.s. Ich habe bereits mit freeradius/Ubuntu und Windows Server 2012 experementiert. Unter WinServ hat die Anmeldung via EAP (Benutzer/Password) mithilfe eines AP(DD-WRT) geklappt.
Ich hatte nur Probleme bei der Umstellung auf EAP-TLS.
So das wars jetzt aber, beste Grüße!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 300189
Url: https://administrator.de/contentid/300189
Printed on: April 23, 2024 at 23:04 o'clock
7 Comments
Latest comment
Guten Morgen,
man könnte einen Router mit Radius EAP-TLS nutzen.
Wir erstellen die Zertifikate manuell und installieren sie im Router und auf den Clients.
Durch VPN und z.B. ISDN ist ein nachträgliche Konfiguration von überall aus möglich.
Die Handhabung ist meiner Meinung nach deutlich einfacher als mit Windows Server.
Gruß Johannes
man könnte einen Router mit Radius EAP-TLS nutzen.
Wir erstellen die Zertifikate manuell und installieren sie im Router und auf den Clients.
Durch VPN und z.B. ISDN ist ein nachträgliche Konfiguration von überall aus möglich.
Die Handhabung ist meiner Meinung nach deutlich einfacher als mit Windows Server.
Gruß Johannes
Hier ist eine Anleitung wie man es mit FreeRadius macht:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw.
Netzwerk Management Server mit Raspberry Pi
Ist eigentlich kein Hexenwerk...
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw.
Netzwerk Management Server mit Raspberry Pi
Ist eigentlich kein Hexenwerk...
Super vielen Dank, hätte wohl die Router-Variante bevorzugt bin aber schon soweit, dass der Windows Server eingerichtet ist.
Habe DNS, DHCP, AD DS, die Zertifikatsstelle und NAP einegrichtet.
Alles soweit ganz gut, nur bei der Erstellung der Zertifikate habe ich noch Probleme.
Ich habe gelesen, dass die Zertifikate automatisch an alle in der Domäne verteilt werden, wenn ich mich also innerhalb der Domäne anmelde geht das ganz ohne die Verteilung der Zertifikate über USB?!
Konfiguration:
Windows Server 2012 (Eigener Rechner):
IP: 192.168.1.5
DHCP / DNS
Router / Radius (WPA2 Enterprise)
IP: 192.168.1.1
Notebook
IP: 192.168.1.50
GW: 192.168.1.1
DNS: 192.168.1.5
Bei dem NAP Assistenten habe ich die Kategorie Smartcard oder andere Zertifikate gewählt, ist doch richitg für EAP-TLS oder ?
Stammzertifikat ist mithilfe des Assitenten erstellt (SH512), jetzt sehe ich im Fesnter der Zertifikatsstelle zwei Zertifikate (2,3) im Ordner Ausgestellte Zertifkate. SInd das die Privaten Schlüssel für die in der Domäne vorhandenen Clients?
Wie kann ich ein neues ZErtikfikat erstellen plus das Zertifkat für den Client um es später aud dem client zu installieren?
Das Fenster mmc ist bei mir noch leer, da ich nicht weiß welchen snap in ich am besten wählen soll um EAP-TLS zu nutzen, denke computerzertifikat.
Welche Gruppe im AD muss für das 802.1x Netz berechtigt sein, habe irgendwo was von RAS- und IAS-server gelesen?
Vielen vielen Dank, wenn es dann klappen sollte bräcuhte ich noch ein Szenerio um mich am NEtzwerk aus einer fremden Domäne anzumelden um zu überprüfen ob auch das funktioniert.
Nochmals Danke und schönen Abend.
Habe DNS, DHCP, AD DS, die Zertifikatsstelle und NAP einegrichtet.
Alles soweit ganz gut, nur bei der Erstellung der Zertifikate habe ich noch Probleme.
Ich habe gelesen, dass die Zertifikate automatisch an alle in der Domäne verteilt werden, wenn ich mich also innerhalb der Domäne anmelde geht das ganz ohne die Verteilung der Zertifikate über USB?!
Konfiguration:
Windows Server 2012 (Eigener Rechner):
IP: 192.168.1.5
DHCP / DNS
Router / Radius (WPA2 Enterprise)
IP: 192.168.1.1
Notebook
IP: 192.168.1.50
GW: 192.168.1.1
DNS: 192.168.1.5
Bei dem NAP Assistenten habe ich die Kategorie Smartcard oder andere Zertifikate gewählt, ist doch richitg für EAP-TLS oder ?
Stammzertifikat ist mithilfe des Assitenten erstellt (SH512), jetzt sehe ich im Fesnter der Zertifikatsstelle zwei Zertifikate (2,3) im Ordner Ausgestellte Zertifkate. SInd das die Privaten Schlüssel für die in der Domäne vorhandenen Clients?
Wie kann ich ein neues ZErtikfikat erstellen plus das Zertifkat für den Client um es später aud dem client zu installieren?
Das Fenster mmc ist bei mir noch leer, da ich nicht weiß welchen snap in ich am besten wählen soll um EAP-TLS zu nutzen, denke computerzertifikat.
Welche Gruppe im AD muss für das 802.1x Netz berechtigt sein, habe irgendwo was von RAS- und IAS-server gelesen?
Vielen vielen Dank, wenn es dann klappen sollte bräcuhte ich noch ein Szenerio um mich am NEtzwerk aus einer fremden Domäne anzumelden um zu überprüfen ob auch das funktioniert.
Nochmals Danke und schönen Abend.
Nachtrag:
Habe eine Gruppenrichtlinie für WPA2-Enterprise erstellt die nun automatisch auf dem Client erscheint.
Zertifikat erfolgreich exportiert und zu den vertrauenswürdigen Zertifikaten auf dem Client hinzugefügt.
Leider immer noch keinen erfolg bei der Verbindung.
Wenn ich im Router unter Sicherheitsmodus auf Radius stelle, dann kann ich mich mit dem Netzwerk verbinden, sobald ich den AP vom Server trenne erfolgt auch keine weiterschaltung mehr vom AP. Das scheint also zu funktionieren. Sobald ich aber auf WPA2-Enterprise im Router stelle bricht er innerhalb kürzerster Zeit beim Verbindungsaufbau ab. Ab und an steht auch Zertifkat wird verlangt.
Ab hier weiß ich nicht mehr weiter.
Falls jemand unterstützen kann würde ich mich sehr freuen.
Habe eine Gruppenrichtlinie für WPA2-Enterprise erstellt die nun automatisch auf dem Client erscheint.
Zertifikat erfolgreich exportiert und zu den vertrauenswürdigen Zertifikaten auf dem Client hinzugefügt.
Leider immer noch keinen erfolg bei der Verbindung.
Wenn ich im Router unter Sicherheitsmodus auf Radius stelle, dann kann ich mich mit dem Netzwerk verbinden, sobald ich den AP vom Server trenne erfolgt auch keine weiterschaltung mehr vom AP. Das scheint also zu funktionieren. Sobald ich aber auf WPA2-Enterprise im Router stelle bricht er innerhalb kürzerster Zeit beim Verbindungsaufbau ab. Ab und an steht auch Zertifkat wird verlangt.
Ab hier weiß ich nicht mehr weiter.
Falls jemand unterstützen kann würde ich mich sehr freuen.
Deine Beschreibungen sind leider verwirrend und unklar.... 
Was ist eine "Weiterschaltung" ??
Der AP braucht ja logischerweise die Verbindung zum Radius um User zu authentisieren. Klar wenn du die Radius Verbindung trennst geht nix mehr... Wenn man den Stecker der Schreibtischlampe zieht geht das Licht auch aus !
Was also meinst du mit dem ominösen Wort "Weiterschlatung" was es in dem Szenario nicht gibt ?!
Aber oben schreibst du doch das es geht ??!! "Sicherheitsmodus Radius" kann ja nur WPA-2 Enterprise sein, denn was anderes gibt es gar nicht in dem Umfeld !
Deine Äußerungen widersprechen sich also diametral...?!
Wenn ich im Router unter Sicherheitsmodus auf Radius stelle,
Router ?? Du meinst auf den im Router integrierten WLAN Accesspoint, oder ??dann kann ich mich mit dem Netzwerk verbinden,
Hört sich gut an und zeigt ja das es klappt !sobald ich den AP vom Server trenne erfolgt auch keine weiterschaltung mehr vom AP
Bahnhof... ???Was ist eine "Weiterschaltung" ??
Der AP braucht ja logischerweise die Verbindung zum Radius um User zu authentisieren. Klar wenn du die Radius Verbindung trennst geht nix mehr... Wenn man den Stecker der Schreibtischlampe zieht geht das Licht auch aus !
Was also meinst du mit dem ominösen Wort "Weiterschlatung" was es in dem Szenario nicht gibt ?!
Sobald ich aber auf WPA2-Enterprise im Router stelle
Du meinst wieder den AP im Router, oder ??Aber oben schreibst du doch das es geht ??!! "Sicherheitsmodus Radius" kann ja nur WPA-2 Enterprise sein, denn was anderes gibt es gar nicht in dem Umfeld !
Deine Äußerungen widersprechen sich also diametral...?!
Ab hier weiß ich nicht mehr weiter.
Wir auch nicht mehr ob der Konfusion...
Hi die Wortwahl war keine Absicht sondern einfache der verzweifelte Versuch mein Problem zu schildern, da ich selbst nicht weiß an welcher Stelle es hackt und welche Vorraussetzung ich für ein lauffähiges System überhaupt erfüllen muss.
Meine Konfiguration: Physikalisch
Router KabelDeutschland (192.168.0.1) -> Ethernet -> TL-WR841N
TL-WR841N (WAN: 192.168.0.175 / LAN: 192.168.1.1) -> Ethernet -> Client (192.168.1.100)
TL-WR841N (WAN: 192.168.0.175 / LAN: 192.168.1.1) -> Ethernet -> Windows Server 2012 (192.168.1.5)
Geräte-Konfiguration:
Access Point:
TL-WR841N läuft mit DD-WRT
Modus: AP
DHCP deaktiviert
WLAN Sicherheit: WPA2 Enterprise ( Es gibt hier nämlich auch die Möglichkeit RADIUS auszuwählen)
Radius Server IP: 192.168.1.5 / Port 1812
Shared Secret: gesetzt
Client:
IP: 192.168.1.100
Mask: 255.255.255.0
GW: 192.168.1.1
DNS: 192.168.1.5
Zertifikate: ROOT CA und Nutzerzertifikat über den Webclient installiert
WPA2 Enterprise Einstellung: Root CA gewählt, AES, Smartcard und andere..., Computeranmeldung
Windows Server:
IP: 192.168.1.5
Mask: 255.255.255.0
GW. 192.168.1.1
DNS: 192.168.1.5
DNS konfiguriert
DHCP: 192.168.1.0 Start-IP 192.168.1.10
NAP: konfiguriert für Domänencomputer und Domänenbenutzer, EAP
Zertifizierungsstelle: RootCA und BenutzerCA (eigentlich möchte ich nur eine Geräteauthentifizierung und keine Benutzer)
Ich hoffe der Beitrag gibt diesmal mehr Aufschluss
Ein wesentlicher Punkt beschäftigt mich eben auch noch:
Der Client und der Server hängen über Ethernet an dem Access Point, bei dem Versuch einen Ping an den Server vom Client abzusetzen bekomme ich keine Antwort. Wenn ich mich jedoch mit dem Client über WLAN verbinde (zB WPA2 Personal) dann funtkioniert es :-?
Vielen Dank und beste Grüße!!!
Meine Konfiguration: Physikalisch
Router KabelDeutschland (192.168.0.1) -> Ethernet -> TL-WR841N
TL-WR841N (WAN: 192.168.0.175 / LAN: 192.168.1.1) -> Ethernet -> Client (192.168.1.100)
TL-WR841N (WAN: 192.168.0.175 / LAN: 192.168.1.1) -> Ethernet -> Windows Server 2012 (192.168.1.5)
Geräte-Konfiguration:
Access Point:
TL-WR841N läuft mit DD-WRT
Modus: AP
DHCP deaktiviert
WLAN Sicherheit: WPA2 Enterprise ( Es gibt hier nämlich auch die Möglichkeit RADIUS auszuwählen)
Radius Server IP: 192.168.1.5 / Port 1812
Shared Secret: gesetzt
Client:
IP: 192.168.1.100
Mask: 255.255.255.0
GW: 192.168.1.1
DNS: 192.168.1.5
Zertifikate: ROOT CA und Nutzerzertifikat über den Webclient installiert
WPA2 Enterprise Einstellung: Root CA gewählt, AES, Smartcard und andere..., Computeranmeldung
Windows Server:
IP: 192.168.1.5
Mask: 255.255.255.0
GW. 192.168.1.1
DNS: 192.168.1.5
DNS konfiguriert
DHCP: 192.168.1.0 Start-IP 192.168.1.10
NAP: konfiguriert für Domänencomputer und Domänenbenutzer, EAP
Zertifizierungsstelle: RootCA und BenutzerCA (eigentlich möchte ich nur eine Geräteauthentifizierung und keine Benutzer)
Ich hoffe der Beitrag gibt diesmal mehr Aufschluss
Ein wesentlicher Punkt beschäftigt mich eben auch noch:
Der Client und der Server hängen über Ethernet an dem Access Point, bei dem Versuch einen Ping an den Server vom Client abzusetzen bekomme ich keine Antwort. Wenn ich mich jedoch mit dem Client über WLAN verbinde (zB WPA2 Personal) dann funtkioniert es :-?
Vielen Dank und beste Grüße!!!
es hackt...
Mmmhhh... bist du hoffentlich kein Hacker sondern Gärtner ??https://de.wikipedia.org/wiki/Hacke_(Werkzeug)
oder Orthopäde:
https://de.wikipedia.org/wiki/Ferse
Zurück zum Thema...
Es gibt hier nämlich auch die Möglichkeit RADIUS auszuwählen
Das meint bei DD-WRT aber den 802.1x Client Modus, sproch also das sich der Router AP selber als 802.1x Client an einem gesicherten Netzwerk anmelden kann.Andere Option ist die User Authentisierung über Radius. Also das der Login User sei es Web oder SSH / Telnet via Radius authentisiert wird.
Der DD-WRT kann recht viel... Im WLAN gibt es aber einzig nur "WPA2-Enterprise" wenn damit gewollt ist das der im Router integrierte AP einen Radius fragt zur WLAN Client Authentisierung !!
Bedenke auch das NAP mit einer WLAN 802.1x Client Authentisierung nichts oder nur wenig zu tun hat.
WPA2-Enterprise ist erstmal nix weiter als einfaches 802.1x.
Ein NPS auf dem Winblows Server oder ein FreeRadius auf einem Raspberry Pi reicht dafür vollkommen.
Der Client und der Server hängen über Ethernet an dem Access Point,
Das ist aber nicht der Client der auch die WLAN Authorisierung macht, oder ?Das wäre dann Blödsinn, denn dann wäre er mit seinem WLAN Interface und seinem LAN Interface in einem und demselben IP Netz...geht nicht logischerweise !
Wenn du WLAN Authentisierung mit dem testen willst musst du den natürlich vom LAN Port abziehen...weiss aber auch jeder Erstklässler, sorry.
Wenn du den Server im LAN nicht pingen kannst (Ping ist ICMP) ist das wie immer zu 98% ein Firewall Problem auf dem Server !
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Ansonsten hast du ein ganz anderes gravierenderes Netzwerk Problem !
