So konfigurieren Sie den WLAN-Router mit WPA2 oder WPA3 Enterprise und RADIUS

24. August 2021 Matt Mills Hardware, So erreichen 0

Konfigurieren Sie den WLAN-Router mit WPA2 oder WPA3 Enterprise und RADIUS

Normalerweise verwenden wir in unseren Häusern WPA2-Personal oder WPA3-Personal-Sicherheit. Diese Art von Sicherheit besteht darin, einen „Master“-Schlüssel zu konfigurieren, den alle drahtlosen Clients verwenden. Dieser Schlüssel wird als Pre-Shared Key bezeichnet und alle Clients, die dies wünschen connect muss es kennen und auf Ihren Geräten platzieren, um eine Verbindung herzustellen. In vielen Heimroutern haben wir die Möglichkeit, WPA2-Enterprise oder WPA3-Enterprise zu konfigurieren, in diesem Fall erfolgt die Authentifizierung über Benutzername und Passwort, und es ist notwendig, einen RADIUS-Server zu verwenden, um Clients zu authentifizieren. Heute zeigen wir Ihnen in diesem Artikel, wie wir WPA2 / WPA3-Enterprise auf jedem Router konfigurieren können, der ein NAS verwendet, um Wi-Fi-Clients zu authentifizieren.

Suchen und konfigurieren Sie die IP des NAS mit dem RADIUS-Server

Das erste, was wir tun müssen, ist den NAS-Server im Netzwerk zu lokalisieren. Es ist sehr wichtig, seine private IP-Adresse zu kennen, da wir in der drahtlosen Netzwerkkonfiguration diese IP-Adresse eingeben müssen, um die drahtlosen Clients zu authentifizieren. Es wird dringend empfohlen, dass sich diese private IP-Adresse nie ändert, daher haben wir zwei mögliche Optionen:

  • Feste IP auf NAS-Server setzen
  • Konfigurieren Sie das statische DHCP des Routers und legen Sie jederzeit eine statische IP-Adresse fest.

Auf diese Weise werden wir diesen NAS-Server zwingen, seine private IP-Adresse niemals zu ändern, was sehr wichtig ist, damit alles richtig funktioniert.

Sobald wir das NAS oder den Router richtig konfiguriert haben, sodass der NAS-Server seine IP-Adresse nie ändert, werden wir den Server konfigurieren.

Konfigurieren Sie den FreeRADIUS-Server

FreeRADIUS ist die Software schlechthin zum Konfigurieren eines RADIUS-Servers mit sehr fortschrittlichen Optionen, diese Software unterstützt verschiedene Arten der Authentifizierung und funktioniert wirklich gut. Ein sehr wichtiges Merkmal ist, dass es mit jedem Betriebssystem kompatibel ist, was für eine maximale Kompatibilität unerlässlich ist.

Die Konfiguration dieses Servers ist sehr komplex, Sie müssen Konfigurationsdateien auf fortgeschrittene Weise konfigurieren, eine Zertifizierungsstelle erstellen und mehr. Wenn wir einen NAS-Server wie den QNAP verwenden, wird die Aufgabe erheblich erleichtert, keinen Server auf einem Computer konfigurieren zu müssen, auf einem Linux-basierter Server oder auf einem Raspberry Pi. Alle QNAP NAS-Server unterstützen die Möglichkeit, einen Server einfach und schnell zu konfigurieren.

Alles, was wir tun müssen, ist in den Abschnitt zu gehen ” Systemsteuerung / Anwendungen / RADIUS-Server “. Sobald wir drin sind, müssen wir den Server aktivieren und den Zugriff auf die Benutzerkonten des Systems ermöglichen, obwohl letzteres optional und nicht erforderlich ist.

Sobald der Server aktiviert ist, müssen wir im Abschnitt „RADIUS-Clients“ den Router direkt registrieren, der die gesamte Authentifizierung an den Server weiterleitet. Die Daten, die wir eingeben müssen, sind die folgenden:

  • Name und Vorname : Wir geben dem Kunden einen Namen
  • IP-Adresse : Wir geben die private IP-Adresse des Routers ein, in unserem Fall 192.168.50.1
  • Präfixlänge : Wir setzen 32, was anzeigt, dass nur diese IP-Adresse der Client ist.
  • Geheimer Schlüssel : Wir definieren ein starkes Passwort, es ist der Authentifizierungsschlüssel zwischen dem Router und dem FreeRADIUS-Server. Dieses Passwort gehört nicht dem Kunden.

Die Konfiguration wäre wie folgt:

Nachdem wir den Client konfiguriert haben, müssen wir nun die Benutzer erstellen. In diesem Fall müssen wir für jeden einen Benutzer erstellen W-Lan Client, den wir mit dem drahtlosen Netzwerk verbinden möchten, müssen wir den Namen des Benutzers und auch sein Passwort angeben. Alle Clients, die sich in dieser Liste von «Benutzern» befinden, haben die Berechtigung, sich beim Server zu authentifizieren und erhalten daher eine WiFi-Konnektivität ohne jegliche Einschränkungen.

Sobald wir den Server konfiguriert haben, müssen wir zum Router gehen, um ihn richtig zu konfigurieren, da wir die WPA2-Enterprise- oder WPA3-Enterprise-Authentifizierung einstellen und unterschiedliche Daten angeben müssen.

Konfigurieren Sie den Router mit WPA2/WPA3-Enterprise und RADIUS-Authentifizierung

Das erste, was wir tun müssen, ist zum ” Erweiterte / Wireless-Einstellungen " Sektion. In diesem Menü müssen wir die Art der Verschlüsselung WPA2-Enterprise auswählen und es werden automatisch mehrere zusätzliche Menüs angezeigt, die wir ausfüllen müssen:

  • Authentifizierungsmethode : WPA2-Unternehmen
  • WPA-Verschlüsselung : AES
  • Server IP Adresse : 192.168.50.141
  • Server Port : 1812
  • Verbindungsgeheimnis : 123456789 (in unserem Fall ist es das Passwort, das wir im Abschnitt „RADIUS-Clients“ auf dem Server hinterlegt haben).

Als nächstes können Sie sehen, wie es in unserem Fall aussehen würde:

Alle diese Informationen, die wir angegeben haben, sollten sich im Abschnitt „RADIUS-Konfiguration“ mit dem von uns konfigurierten Frequenzband widerspiegeln. Hier sehen wir die private IP-Adresse des Servers, den Port und auch das Verbindungsgeheimnis.

Sobald wir den Router richtig konfiguriert haben, können wir jetzt die verschiedenen WiFi-Clients mit ihrem entsprechenden Benutzernamen und Passwort, die wir zuvor erstellt haben, authentifizieren. Wir zeigen Ihnen, wie Sie eine Verbindung herstellen Windows 10 Computer und ein Android Gerät.

Verbinden Sie einen Windows-PC mit WPA2-Enterprise

Um ein WiFi-Netzwerk mit WPA2-Enterprise zu konfigurieren, müssen wir die Verbindung zum Netzwerk manuell konfigurieren. Wir müssen zum ” Schalttafel / Netzwerk und Sharing Center " Sektion. In diesem Menü müssen wir auf « Richten Sie eine neue Verbindung oder ein Netzwerk «.

In der Liste der verfügbaren Optionen müssen wir auf " Stellen Sie manuell eine Verbindung zu einem drahtlosen Netzwerk her “ und klicken Sie auf Weiter.

Jetzt müssen wir den Namen des WiFi-Netzwerks eingeben, mit dem wir uns verbinden möchten. Dieser Netzwerkname oder diese SSID muss genau mit dem des Routers übereinstimmen. Als Sicherheitstyp wählen wir „WPA2-Enterprise“, der Verschlüsselungstyp ist obligatorisch AES, er kann nicht geändert werden. Die "Sicherheit key“ wird deaktiviert, das ist völlig normal.

Jetzt klicken wir auf « Starten Sie diese Verbindung automatisch » um es zu deaktivieren, und dasselbe mit der Option « Stellen Sie eine Verbindung her, auch wenn das Netzwerk seinen Namen nicht überträgt «.

Wenn Sie auf Weiter klicken, müssen wir auf „“ klicken. Einstellungen ändern “, wie vom Windows-Assistenten angezeigt. Wir bekommen eine Speisekarte mit allem, was wir bisher konfiguriert haben.

Im Reiter „Sicherheit“ wählen wir die Option „Microsoft: Protected EAP (PEAP)“ und klicken Sie auf „Konfiguration“:

In diesem Menü müssen wir auf « Überprüfen Sie die Identität des Servers, indem Sie das Zertifikat validieren » um diese Option zu deaktivieren. Die restlichen Optionen lassen wir standardmäßig unverändert.

Wenn wir uns mit dem drahtlosen WiFi-Netzwerk verbinden, werden wir nun aufgefordert, uns anzumelden, wir müssen den Benutzernamen und das Passwort eingeben, die wir auf dem Server im Menü „RADIUS-Benutzer“ registriert haben.

Sobald wir die Anmeldeinformationen eingegeben haben und wir bei der Eingabe der Benutzeranmeldeinformationen keinen Fehler gemacht haben, können wir perfekt sehen, dass wir uns eingeloggt haben und ohne Probleme eine Internetverbindung haben.

Nachdem wir einen Windows-PC erfolgreich konfiguriert haben, sehen wir uns an, wie Sie ein Android-Smartphone anschließen.

Verbinden Sie ein Android-Smartphone mit WPA2-Enterprise

Bei Android-Smartphones müssen wir auf das WLAN-Netzwerk klicken, mit dem wir eine Verbindung herstellen möchten, es ist nicht erforderlich, manuell ein drahtloses Netzwerk hinzuzufügen, wie es bei Windows-Betriebssystemen der Fall ist. In diesem Fall werden, sobald wir auf das drahtlose WLAN-Netzwerk klicken, verschiedene Konfigurationsoptionen angezeigt. Wir müssen es wie folgt ausfüllen:

  • EAP-Methode: PEAP
  • Phase 2-Authentifizierung: MSCHAPv2
  • CA-Zertifikat: Nicht validieren

Im Abschnitt „Identität“ müssen wir unseren Benutzernamen eingeben, den wir auf dem Server registriert haben, und unter „Passwort“ müssen wir den Zugangscode eingeben. Wir verbinden uns automatisch mit dem drahtlosen WiFi-Netzwerk und können problemlos im Internet surfen, indem wir WPA2-Enterprise und die Art der 802.1x EAP-Verschlüsselung verwenden, die uns unser Smartphone anzeigt.

Eine andere mögliche Konfiguration auf diesen Smartphones wäre die folgende:

  • EAP-Methode: TTLS
  • Phase 2-Authentifizierung: MSCHAPv2
  • CA-Zertifikat: Nicht validieren

Im Bereich „Identität“ und „Passwort“ müssen wir auch wie bisher unsere Zugangsdaten eingeben.

Wie Sie gesehen haben, ist die Konfiguration der WPA2-Enterprise-Authentifizierung auf einem Router sehr einfach und noch viel mehr, wenn wir einen Authentifizierungsserver verwenden, wie er in QNAPs integriert ist. Wir können die CA jedoch nicht herunterladen, um sie in jedem einzelnen der drahtlosen WLAN-Clients zu installieren. Daher könnten wir immer noch einen Rogue-AP-Angriff erleiden, bei dem ein Cyberkrimineller sich als legitimer Zugangspunkt ausgibt. Wenn wir die CA in unserem System hätten würde nicht bestehen, da sie vor dem Herstellen einer Verbindung validiert wird. Um diese Sicherheit zu haben, müssen wir unseren eigenen FreeRADIUS-Server von Grund auf neu einrichten oder in einem System wie pfSense, in dem wir alle Konfigurationsoptionen zur Verfügung haben.