Sådan konfigureres WiFi -routeren med WPA2 eller WPA3 Enterprise og RADIUS

Find og konfigurer IP'en på NAS'en, der vil have RADIUS -serveren

Den første ting, vi skal gøre, er at finde NAS -serveren på netværket, det er meget vigtigt at kende dens private IP -adresse, fordi vi i den trådløse netværkskonfiguration skal indtaste denne IP -adresse for at godkende de trådløse klienter. Det anbefales stærkt, at denne private IP -adresse aldrig ændres, derfor har vi to mulige muligheder:

• Sæt fast IP på NAS -serveren
• Konfigurer routerens statiske DHCP, og indstil altid en statisk IP -adresse.

På denne måde tvinger vi denne NAS -server til aldrig at ændre sin private IP -adresse, noget meget vigtigt for, at alt fungerer korrekt.

Når vi har konfigureret NAS eller routeren korrekt, så NAS -serveren aldrig ændrer sin IP -adresse, vil vi konfigurere serveren.

Konfigurer FreeRADIUS -serveren

FreeRADIUS er softwaren par excellence til at konfigurere en RADIUS -server med meget avancerede muligheder, denne software understøtter forskellige former for godkendelse, og den fungerer rigtig godt. En meget vigtig funktion er, at den er kompatibel med ethvert operativsystem, hvilket er afgørende for maksimal kompatibilitet.

Konfiguration af denne server er meget kompleks, du skal konfigurere konfigurationsfiler på en avanceret måde, oprette en certifikatautoritet og mere. Hvis vi bruger en NAS -server som QNAP, vil det i høj grad lette opgaven med ikke at skulle konfigurere en server på en computer på en Linux-baseret server eller på en raspberry Pi. Alle QNAP NAS -servere understøtter muligheden for nemt og hurtigt at konfigurere en server.

Alt vi skal gøre er at gå til afsnittet ” Kontrolpanel / applikationer / RADIUS -server “. Når vi er inde, skal vi aktivere serveren og give adgang til systemets brugerkonti, selvom sidstnævnte er valgfri og ikke nødvendig.

Når serveren er aktiveret, skal vi i sektionen "RADIUS -klienter" direkte registrere routeren, der videresender al godkendelse til serveren. De data, vi skal lægge, er følgende:

• Navn : vi sætter et navn til klienten
• IP-adresse : vi sætter routerens private IP -adresse, i vores tilfælde, 192.168.50.1
• Præfiks længde : vi sætter 32, hvilket angiver, at kun den IP -adresse er klienten.
• Hemmelig nøgle : vi definerer en stærk adgangskode, det er godkendelsesnøglen mellem routeren og FreeRADIUS -serveren. Denne adgangskode er ikke kundens.

Konfigurationen ville være som følger:

Når vi har konfigureret klienten, skal vi nu oprette brugerne. I dette tilfælde bliver vi nødt til at oprette en bruger for hver WiFi klient, som vi vil oprette forbindelse til det trådløse netværk, skal vi angive brugerens navn og også deres adgangskode. Alle klienter, der er på denne liste over «brugere», har tilladelse til at godkende på serveren og får derfor WiFi -forbindelse uden nogen form for begrænsninger.

Når vi har konfigureret serveren, skal vi gå til routeren for at konfigurere den korrekt, da vi skal indstille WPA2-Enterprise eller WPA3-Enterprise-godkendelse og angive forskellige data.

Konfigurer routeren med WPA2 / WPA3-Enterprise og RADIUS-godkendelse

Det første, vi skal gøre, er at gå til ” Avancerede / trådløse indstillinger ”Sektion. I denne menu bliver vi nødt til at vælge typen af ​​kryptering WPA2-Enterprise, og flere ekstra menuer vises automatisk, som vi skal fuldføre:

• Autentificeringsmetode : WPA2-Enterprise
• WPA -kryptering : AES
• Serverens IP -adresse : 192.168.50.141
• Serverport : 1812
• Forbindelseshemmelighed : 123456789 (i vores tilfælde er det adgangskoden, som vi lagde på serveren i afsnittet "RADIUS -klienter").

Dernæst kan du se, hvordan det ville se ud i vores tilfælde:

Alle disse oplysninger, som vi har angivet, skal afspejles i afsnittet "RADIUS -konfiguration" med det frekvensbånd, vi har konfigureret. Her ser vi serverens private IP -adresse, porten og også forbindelseshemmeligheden.

Når vi har konfigureret routeren korrekt, kan vi lige nu godkende de forskellige WiFi -klienter med deres tilhørende brugernavn og adgangskode, som vi tidligere har oprettet. Vi vil vise dig, hvordan du tilslutter en Windows 10 computer og en Android enhed.

Tilslut en Windows-pc til WiFi ved hjælp af WPA2-Enterprise

For at konfigurere et WiFi-netværk med WPA2-Enterprise skal vi manuelt konfigurere forbindelsen til netværket. Vi er nødt til at gå til ” Kontrolpanel / Netværk og delingscenter ”Sektion. I denne menu skal vi klikke på « Opret en ny forbindelse eller et netværk ".

På listen over tilgængelige muligheder skal vi klikke på ” Opret forbindelse manuelt til et trådløst netværk ”Og klik på næste.

Nu bliver vi nødt til at indtaste navnet på det WiFi -netværk, som vi skal oprette forbindelse til, dette netværksnavn eller SSID skal være nøjagtigt det samme som i routeren. I sikkerhedstype vælger vi “WPA2-Enterprise”, krypteringstypen vil være AES obligatorisk, det tillader ikke at ændre den. Det "Sikkerhed nøgle ”sektionen deaktiveres, det er helt normalt.

Nu klikker vi på « Start denne forbindelse automatisk »For at deaktivere det, og det samme med muligheden for« Opret forbindelse, selvom netværket ikke sender sit navn ".

Når vi klikker på næste, skal vi klikke på ” Ændre indstillinger ”Som angivet af Windows -guiden. Vi får en menu med alt, hvad vi har konfigureret hidtil.

Under fanen "Sikkerhed" vælger vi indstillingen "microsoft: Protected EAP (PEAP) ”og klik på“ Konfiguration ”:

I denne menu skal vi klikke på « Bekræft serverens identitet ved at validere certifikatet »For at deaktivere denne mulighed. Vi efterlader resten af ​​mulighederne, som de kommer som standard.

Når vi opretter forbindelse til det trådløse WiFi -netværk, vil det nu bede os om at logge ind, vi bliver nødt til at indtaste det brugernavn og kodeord, som vi har registreret på serveren i menuen "RADIUS -brugere".

Når vi har indtastet legitimationsoplysningerne, kan vi perfekt se, at vi har logget ind og har en internetforbindelse uden problemer, hvis vi ikke har begået en fejl, når vi indtastede brugeroplysningerne.

Når vi har konfigureret en Windows -pc med succes, lad os se, hvordan du tilslutter en Android -smartphone.

Tilslut Android-smartphone til WiFi med WPA2-Enterprise

I Android -smartphones skal vi klikke på det WiFi -netværk, som vi vil oprette forbindelse til, det er ikke nødvendigt manuelt at tilføje et trådløst netværk, som det gør i Windows -operativsystemer. I dette tilfælde vises forskellige konfigurationsmuligheder, så snart vi klikker på det trådløse WiFi -netværk. Vi skal udfylde det på følgende måde:

• EAP -metode: PEAP
• Fase 2-godkendelse: MSCHAPv2
• CA -certifikat: Valider ikke

I afsnittet "Identitet" skal vi indtaste vores brugernavn, som vi har registreret på serveren, og i "Adgangskode" skal vi indtaste adgangskoden. Vi opretter automatisk forbindelse til det trådløse WiFi-netværk, og vi vil være i stand til at surfe på Internettet uden problemer ved hjælp af WPA2-Enterprise og den type 802.1x EAP-kryptering, som vores smartphone angiver for os.

En anden mulig konfiguration på disse smartphones ville være følgende:

• EAP -metode: TTLS
• Fase 2-godkendelse: MSCHAPv2
• CA -certifikat: Valider ikke

I afsnittet "Identitet" og "Adgangskode" bliver vi også nødt til at indtaste vores legitimationsoplysninger, som før.

Som du har set, er konfiguration af WPA2-Enterprise-godkendelse på en router meget enkel, og meget mere, hvis vi bruger en godkendelsesserver som den, der er integreret i QNAP'er. Vi kan dog ikke downloade CA'en for at installere den i hver eneste af de trådløse WiFi -klienter, derfor kan vi stadig lide et Rogue AP -angreb, hvor en cyberkriminel efterligner det legitime adgangspunkt, noget som hvis vi havde CA'en i vores system ville ikke passere, fordi den er valideret, før der etableres en forbindelse. For at have denne sikkerhed er det nødvendigt at oprette vores egen FreeRADIUS -server fra bunden eller i et system som pfSense, hvor vi har alle de tilgængelige konfigurationsmuligheder.