找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 32408|回复: 476

[20180506]分享(软路由+AP)/ OPENWRT无线使用【802.1x】方法@@防万能钥匙###

    [复制链接]
发表于 2018-4-14 23:38 | 显示全部楼层 |阅读模式
本帖最后由 fengchen 于 2018-5-21 22:44 编辑



20180506添加华硕原厂固件做ap时的设置方法。
以ACRH17为例,TP等其它型号基本相同


假设radius在软路由192.168.1.1上,ap的ip为192.168.1.254

首先,root@LEDE:/etc/freeradius3# vi clients.conf
游客,如果您要查看本帖隐藏内容请回复


第二,修改下图中三个红框中的设置。
Screenshot_20180506-214751.png

*********************************************************************************************************
20180424
不多说还不行,有坛友问peap是不是像某web认证一样明文传送密码,下面图片是企业级应用PEAP认证过程
可以看出认证账号是TLS加密传输的,数据传输还是WPA加密


view.jpg

1。无线接入
客户端通过开放系统接入的方法(OPEN SYSTEM)和AP之间建立好物理连接。
2。认证初始化
1)        Client向AP设备发送一个EAPoL-Start报文,开始802.1x接入的开始。
2)        AP向客户端发送EAP-Request/Identity报文,要求客户端将用户信息送上来。
3)        Client回应一个EAP-Response/Identity给AP的请求,其中包括用户的网络标识。用户ID,对于PEAP-mschchap v2认证方式的用户ID是由用户在客户端手动输入或者配置的。用户ID通常的格式是username@domain,其中username是运营商提供给用户的身份ID,domain是运营商的域名(如“cmcc.com”)。
4)        AP以EAP Over RADIUS的报文格式将EAP-Response/Identity发送给认证服务器Radius,并且带上相关的RADIUS的属性。
5)        Radius收到客户端发来的EAP-Response/Identity,根据配置确定使用EAP-PEAP认证,并向AP发送RADIUS- Access-Challenge报文,里面含有Radius发送给客户端的EAP-Request/Peap/Start的报文,表示希望开始进行 EAP-PEAP的认证。
6)        AP设备将EAP-Request/PEAP/Start发送给认证客户端。

3。建立TLS通道
7)        Client收到EAP-Request/Peap/Start报文后,产生一个随机数、客户端支持的加密算法列表、TLS协议版本、会话ID、以及压缩 方法(目前均为NULL),封装在EAP-Response/Client Hello报文中发送给AP设备。
8)        AP以EAP Over RADIUS的报文格式将EAP-Response/Client Hello发送给认证服务器Radius Server,并且带上相关的RADIUS的属性。
9)        Radius收到Client发来的Client Hello报文后,会从Client 的Hello报文的加密算法列表中选择自己支持的一组加密算法+Server产生的随机数+Server 证书(包含服务器的名称和公钥)+证书请求+Server_Hello_Done属性形成一个Server Hello报文封装在Access-Challenge报文中,发送给Client.
10)     AP把Radius报文中的EAP域提取,封装成EAP-request报文发送给Client.
注:由于证书比较大,一个报文是无法承载的,所以在实际流程中第10,11完成后,后面还有3个续传的IP分片报文,目的是把Server证书发送到客户端.
11)     Client收到报文后,进行验证Server的证书是否合法(使用从CA证书颁发机构获取的根证书进行验证,主要验证证书时间是否合法,名称是否合 法),即对网络进行认证,从而可以保证Server的合法。如果合法则提取Server证书中的公钥,同时产生一个随机密码串pre-master- secret,并使用服务器的公钥对其进行加密,最后将加密的信息ClientKeyExchange+客户端的证书(如果没有证书,可以把属性置为 0)+TLS finished属性封装成EAP-Rsponse/TLS OK报文发送给认证点AP.如果client没有安装证书,则不会对Server证书的合法性进行认证,即不能对网络进行认证。
12)     AP以EAP Over RADIUS的报文格式将EAP-Response/TLS OK发送给认证服务器Radius Server,并且带上相关的RADIUS的属性。
13)     Radius收到客户端发了的报文后,用自己的证书对应的私钥对ClientKeyExchange进行解密,从而获取到pre-master- secret,然后将pre-master-secret进行运算处理,加上Client和Server产生的随机数,生成加密密钥、加密初始化向量和 hmac的密钥,这时双方已经安全的协商出一套加密办法了,至此TLS通道已经建立成功,以后的认证过程将使用协商出的密钥进行加密和校验。Radius Server借助hmac的密钥,对要在TLS通道内进行认证的消息做安全的摘要处理,然后和认证消息放到一起。借助加密密钥,加密初始化向量加密上面的 消息,封装在Access-Challenge报文中,发送给Client.

4。认证过程
14)     AP把Radius报文中的EAP域提取,封装成EAP-request报文发送给Client.
15)     客户端收到Radius server发来报文后,用服务器相同的方法生成加密密钥,加密初始化向量和hmac的密钥,并用相应的密钥及其方法对报文进行解密和校验,然后产生认证 回应报文,用密钥进行加密和校验,最后封装成EAP-response报文发送给AP,AP以EAP Over RADIUS的报文格式将EAP-Response发送给认证服务器Radius Server,并且带上相关的RADIUS的属性,这样反复进行交互,直到认证完成(注:对于不同的认证方法交互流程不一致,通常的认证方法 为:PEAP-MSCHAPV2或者SIM,如果是SIM认证,还需要跟HLR/AUC设备进行数据交互,并且使用AS作为认证服务 器),在认证过程中,Radius Server会下发认证后用于生成空口数据加密密钥(包括单播、组播密钥)的PMK给Client.
16)     服务器认证客户端成功,会发送Access-Accept报文给AP,报文中包含了认证服务器所提供的MPPE属性。
17)     AP收到RADIUS-Access-Accept报文,会提取MPPE属性中的密钥做为WPA加密用的PMK,并且会发送EAP-success报文给客户端.



5。动态加密密钥安装
18)     WPA单播密钥安装(PTK):AP和Client使用获取到的PMK进行WPA单播密钥安装(四步握手)。
19)     组播密钥安装(GTK):AP和Client使用单播密钥安装中生成key(128~255bit)的保护下进行组播密钥安装(2步握手)。

6。地址分配
20)     密钥安装成功后,客户端和AP间的空中数据报文进行加密传送,与AC进行DHCP流程交互,直至Client获取IP地址。

7。密钥更新
21)     在AP和客户端的数据传输过程中,为了保证数据的安全WPA要求定时或定量(包的数目)进行更新单播密钥,当更新的时间或者数据传输的数目到了,AP会发起密钥更新。



++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
20180418更新
这次加上自制证书方法。不制作证书用默认的也可以。

游客,如果您要查看本帖隐藏内容请回复


3。openwrt上system -> startup,restart服务radiusd。手机连接正常就over啦


=========================================================


20180414
今天学习华为WLAN知识,发现企业级ap都支持802.1x连接认证,就想在openwrt上应该也行。


基于802.1x的EAP认证是大型企业级的应用,其它我就不多说了
于是度娘谷歌上爬,于是有了正文,


友情提示,路由器cpu不能太差,flash建议16M以上。
游客,如果您要查看本帖隐藏内容请回复


4。修改无线密码配置,如下图
无标题.png22.png


5。手机连接测试。
000.png

不需要特别选择,只这三步就行了。


111.png
到此大功告成







评分

参与人数 5恩山币 +15 收起 理由
tzxinqing + 5 貌似很复杂,如果有集成的就好了~~radius能装在本路由上么
TheKiller + 3 哈哈
snakeliwei + 1 我来恩山就是为了撩你!
15959626783 + 1 今天天气不错,适合泡妞。
laoma348 + 5 支付宝已转5毛给你!

查看全部评分

本帖被以下淘专辑推荐:

我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2018-4-16 22:25 | 显示全部楼层
本帖最后由 fengchen 于 2018-4-22 18:06 编辑
apnic 发表于 2018-4-16 09:39
有没有eap-tls的配置方法呢?

看下配置文件https://github.com/FreeRADIUS/fr ... /mods-available/eap
和相关说明http://wiki.freeradius.org/protocol/EAP
就是把default_eap_type = md5改成default_eap_type = tls。
另外证书相关的说明https://github.com/FreeRADIUS/fr ... /raddb/certs/README
我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-16 22:48 | 显示全部楼层
未知的包“freeradius3”。
未知的包“freeradius3-common”。
未知的包“freeradius3-democerts”。
未知的包“freeradius3-utils”。
未知的包“freeradius3-mod-always”。
未知的包“freeradius3-mod-attr-filter”。
未知的包“freeradius3-mod-chap”。
未知的包“freeradius3-mod-detail”。
未知的包“freeradius3-mod-digest”。
未知的包“freeradius3-mod-eap”。
未知的包“freeradius3-mod-eap-gtc”。
未知的包“freeradius3-mod-eap-leap”。
未知的包“freeradius3-mod-eap-md5”。
收集错误:
* opkg_install_cmd:不能安装包freeradius3。
* opkg_install_cmd:不能安装包freeradius3-common。
* opkg_install_cmd:不能安装包freeradius3-democerts。
* opkg_install_cmd:不能安装包freeradius3-utils。
* opkg_install_cmd:不能总是安装包freeradius3-mod。
* opkg_install_cmd:不能安装包freeradius3-mod-attr-filter。
* opkg_install_cmd:不能安装软件包freeradius3-mod-chap。
* opkg_install_cmd:不能安装软件包freeradius3-mod-detail。
* opkg_install_cmd:不能安装包freeradius3-mod-digest。
* opkg_install_cmd:不能安装软件包freeradius3-mod-eap。
* opkg_install_cmd:不能安装包freeradius3-mod-eap-gtc。
* opkg_install_cmd:不能安装freeradius3-mod- eapleap。
* opkg_install_cmd:不能安装包freeradius3-mod-eap-md5。


怎么无法安装!! 这个是翻译的    我用PUTTY安装的

点评

先 opkg update更新下软件源  详情 回复 发表于 2018-4-17 19:55
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2018-4-17 19:49 | 显示全部楼层
15959626783 发表于 2018-4-17 17:14
libssl version mismatch.  built: 100020ff linked: 100020ef
  

提示了是libssl版本不匹配,我的是        libopenssl        1.0.2o-1
你试试能不能装这个版本

点评

找到了 下载试看看 大哥你也是软路由吗 AP ACRh17???  详情 回复 发表于 2018-4-17 21:07
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2018-4-18 22:30 | 显示全部楼层
本帖最后由 fengchen 于 2018-4-20 09:03 编辑
15959626783 发表于 2018-4-18 20:42
改了啊  我软路由是192.168.50.1   我改这样和改50.252有效IP都不可以接入  不知道是哪出问题

对于freeradius服务器软件不在路由器上的情况

root@LEDE:/etc/freeradius3# vi clients.conf
添加/修改一个client

client example {                                                   
       ipaddr          = 192.168.50.252 #ap/路由器的ip不能错                     
       secret          = testing123                                    
}

openwrt无线配置那里,radius服务器地址也要相应的修改。
测试通过

点评

配置到软路由上127.0.0.1改路由器地址(如192.168.50.1) 然后加一个来宾IP 就是AP的地址(如192.168.50.8)  详情 回复 发表于 2018-4-24 21:19
client example { ipaddr = 192.168.50.252 #ap/ secret = testing123  详情 回复 发表于 2018-4-24 13:31
这样就是设置AP的登录网关 然后加密设置的服务器IP也是写AP的网关吗!!!!  详情 回复 发表于 2018-4-24 12:43
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2018-4-19 16:11 | 显示全部楼层
15959626783 发表于 2018-4-19 13:41
你制作的证书 别人可以用不  直接分享个给我  制作貌似比较难!!!!

不自制证书也可以,用原来默认的就行
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2018-4-19 16:14 | 显示全部楼层

理论上可以,和硬件无关,是openwrt/lede都行
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2018-6-11 18:48 | 显示全部楼层
stevemorrislian 发表于 2018-6-11 16:45
不懂,这题目啥意思啊

op软路由+原厂固件ap
或者 op的无线路由器 都可以
我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-14 23:51 | 显示全部楼层
谢谢楼主,好人一生平安
来自苹果客户端来自苹果客户端
我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-14 23:56 | 显示全部楼层
前排学习


我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-15 00:01 | 显示全部楼层
有什么好处吗
来自安卓客户端来自安卓客户端
我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-15 00:03 | 显示全部楼层
看看,防周围人蹭我的小水管
来自安卓客户端来自安卓客户端
我的恩山、我的无线 The best wifi forum is right here.
头像被屏蔽
发表于 2018-4-15 00:08 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
来自安卓客户端来自安卓客户端
我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-15 00:09 来自手机 | 显示全部楼层
学习一下,谢谢
我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-15 00:21 来自手机 | 显示全部楼层
围观看看,想过如何,支持下楼主
我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-15 00:27 来自手机 | 显示全部楼层
学习一下到底好不好用。
我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-15 00:28 来自手机 | 显示全部楼层
感谢分享。。。。。。
我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-15 00:29 | 显示全部楼层

围观看看,想过如何,支持下楼主
我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-15 00:30 | 显示全部楼层
谢谢楼主分享,学习学习。
来自安卓客户端来自安卓客户端
我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-15 00:41 来自手机 | 显示全部楼层
看看看看看看
我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-15 00:49 | 显示全部楼层
好帖子,先收藏
我的恩山、我的无线 The best wifi forum is right here.
发表于 2018-4-15 00:50 | 显示全部楼层
谢谢楼主的分享!
我的恩山、我的无线 The best wifi forum is right here.
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|Archiver|恩山无线论坛 ( 苏ICP备05084872号-1 )

GMT+8, 2019-5-25 01:57

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表