22 Wrzesień 2017 02:50:15
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· PPTP Server Configur...
· [MOD] Tomato by shibby
· VPN - TUN - mydevil
· Tenda AC15 - Tomato
· [S] Dysk Seagate sur...
· Jaki rozsądny rout...
· Tomato MultiWAN - ot...
· Jaki router kupić? Z...
· [S] Netgear R7000
· Problemy z konfigura...
· Tenda W1800R Tomato ...
· ZTE MF820d 4G ( aka ...
· Siła sygnału modem LTE
· D-Link DIR-869 EXO c...
· drukarka w tomato
· Netgear R6400 - tańs...
· Multiroom N z wykorz...
· Tomato plus zewnętrz...
· tomato i voip
· Jak połączyć kilka s...
Najciekawsze tematy
· [MOD] Tomato by s... [13511]
· Multiroom N z wyk... [880]
· [Artykuł] Jakie t... [594]
· Jaki router kupić... [460]
· Tomato MultiWAN -... [253]
· RT-N18U - ARM z j... [243]
· Netgear R6400 - t... [94]
· PPTP Server Confi... [40]
· Jaki rozsądny r... [20]
· Help for choosing... [12]
· ZTE MF820d 4G ( a... [9]
· VPN - TUN - mydevil [8]
· Siła sygnału mode... [7]
· Tomato i Openmedi... [7]
· Problemy z konfig... [6]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
40% [123 głosów]

Broadcom ARM
Broadcom ARM
48% [147 głosów]

Atheros
Atheros
6% [19 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
0% [1 głos]

Intel/AMD/VIA
Intel/AMD/VIA
1% [3 głosów]

Żaden z powyższych
Żaden z powyższych
3% [8 głosów]

Ogółem głosów: 305
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
54.225.57.120
Reklama
Zobacz temat
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj temat
Autoryzacja EAP-TLS,TTLS,PEAP do sieci wifi bez radiusa na podstawie hostapd w OpenWrt
rpc
Autoryzacja EAP-TLS,TTLS,PEAP do sieci wifi bez radiusa na podstawie hostapd w OpenWrt 8.09.1 i 8.09.2

Aktualizacja
Do wersji Backfire 10.09.3 opis znajduje się:
http://rpc.one.pl
oraz na portalu o alternatywnym oprogramowaniu

Radius to usługa zdalnej autoryzacji użytkowników i urządzeń. Za jego pomocą można skonfigurować autoryzację w OpenWrt opierając się o certyfikaty. Logowanie odbywać się będzie na podstawie standardu 802.1x wykorzystując między innymi metody autoryzacji EAP-TLS, EAP-TTLS-MSCHAPV2, EAP-PEAP-MSCHAPV2. Do takiej konfiguracji trzeba dodatkowo zainstalować w OpenWrt freeradius lub freeradius2.

Mało kto jednak wie, że hostapd może służyć jako serwer radius dla siebie samego. Nie ma potrzeby instalowania żadnego serwera radius w routerze. Przedstawię prostą konfigurację, która doprowadzi do uruchomienia routera z autoryzacją EAP-TLS, EAP-TTLS,PEAP-mschapv2. Wszystko to testowałem na fon 2100 (Atheros)



Założenia:

Dostęp do sieci WIFI: WPA2

Autoryzacja klienta poprzez protokół
EAP-TLS - do logowania wykorzystujemy certyfikaty po stronie serwera i klienta
EAP-TTLS-mschapv2 - do logowania wykorzystujemy nazwę użytkownika i hasło
EAP-PEAP-mschapv2 - do logowania wykorzystujemy nazwę użytkownika i hasło

Tekst postał jako rozwinięcie poniższych artykułów:
Generowanie certyfikatów openssl x509
Konfiguracja radius jako kontrolera autoryzacji WIFI pod OpenWrt 8.09.1
Część tego tekstu znajdzie się na mojej stronie:
Autoryzacja EAP-TLS,TTLS,PEAP do sieci wifi bez radiusa na podstawie hostapd w OpenWrt




Instalacja:

Pobierz kod źródłowy  Kod źródłowy
opkg update
opkg install hostapd hostapd-util





opcjonalnie - nie jest wymagane
Pobierz kod źródłowy  Kod źródłowy
opkg install openssl-util libopenssl





Konfiguracja /etc/config/wireless w OpenWrt

Plik /etc/config/wireless winien zawierać:

Pobierz kod źródłowy  Kod źródłowy
config wifi-device wifi0

option type atheros
option disabled 0
option channel 1
option diversity 0
option txantenna 1
option rxantenna 1

 

config wifi-iface

option device   wifi0
option network  lan
option mode     ap
option ssid     OpenWrt
option encryption wpa2
option eap_server       1                                                           # 0- hostapd jako client radius, 1-hostapd jako server radius
option eap_user_file    /etc/config/hostapd.eap_user       # plik w którym definiujemy uprawnienia logowania
option ca_cert          /etc/config/certs/cacert.pem                # plik z certyfikatem centrum certyfikacji CA
option server_cert      /etc/config/certs/newcert.pem         # certyfikat serwera
option private_key      /etc/config/certs/newcert.p12         # klucz prywatny serwera w formacie PKCS12 .p12
option private_key_passwd       haslo                                 # hasło do klucza prywatnego .p12
option check_crl        0                                                           # czy sprawdzać CRL
option dh_file          /etc/config/certs/dh.pem                     # plik protokołu Diffi-Hellman






Jeszcze opiszę parametr check_crl. Może on przyjmować wartości:
0 - nie weryfikuje CRL
1 - szuka listy CRL w certyfikacie usera
2 - szuka wszystkich list CRL we wszystkich ścieżkach w certyfikacie
hostapd nie obsługuje oddzielnych plików CRL. Listy (a w zasadzie ścieżki do list) CRL muszą być zawarte w pliku cacert.pem. Zmienna nsCaRevocationUrl w openssl.cnf.



Plik dh.pem generujemy:

Pobierz kod źródłowy  Kod źródłowy
openssl dhparam -out dh.pem 1024






Oczywiście można przedstawić zmiany w sposób standardowy:

Pobierz kod źródłowy  Kod źródłowy
root@OpenWrt:~# uci show wireless.@wifi-iface[0]
wireless.cfg034ca5=wifi-iface
wireless.cfg034ca5.device=wifi0
wireless.cfg034ca5.network=lan
wireless.cfg034ca5.mode=ap
wireless.cfg034ca5.ssid=OpenWrt
wireless.cfg034ca5.encryption=wpa2
wireless.cfg034ca5.eap_server=1
wireless.cfg034ca5.eap_user_file=/etc/config/hostapd.eap_user
wireless.cfg034ca5.ca_cert=/etc/config/certs/cacert.pem
wireless.cfg034ca5.server_cert=/etc/config/certs/newcert.pem
wireless.cfg034ca5.private_key=/etc/config/certs/newcert.p12
wireless.cfg034ca5.private_key_passwd=haslo
wireless.cfg034ca5.check_crl=0
wireless.cfg034ca5.dh_file=/etc/config/certs/dh.pem







Jak widać pojawiły się nowe opcje w pliku konfiguracyjnym. Aby były analizowane należy pobrać i podmienić plik na routerze hostapd.sh. Czyli na konsoli routera po zalogowaniu do shella wykonujemy:

Pobierz kod źródłowy  Kod źródłowy
cd /root
wget http://rpc.one.pl/pliki/openwrt/kamikadze/8.09.1/atheros/hostapd.sh
mv /lib/wifi/hostapd.sh /lib/wifi/hostapd.sh.org
cp /root/hostapd.sh /lib/wifi/





W tym pliku jest definicja nowych opcji. Dzięki nim OpenWrt wie jak parsować nowe parametry.


W czasie pisania artykułu pojawiła się wersja 8.09.2. Plik hostapd.sh w tym wypadku jest identyczny:

Pobierz kod źródłowy  Kod źródłowy
cd /root
wget http://rpc.one.pl/pliki/openwrt/kamikadze/8.09.2/atheros/hostapd.sh
mv /lib/wifi/hostapd.sh /lib/wifi/hostapd.sh.org
cp /root/hostapd.sh /lib/wifi/






Konfiguracja pliku uprawnień do logowania usera:

Należy utworzyć nowy plik /etc/config/hostapd.eap_user w następujący sposób:

Pobierz kod źródłowy  Kod źródłowy
touch /etc/config/hostapd.eap_user




o zawartości:

Pobierz kod źródłowy  Kod źródłowy
#phase 1
*             PEAP,TTLS,TLS

#phase 2

"username"                MSCHAPV2                    "haslo_usera"                 [2]

#"CommonName"                TLS

#"username2"           PEAP [ver=0]
#"username2"           MSCHAPV2                     "haslo_usera"                 [2]

#"username3"          TTLS
#"username3"          MSCHAPV2                      "haslo_usera"                 [2]

#"username4"         TTLS
#"username4"         MD5                                     "haslo_usera"                [2]







Może po krótce opiszę konfigurację w/w pliku:

Definicja pliku dzieli się na dwie sekcje. Pierwsza definiuje po jakim protokole odbędzie się logowanie #phase1, druga sekcja definiuje metodę autoryzacji na routerze #phase2.



Pobierz kod źródłowy  Kod źródłowy
*             PEAP,TTLS,TLS



Tutaj mówimy, że autoryzujemy wszystkich użytkowników na podstawie protokołu EAP-PEAP lub EAP-TTLS, lub EAP-TLS



Pobierz kod źródłowy  Kod źródłowy
"username"                MSCHAPV2                    "haslo_usera"                 [2]



Tutaj mówimy, iż użytkownik "username" może się zalogować jeśli poda hasło i metodą autoryzacji MSCHAPV2



Pobierz kod źródłowy  Kod źródłowy
"CommonName"                TLS



Tutaj wystarczy w zasadzie tylko ten wiersz. W polu CommonName wpisujemy to co klient ma w certyfikacie prywatnym zdefiniowane w polu CommonName(CN). Np. "username@domena.com" lub "Imie Nazwisko". Do logowania wystarczy tylko certyfikat.



Pobierz kod źródłowy  Kod źródłowy
#"username2"           PEAP [ver=0]
#"username2"           MSCHAPV2                     "haslo_usera"                 [2]




Definiujemy, iż "username2" może zalogować się do systemu po protokole EAP za pomocą metody autoryzacji PEAP-MSCHAPV2. W Windows XP może być konieczność skorzystania z PEAP w wersji [ver=0]



Jak widać kombinacji opcji w pliku jest wiele. Plik analizowany jest od góry do dołu. Czyli analiza jest przerywana po dojściu do pierwszej pasującej wartości.


----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------



Certyfikaty:

Certyfikaty serwera umieszczamy w katalogu /etc/config/certs (musimy go utworzyć)

Pobierz kod źródłowy  Kod źródłowy
mkdir /etc/config/certs




Tworzenie certyfikatów opisałem w artykule: Generownie certyfikatów openssl x509



Jeśli chcesz tworzyć certyfikaty w OpenWrt to możesz skorzystać ze skryptu CA.sh , który wgraj sobie na router. Nie zapomnij dograć openssl-util. Koniecznie pamiętaj aby wszystkie dane się zgadzały w ścieżce certyfikacji - były identyczne ( oprócz pól CommonName i email )



Certyfikat dla hostapd EAP - server MUSI być odpowiednio przygotowany. Urząd wystawiający certyfikat MUSI w certyfikacie serwera dodać rozszerzenie TLS Web Server Authentication. W pliku /etc/ssl/openssl.cnf należy odremować wiersze lub jeśli ich nie ma utworzyć w sekcji [usr_cert]:

Pobierz kod źródłowy  Kod źródłowy
nsCertType = server
extendedKeyUsage = 1.3.6.1.5.5.7.3.1





Certyfikat dla clienta (windows,linux) logowania radius MUSI być odpowiednio przygotowany. Jeżeli używamy uwierzytelniania EAP-TLS klient musi się dysponować certyfikatem zawierającym rozszerzenie TLS Web Client Authentication. W pliku /etc/ssl/openssl.cnf należy odremować wiersze lub jeśli ich nie ma utworzyć w sekcji [usr_cert]:

Pobierz kod źródłowy  Kod źródłowy
nsCertType = client, email
extendedKeyUsage = 1.3.6.1.5.5.7.3.2







Po krótce przypomnę:

Generowanie centrum certyfikacji CA (w wyniku otrzymamy między innymi cacert.pem)
Pobierz kod źródłowy  Kod źródłowy
./CA.sh -newca




Generowanie certyfikatu serwera radius/hostapd (Musimy w pliku openssl.cnf odremować w sekcji [usr_cert] nsCertType = server
oraz extendedKeyUsage = 1.3.6.1.5.5.7.3.1)
Pobierz kod źródłowy  Kod źródłowy
./CA.sh -newreq
./CA.sh -sign
./CA.sh -pkcs12





Generowanie certyfikatu klienta windows/linux (Musimy w pliku openssl.cnf odremować w sekcji [usr_cert] nsCertType = client, email
oraz extendedKeyUsage = 1.3.6.1.5.5.7.3.2)
Pobierz kod źródłowy  Kod źródłowy
./CA.sh -newreq
./CA.sh -sign
./CA.sh -pkcs12





W wyniku wykonania w/w poleceń otrzymamy:
Pobierz kod źródłowy  Kod źródłowy
demoCA/cacert.pem
newreq.pem
newcert.pem
newkey.pem
newcert.p12






I to te pliki wklejamy do routera/serwera lub do clienta (windows/linux).


Możemy mieć certyfikat i klucz prywatny w jednym pliku (zamiast oddzielnie newcert.pem i newkey.pem) robimy to następująco:

openssl pkcs12 -in newkey.p12 -out certyfikat.pem

i tylko plikiem certyfikat.pem posługujesz się.


----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------


Ps. Uwagi do tematu artykułu

W trunku (30.12.2009) hostapd też działa. Na dzień dzisiejszy jednak hostapd nie używa certyfikatu w formacie PKCS12 lecz w formacie PKCS8. Możemy wygenerować go sobie następująco:

Pobierz kod źródłowy  Kod źródłowy
openssl pkcs12 -in newcert.p12 -out certyfikat.pem
openssl pkcs8 -topk8 -in certyfikat.pem -out newcert.p8







Plik hostapd.sh przerobiony jest TYLKO do wersji 8.09.1. W trunku trzeba sobie go samemu przerobić. Poniżej podaje parametry jakie przyjmuje hostapd dla EAP:

Pobierz kod źródłowy  Kod źródłowy
root@OpenWrt:~# cat /var/run/hostapd-ath0.conf
ctrl_interface=/var/run/hostapd-ath0
driver=madwifi
interface=ath0
ssid=OpenWrt
debug=0
wpa=2
wpa_pairwise=CCMP
eap_server=1
eap_user_file=/etc/config/hostapd.eap_user
ca_cert=/etc/config/certs/cacert.pem
server_cert=/etc/config/certs/newcert.pem
private_key=/etc/config/certs/newcert.p12
private_key_passwd=haslo
check_crl=0
dh_file=/etc/config/certs/dh.pem
ieee8021x=1
auth_algs=1
wpa_key_mgmt=WPA-EAP
wpa_group_rekey=300
wpa_gmk_rekey=640





W/w plik generowany jest za każdym razem jak startuje radio i tworzony jest dynamicznie. Do testów pliku możemy posłużyć się trybem debug w konsoli:

Pobierz kod źródłowy  Kod źródłowy
hostapd /var/run/hostapd-ath0.conf -dd




oczywiście po tym jak ubijemy proces w systemie hostapd.



Co dopisałem do pliku hostapd.sh (podaje tylko częśc zmienionej sekcji aby mozna się było zorientować)

Pobierz kod źródłowy  Kod źródłowy
*wpa*|*WPA*)
# required fields? formats?
# hostapd is particular, maybe a default configuration for failures
config_get eap_server "$vif" eap_server

if [ "$eap_server" == "1" ]
then
append hostapd_cfg "eap_server=$eap_server" "$N"
config_get eap_user_file "$vif" eap_user_file
append hostapd_cfg "eap_user_file=$eap_user_file" "$N"
config_get ca_cert "$vif" ca_cert
append hostapd_cfg "ca_cert=$ca_cert" "$N"
config_get server_cert "$vif" server_cert
append hostapd_cfg "server_cert=$server_cert" "$N"
config_get private_key "$vif" private_key
append hostapd_cfg "private_key=$private_key" "$N"
config_get private_key_passwd "$vif" private_key_passwd
append hostapd_cfg "private_key_passwd=$private_key_passwd" "$N"
config_get check_crl "$vif" check_crl
check_crl=${check_crl:-0}
append hostapd_cfg "check_crl=$check_crl" "$N"
config_get dh_file "$vif" dh_file
append hostapd_cfg "dh_file=$dh_file" "$N"
else
config_get server "$vif" server
append hostapd_cfg "auth_server_addr=$server" "$N"
config_get port "$vif" port
port=${port:-1812}
append hostapd_cfg "auth_server_port=$port" "$N"
config_get secret "$vif" key
append hostapd_cfg "auth_server_shared_secret=$secret" "$N"
config_get nasid "$vif" nasid
append hostapd_cfg "nas_identifier=$nasid" "$N"
append hostapd_cfg "eapol_key_index_workaround=1" "$N"
append hostapd_cfg "radius_acct_interim_interval=300" "$N"
fi





----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------


Konfigurowanie clienta windows (vista, windows7 - tu testowałem)

EPA-PEAP:
Sprawa jest bardzo prosta. Klikam na połączenie sieci bezprzewodowej i podajemy nazwę użytkownika i hasło. Tyle wystarczy.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_peap_1_t2.jpg openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_peap_2_t2.jpg

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_peap_3_t2.jpg openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_peap_4_t2.jpg

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_cert_2_t2.jpg



EAP-TLS:
Importujemy nasz prywatny certyfikat w formacie p12 (pkcs12) w windows do magazynu "Osobisty". Jednocześnie dodaje się automatem nasze centrum certyfikacji do windows jako zaufane.Teraz wystarczy kliknąć na nasze połączenie bezprzewodowe do którego się zalogujemy - nie podajemy żadnych haseł jeśli system by się spytał. Od teraz windows automatycznie będzie logował się za pomocą certyfikatu do sieci WIFI.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_tls_1_t2.jpg

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_tls_2_t2.jpg openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_tls_3_t2.jpg

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_cert_1_t2.jpg

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_tls_4_t2.jpg

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_cert_2_t2.jpg



EAP-TTLS:
Windows natywnie nie obsługuje tej metody uwierzytelnienia. Można dograć program SecureW2.

----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------


Konfigurowanie clienta linux pod gnome ( network-manager w Ubuntu 9.10)

Należy wybrać sieć do której chcemy się zalogować:
openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_gnome_network_t2.jpeg


EAP-PEAP:
Wskazujemy plik certyfikatu centrum CA (cacert.pem) oraz podajemy nazwę użytkownika i hasło.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_gnoome_network_manager_peap_t2.jpeg


EAP-TLS:
Wskazujemy certyfikat centrum CA (cacert.pem) oraz klucz prywatny w formacie PKCS12 (newcert.p12) i hasło do niego. Podajemy Tożsamość - to jest to co mamy wpisane w certyfikacie prywatnym danego usera w polu CommonName.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_gnome_network_manager_tls_t2.jpeg


EAP-TTLS:
Wskazujemy plik certyfikatu centrum CA (cacert.pem) oraz podajemy nazwę użytkownika i hasło.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_gnome_network_manager_ttls_t2.jpeg

----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------


Konfigurowanie clienta linux pod kde (knetworkmanager w debian lenny)

EAP-PEAP:
Klikamy na nasze połączenie sieciowe. Wybieramy sposób połączenia czyli PEAP+MSCHAPV2 podajemy nazwę usera i hasło. Ew. dla WPA wybieramy TKIP a dla WPA2 AES. I to wszystko.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_kde_eap_peap_t2.jpg


EAP-TTLS:
Klikamy na nasze połączenie sieciowe. Wybieramy sposób połączenia czyli TTLS+MSCHAPV2 podajemy nazwę usera i hasło. Możemy wskazać certyfikat cacert.pem, bez tego też działa. Ew. dla WPA wybieramy TKIP a dla WPA2 AES. I to wszystko.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_kde_eap_ttls_t2.jpg


EAP-TLS:
Klikamy na nasze połączenie sieciowe. Wybieramy sposób połączenia czyli TLS+NONE podajemy nazwę usera takie jak mamy w certyfikacie prywatnym w polu CommonName (np. Jan Kowalski). Wskazujemy certyfikat CA cacert.pem, certyfikat użytkownika newcert.pem, certyfikat prywatny usera newkey.pem i podajemy hasło do tego certyfikatu prywatnego. Ew. dla WPA wybieramy TKIP a dla WPA2 AES. I to wszystko.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_kde_eap_tls_t2.jpg


----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------


Konfigurowanie OpenWrt jako klienta (testowane na fonero 2100)

Musimy mieć zainstalowany pakiet wpa-supplicant ( ten pakiet wspiera 802.1x jako klienta EAP i tylko w WPA2 - tak są skrypty napisane /lib/wifi/wpa_supplicant.sh)
Pobierz kod źródłowy  Kod źródłowy

          opkg install wpa-supplicant




Plik /etc/config/wireless winien zawierać:

#EAP-TLS: - UWAGA nie działa w wersji OpenWrt 8.09.1 i 8.09.2. Patrz niżej.

Pobierz kod źródłowy  Kod źródłowy
config wifi-iface

          option device         "ath0"
          option network        lan
          option ssid           eap
          option eap_type       tls
          option encryption     wpa2
          option ca_cert        "/etc/config/certs/cacert.pem"
          option client_cert    "/etc/config/certs/newcert.pem"
          option priv_key       "/etc/config/certs/newkey.pem"
          option priv_key_pwd   "hasło do klucza prywatnego - opcjonalnie"







#EAP-PEAP:

Pobierz kod źródłowy  Kod źródłowy
config wifi-iface

          option device         "ath0"
          option network        lan
          option ssid           eap
          option eap_type       peap
          option encryption     wpa2
          option ca_cert        "/etc/config/certs/cacert.pem"
          option auth           MSCHAPV2
          option identity       username
          option password       password





#EAP-TTLS:

Pobierz kod źródłowy  Kod źródłowy
config wifi-iface

          option device         "ath0"
          option network        lan
          option ssid           eap
          option eap_type       ttls
          option ca_cert        "/etc/config/certs/cacert.pem"
          option encryption   wpa2
          option auth           MSCHAPV2
          option identity       username
          option password       password








----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------


Konfigurowanie OpenWrt jako klienta ver.2 (testowane na fonero 2100 - przerobiony skrypt wpa_supplicant.sh)

Musimy mieć zainstalowany pakiet wpa_suplikant ( ten pakiet wspiera 802.1x jako klienta EAP)

Pobierz kod źródłowy  Kod źródłowy
          opkg install wpa-supplicant




UWAGA Ponieważ skrypt /lib/wifi/wpa_supplicant.sh jest niekompletny dopisałem do niego trochę funkcjonalności.

Dla openWrt 8.09.1 plik do pobrania: wpa_supplicant.sh.
Dla openWrt 8.09.2 plik do pobrania: wpa_supplicant.sh.

W openWrt 8.09.1 wykonujesz:
Należy podmienić go w katalogu /lib/wifi w openwrt.

Pobierz kod źródłowy  Kod źródłowy
cd /root
wget http://rpc.one.pl/pliki/openwrt/kamikadze/8.09.1/atheros/wpa_supplicant.sh
mv /lib/wifi/wpa_supplicant.sh /lib/wifi/wpa_supplicant.sh.org
cp /root/wpa_supplicant.sh /lib/wifi/





W openWrt 8.09.2 wykonujesz:
Należy podmienić go w katalogu /lib/wifi w openwrt.

Pobierz kod źródłowy  Kod źródłowy
cd /root
wget http://rpc.one.pl/pliki/openwrt/kamikadze/8.09.2/atheros/wpa_supplicant.sh
mv /lib/wifi/wpa_supplicant.sh /lib/wifi/wpa_supplicant.sh.org
cp /root/wpa_supplicant.sh /lib/wifi/





Przeróbki wspierają dodatkowo:

EAP-WPA+TKIP

EAP-WPA2+CCMP(AES)

client_cert

identity_anonymous

Trzeba również przekompilować openwrt, a w zasadzie dwa pakiety wpa-supplicant oraz libopenssl. Domyślnie jest skompilowany ze wsparciem TLS - uboga wersja openssl. Nie pracuje to poprawnie. Muszą być wkompilowane następujące opcje:


Pobierz kod źródłowy  Kod źródłowy
          Network->wpa-supplicant
          Network->wpa-supplicant->Disable timestamp check
          Network->wpa-supplicant->Chouse TLS provider (openssl)





Pakiety OpenWrt 8.09.1 pobierasz tu: wpa-supplicant wpa-supplicant oraz libopenssl libopenssl.
Pakiety OpenWrt 8.09.2 pobierasz tu: wpa-supplicant wpa-supplicant oraz libopenssl libopenssl.

Plik /etc/config/wireless winien zawierać:

#EAP-TLS:

Pobierz kod źródłowy  Kod źródłowy
config wifi-iface

          option device         "ath0"
          option network        lan
          option ssid           eap
          option eap_type       tls
          option encryption     wpa2  #opcje możliwe to WPA lub WPA2
          option ca_cert        "/etc/config/certs/cacert.pem" #certyfikat CA
          #option client_cert    "/etc/config/certs/newcert.pem" #certyfikat usera
          option priv_key       "/etc/config/certs/newcert.p12"  # klucz prywatny usera
          option priv_key_pwd   "hasło do klucza prywatnego - opcjonalnie"
          #identity_anonymous "anonymous" # logowanie anonimowe/gosc







#EAP-PEAP:

Pobierz kod źródłowy  Kod źródłowy
config wifi-iface

          option device         "ath0"
          option network        lan
          option ssid           eap
          option eap_type       peap
          option encryption     wpa2      #opcje możliwe to WPA lub WPA2
          option ca_cert        "/etc/config/certs/cacert.pem"
          option auth           MSCHAPV2
          option identity       username
          option password       password





#EAP-TTLS:

Pobierz kod źródłowy  Kod źródłowy
config wifi-iface

          option device         "ath0"
          option network        lan
          option ssid           eap
          option eap_type       ttls
          option ca_cert        "/etc/config/certs/cacert.pem"
          option encryption   wpa2   #opcje możliwe to WPA lub WPA2
          option auth           MSCHAPV2
          option identity       username
          option password       password





-----------------------------------------------------------------------------------------------
Zapraszam na
http://rpc.one.pl
http://www.**** -Portal o alternatywnym oprogramowaniu do routerów.
Edytowane przez rpc dnia 16-05-2010 22:16
 
http://rpc.one.pl/
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 6

· Użytkowników online: 1
harryadr

· Łącznie użytkowników: 23,592
· Najnowszy użytkownik: MarnyPopis
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

need_password
21-09-2017 11:22
Dodam ze e3372 nie Hilink na R7000 nie działa.

need_password
21-09-2017 11:13
Czy ma ktoś podpięty Huawei e3372 Hilink do Netgeara R7000? Czy działają na tym wszystkie strony? Bo u mnie z tym różnie.

Steel_Rat
20-09-2017 07:47
Z diodami w Tomato jest różnie. Pewnie i powinna zgasnąć. W niektórych routerach w ogóle diody nie działają.

p4v3u
19-09-2017 23:06
czy w tomato, w n18u nie powinna gasnac ikona 'globusa' kiedy nie bedzie linku na porcie WAN ? latest tomato...

nav
16-09-2017 16:39
To nie jest dobra antena. Sprawdzone anteny to atk-10 lub 20 z dipola na pasmo LTE 800 oraz dualny panel od cybertecha lub sorensena na pasmo LTE 1800.

pedro
12-09-2017 23:53
"polaryzacja dookólna pozioma" ROTFL

pedro
12-09-2017 23:51
LOL Zysk 2x22dBi w zakresie 800 - 2600 MHz ? 2 x LOL

lulo
12-09-2017 21:41
@need_password - szukaj raczej na aliexpress bo na allegro masz w zasadzie to samo z niepotrzebną marżą - na ali co prawda czekasz długo po zakupie ale nie przepłacasz niepotrzebnie. Smile

need_password
12-09-2017 15:12
Panowie jaką antene polecacie do Huawei e3372 np taka jest dobra? http://allegro.pl/
antena-dual-4g-lte
-44dbi-huawei-e337
2-e5373-2xcrc9-i56
21061603.html

PanRatio
10-09-2017 03:52
Podobno na najnowszy router Xiaomi 3G jest już firmware Padavan. Ktoś wie coś więcej? Cena tego routera jest masakrycznie niska. Zaledwie ~135 zł Grin

man1
09-09-2017 00:05
Czy da sie uruchomic logowanie pelnych urli odwiedzanych z sieci ? obecnie 'web usage' zbiera info wylaczznie o nazwach domen. (tomato 140)

Jacek5
08-09-2017 20:05
Myslicie, ze te kamerke bedzie mozna sparowac z tomato by zdalnie ogadac obraz z np lapa? https://www.banggo
od.com/Digoo-DG-M1
Q-960P-2_8mm-Wirel
ess-Mini-WIFI-Nigh
t-Vision-Smart-Hom
e-Security-IP-Came
r

feszt
04-09-2017 20:08
Nie kupuj DSL-AC52U, testowałem to ustrojstwo jakiś tydzień. ASUS WRT strasznie okrojony, Open VPN działa słabo - przerywa. Kup lepiej coś gdzie można wgrać Merlina lub Tomato + modem ADSL/VDSL .

tkski
04-09-2017 10:27
pytanie nieaktualne - znalazłem że nie obsługuje tomato

tkski
04-09-2017 10:24
potrzebuje szybkiej informacji czy na Asus DSL-AC52U da się wgrać Tomato

PanRatio
01-09-2017 19:36
Ja prosty chłopak jestem i myślałem, że ktoś już ma rozwiązanie, a tutaj trzeba jednak przetrzeć szlaki Grin

overflow2
01-09-2017 15:45
ja mam sam internet, ale nawet tego jeszcze nie udało mi się odpalić

33,394,261 unikalne wizyty