Как настроить маршрутизатор WiFi с использованием WPA2 или WPA3 Enterprise и RADIUS

Найдите и настройте IP-адрес NAS, на котором будет установлен сервер RADIUS.

Первое, что мы должны сделать, это найти NAS-сервер в сети, очень важно знать его частный IP-адрес, потому что в конфигурации беспроводной сети нам нужно будет ввести этот IP-адрес для аутентификации беспроводных клиентов. Настоятельно рекомендуется, чтобы этот частный IP-адрес никогда не менялся, поэтому у нас есть два возможных варианта:

• Поместите фиксированный IP на сервер NAS
• Настройте статический DHCP маршрутизатора и всегда устанавливайте статический IP-адрес.

Таким образом, мы заставим этот NAS-сервер никогда не менять свой частный IP-адрес, что очень важно для правильной работы всего.

После того, как мы правильно настроили NAS или маршрутизатор, чтобы сервер NAS никогда не менял свой IP-адрес, мы собираемся настроить сервер.

Настроить сервер FreeRADIUS

FreeRADIUS - это программное обеспечение по преимуществу для настройки сервера RADIUS с очень продвинутыми опциями, это программное обеспечение поддерживает различные типы аутентификации и работает очень хорошо. Очень важной особенностью является то, что он совместим с любой операционной системой, что необходимо для максимальной совместимости.

Настройка этого сервера очень сложна, вам нужно настроить файлы конфигурации расширенным способом, создать центр сертификации и многое другое. Если мы будем использовать NAS-сервер, такой как QNAP, это значительно упростит задачу избавления от необходимости настраивать сервер на компьютере, на Linux-на сервере или на Raspberry Pi. Все NAS-серверы QNAP поддерживают возможность простой и быстрой настройки сервера.

Все, что нам нужно сделать, это перейти в раздел » Панель управления / Приложения / Сервер RADIUS «. Оказавшись внутри, нам нужно включить сервер и разрешить доступ к учетным записям пользователей системы, хотя последнее является необязательным и необязательным.

После активации сервера в разделе «RADIUS Clients» мы должны напрямую зарегистрировать маршрутизатор, который будет перенаправлять всю аутентификацию на сервер. Данные, которые нам нужно будет ввести, следующие:

• Фамилия : мы даем имя клиенту
• IP-адрес : мы помещаем частный IP-адрес роутера, в нашем случае 192.168.50.1
• Длина префикса : мы ставим 32, указывая, что только этот IP-адрес будет клиентом.
• Секретный ключ : мы определяем надежный пароль, это ключ аутентификации между маршрутизатором и сервером FreeRADIUS. Этот пароль не принадлежит клиенту.

Конфигурация будет следующей:

После того, как мы настроили клиента, теперь нам нужно будет создать пользователей. В этом случае нам нужно будет создать пользователя для каждого Wi-Fi клиент, который мы собираемся подключиться к беспроводной сети, нам нужно будет указать имя пользователя, а также его пароль. Все клиенты, которые находятся в этом списке «Пользователи», будут иметь разрешение на аутентификацию на сервере и, следовательно, смогут подключаться к Wi-Fi без каких-либо ограничений.

После того, как мы настроили сервер, мы должны перейти к маршрутизатору, чтобы настроить его правильно, поскольку мы должны установить аутентификацию WPA2-Enterprise или WPA3-Enterprise и указать разные данные.

Настройте маршрутизатор с аутентификацией WPA2 / WPA3-Enterprise и RADIUS.

Первое, что нам нужно сделать, это перейти к " Расширенные / Беспроводные настройки " раздел. В этом меню нам нужно будет выбрать тип шифрования WPA2-Enterprise, и автоматически отобразятся несколько дополнительных меню, которые нам нужно будет заполнить:

• Метод аутентификации : WPA2-предприятие
• Шифрование WPA : АЕС
• IP-адрес сервера : 192.168.50.141
• Порт сервера : 1812
• Секрет подключения : 123456789 (в нашем случае это пароль, который мы установили на сервере в разделе «RADIUS-клиенты»).

Далее вы можете увидеть, как это будет выглядеть в нашем случае:

Вся указанная нами информация должна быть отражена в разделе «Конфигурация RADIUS» с полосой частот, которую мы настроили. Здесь мы увидим частный IP-адрес сервера, порт, а также секрет соединения.

После того, как мы правильно настроили маршрутизатор, прямо сейчас мы можем аутентифицировать различных клиентов Wi-Fi с их соответствующими именем пользователя и паролем, которые мы создали ранее. Мы покажем вам, как подключить Windows 10 компьютер и Android устройства.

Подключите ПК с Windows к Wi-Fi с помощью WPA2-Enterprise

Чтобы настроить сеть Wi-Fi с помощью WPA2-Enterprise, нам придется вручную настроить подключение к сети. Мы должны пойти в " Панель управления / Cеть и Центр обмена " раздел. В этом меню мы должны нажать на « Настройка нового подключения или сети ».

В списке доступных опций мы должны нажать на " Подключение к беспроводной сети вручную »И нажмите« Далее ».

Теперь нам нужно будет ввести имя сети Wi-Fi, к которой мы собираемся подключиться, это имя сети или SSID должны быть точно такими же, как в маршрутизаторе. В типе безопасности выбираем «WPA2-Enterprise», тип шифрования обязательно будет AES, изменить его не позволяет. Значок «Безопасность key »будет отключен, это нормально.

Теперь нажимаем на « Запускать это соединение автоматически », Чтобы отключить его, и то же самое с опцией« Подключайтесь, даже если сеть не транслирует свое имя ».

При нажатии на "Далее" мы должны нажать " Изменить параметры », Как указано мастером Windows. Мы получим меню со всем, что мы настроили до сих пор.

На вкладке «Безопасность» выбираем опцию «Microsoft: Защищенный EAP (PEAP) »и нажмите« Конфигурация »:

В этом меню нам нужно будет нажать на « Подтвердите идентичность сервера, проверив сертификат », Чтобы отключить эту опцию. Остальные параметры оставляем по умолчанию.

Когда мы подключаемся к беспроводной сети WiFi, теперь он попросит нас войти в систему, нам нужно будет ввести имя пользователя и пароль, которые мы зарегистрировали на сервере, в меню «Пользователи RADIUS».

После ввода учетных данных, если мы не ошиблись при вводе учетных данных пользователя, мы можем прекрасно видеть, что мы вошли в систему и имеем подключение к Интернету без проблем.

После того, как мы успешно настроили ПК с Windows, давайте посмотрим, как подключить смартфон Android.

Подключите смартфон Android к Wi-Fi с помощью WPA2-Enterprise

В смартфонах Android мы должны щелкнуть сеть Wi-Fi, к которой мы хотим подключиться, нет необходимости вручную добавлять беспроводную сеть, как в операционных системах Windows. В этом случае, как только мы нажмем на беспроводную сеть Wi-Fi, появятся различные варианты конфигурации. Нам нужно заполнить его следующим образом:

• Метод EAP: PEAP
• Фаза 2 аутентификации: MSCHAPv2
• Сертификат ЦС: не проверять

В разделе «Identity» нам нужно будет ввести наше имя пользователя, которое мы зарегистрировали на сервере, а в «Password» нам нужно будет ввести код доступа. Мы автоматически подключимся к беспроводной сети Wi-Fi, и мы сможем без проблем выходить в Интернет, используя WPA2-Enterprise и тип шифрования 802.1x EAP, который нам указывает наш смартфон.

Другая возможная конфигурация этих смартфонов будет следующей:

• Метод EAP: ТТЛС
• Фаза 2 аутентификации: MSCHAPv2
• Сертификат ЦС: не проверять

В разделах «Identity» и «Password» нам также нужно будет ввести свои учетные данные, как и раньше.

Как вы видели, настроить аутентификацию WPA2-Enterprise на маршрутизаторе очень просто, и даже больше, если мы используем сервер аутентификации, подобный тому, который интегрирован в QNAP. Однако мы не можем загрузить ЦС, чтобы установить его на всех без исключения беспроводных клиентах Wi-Fi, поэтому мы все равно можем пострадать от атаки несанкционированного доступа, когда киберпреступник выдает себя за легитимную точку доступа, что, если бы у нас был ЦС в нашей системе. не пройдет, потому что он проверяется перед установкой соединения. Для обеспечения этой безопасности необходимо будет настроить наш собственный сервер FreeRADIUS с нуля или в такой системе, как pfSense, где у нас есть все доступные параметры конфигурации.