14 Listopad 2018 08:50:26
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· Problem z widzialnoś...
· Jak sprawdzić pamięć...
· Nowy dysk do ASUS RT...
· Asus RT-N16 zrywa po...
· [MOD] FreshTomato-MIPS
· Oscam instalacja na ...
· [S] Asus RP-AC68U Wi...
· Szukam bardzo tanieg...
· [S] Ruter
· [S] Asus RT-AC56U
· 3CX
· Problem z nawiązanie...
· [MOD] FreshTomato-ARM
· Multiroom N z wykorz...
· Sprzedam RT AC87U
· [S] Karta wifi AC US...
· Server Radius na rut...
· [S][DObudowa Silvers...
· [S] Nowy Linksys WRT...
· Modem LTE + Router +...
Najciekawsze tematy
· [MOD] FreshTomato... [275]
· [S] Ruter [11]
· Nowy dysk do ASUS... [8]
· Problem z widzial... [7]
· Jak sprawdzić pam... [6]
· Szukam bardzo tan... [6]
· [S] Asus RP-AC68U... [3]
· Asus RT-N16 zrywa... [2]
· Oscam instalacja ... [1]
· [S] Asus RT-AC56U [1]
· 3CX [0]
· Problem z nawiąza... [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
39% [132 głosów]

Broadcom ARM
Broadcom ARM
49% [165 głosów]

Atheros
Atheros
6% [20 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [10 głosów]

Ogółem głosów: 337
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
54.82.79.137
Reklama
Zobacz temat
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj temat
Autoryzacja EAP-TLS,TTLS,PEAP do sieci wifi bez radiusa na podstawie hostapd w OpenWrt
rpc
Autoryzacja EAP-TLS,TTLS,PEAP do sieci wifi bez radiusa na podstawie hostapd w OpenWrt 8.09.1 i 8.09.2

Aktualizacja
Do wersji Backfire 10.09.3 opis znajduje się:
http://rpc.one.pl
oraz na portalu o alternatywnym oprogramowaniu

Radius to usługa zdalnej autoryzacji użytkowników i urządzeń. Za jego pomocą można skonfigurować autoryzację w OpenWrt opierając się o certyfikaty. Logowanie odbywać się będzie na podstawie standardu 802.1x wykorzystując między innymi metody autoryzacji EAP-TLS, EAP-TTLS-MSCHAPV2, EAP-PEAP-MSCHAPV2. Do takiej konfiguracji trzeba dodatkowo zainstalować w OpenWrt freeradius lub freeradius2.

Mało kto jednak wie, że hostapd może służyć jako serwer radius dla siebie samego. Nie ma potrzeby instalowania żadnego serwera radius w routerze. Przedstawię prostą konfigurację, która doprowadzi do uruchomienia routera z autoryzacją EAP-TLS, EAP-TTLS,PEAP-mschapv2. Wszystko to testowałem na fon 2100 (Atheros)



Założenia:

Dostęp do sieci WIFI: WPA2

Autoryzacja klienta poprzez protokół
EAP-TLS - do logowania wykorzystujemy certyfikaty po stronie serwera i klienta
EAP-TTLS-mschapv2 - do logowania wykorzystujemy nazwę użytkownika i hasło
EAP-PEAP-mschapv2 - do logowania wykorzystujemy nazwę użytkownika i hasło

Tekst postał jako rozwinięcie poniższych artykułów:
Generowanie certyfikatów openssl x509
Konfiguracja radius jako kontrolera autoryzacji WIFI pod OpenWrt 8.09.1
Część tego tekstu znajdzie się na mojej stronie:
Autoryzacja EAP-TLS,TTLS,PEAP do sieci wifi bez radiusa na podstawie hostapd w OpenWrt




Instalacja:

Pobierz kod źródłowy  Kod źródłowy
opkg update
opkg install hostapd hostapd-util





opcjonalnie - nie jest wymagane
Pobierz kod źródłowy  Kod źródłowy
opkg install openssl-util libopenssl





Konfiguracja /etc/config/wireless w OpenWrt

Plik /etc/config/wireless winien zawierać:

Pobierz kod źródłowy  Kod źródłowy
config wifi-device wifi0

option type atheros
option disabled 0
option channel 1
option diversity 0
option txantenna 1
option rxantenna 1

 

config wifi-iface

option device   wifi0
option network  lan
option mode     ap
option ssid     OpenWrt
option encryption wpa2
option eap_server       1                                                           # 0- hostapd jako client radius, 1-hostapd jako server radius
option eap_user_file    /etc/config/hostapd.eap_user       # plik w którym definiujemy uprawnienia logowania
option ca_cert          /etc/config/certs/cacert.pem                # plik z certyfikatem centrum certyfikacji CA
option server_cert      /etc/config/certs/newcert.pem         # certyfikat serwera
option private_key      /etc/config/certs/newcert.p12         # klucz prywatny serwera w formacie PKCS12 .p12
option private_key_passwd       haslo                                 # hasło do klucza prywatnego .p12
option check_crl        0                                                           # czy sprawdzać CRL
option dh_file          /etc/config/certs/dh.pem                     # plik protokołu Diffi-Hellman






Jeszcze opiszę parametr check_crl. Może on przyjmować wartości:
0 - nie weryfikuje CRL
1 - szuka listy CRL w certyfikacie usera
2 - szuka wszystkich list CRL we wszystkich ścieżkach w certyfikacie
hostapd nie obsługuje oddzielnych plików CRL. Listy (a w zasadzie ścieżki do list) CRL muszą być zawarte w pliku cacert.pem. Zmienna nsCaRevocationUrl w openssl.cnf.



Plik dh.pem generujemy:

Pobierz kod źródłowy  Kod źródłowy
openssl dhparam -out dh.pem 1024






Oczywiście można przedstawić zmiany w sposób standardowy:

Pobierz kod źródłowy  Kod źródłowy
root@OpenWrt:~# uci show wireless.@wifi-iface[0]
wireless.cfg034ca5=wifi-iface
wireless.cfg034ca5.device=wifi0
wireless.cfg034ca5.network=lan
wireless.cfg034ca5.mode=ap
wireless.cfg034ca5.ssid=OpenWrt
wireless.cfg034ca5.encryption=wpa2
wireless.cfg034ca5.eap_server=1
wireless.cfg034ca5.eap_user_file=/etc/config/hostapd.eap_user
wireless.cfg034ca5.ca_cert=/etc/config/certs/cacert.pem
wireless.cfg034ca5.server_cert=/etc/config/certs/newcert.pem
wireless.cfg034ca5.private_key=/etc/config/certs/newcert.p12
wireless.cfg034ca5.private_key_passwd=haslo
wireless.cfg034ca5.check_crl=0
wireless.cfg034ca5.dh_file=/etc/config/certs/dh.pem







Jak widać pojawiły się nowe opcje w pliku konfiguracyjnym. Aby były analizowane należy pobrać i podmienić plik na routerze hostapd.sh. Czyli na konsoli routera po zalogowaniu do shella wykonujemy:

Pobierz kod źródłowy  Kod źródłowy
cd /root
wget http://rpc.one.pl/pliki/openwrt/kamikadze/8.09.1/atheros/hostapd.sh
mv /lib/wifi/hostapd.sh /lib/wifi/hostapd.sh.org
cp /root/hostapd.sh /lib/wifi/





W tym pliku jest definicja nowych opcji. Dzięki nim OpenWrt wie jak parsować nowe parametry.


W czasie pisania artykułu pojawiła się wersja 8.09.2. Plik hostapd.sh w tym wypadku jest identyczny:

Pobierz kod źródłowy  Kod źródłowy
cd /root
wget http://rpc.one.pl/pliki/openwrt/kamikadze/8.09.2/atheros/hostapd.sh
mv /lib/wifi/hostapd.sh /lib/wifi/hostapd.sh.org
cp /root/hostapd.sh /lib/wifi/






Konfiguracja pliku uprawnień do logowania usera:

Należy utworzyć nowy plik /etc/config/hostapd.eap_user w następujący sposób:

Pobierz kod źródłowy  Kod źródłowy
touch /etc/config/hostapd.eap_user




o zawartości:

Pobierz kod źródłowy  Kod źródłowy
#phase 1
*             PEAP,TTLS,TLS

#phase 2

"username"                MSCHAPV2                    "haslo_usera"                 [2]

#"CommonName"                TLS

#"username2"           PEAP [ver=0]
#"username2"           MSCHAPV2                     "haslo_usera"                 [2]

#"username3"          TTLS
#"username3"          MSCHAPV2                      "haslo_usera"                 [2]

#"username4"         TTLS
#"username4"         MD5                                     "haslo_usera"                [2]







Może po krótce opiszę konfigurację w/w pliku:

Definicja pliku dzieli się na dwie sekcje. Pierwsza definiuje po jakim protokole odbędzie się logowanie #phase1, druga sekcja definiuje metodę autoryzacji na routerze #phase2.



Pobierz kod źródłowy  Kod źródłowy
*             PEAP,TTLS,TLS



Tutaj mówimy, że autoryzujemy wszystkich użytkowników na podstawie protokołu EAP-PEAP lub EAP-TTLS, lub EAP-TLS



Pobierz kod źródłowy  Kod źródłowy
"username"                MSCHAPV2                    "haslo_usera"                 [2]



Tutaj mówimy, iż użytkownik "username" może się zalogować jeśli poda hasło i metodą autoryzacji MSCHAPV2



Pobierz kod źródłowy  Kod źródłowy
"CommonName"                TLS



Tutaj wystarczy w zasadzie tylko ten wiersz. W polu CommonName wpisujemy to co klient ma w certyfikacie prywatnym zdefiniowane w polu CommonName(CN). Np. "username@domena.com" lub "Imie Nazwisko". Do logowania wystarczy tylko certyfikat.



Pobierz kod źródłowy  Kod źródłowy
#"username2"           PEAP [ver=0]
#"username2"           MSCHAPV2                     "haslo_usera"                 [2]




Definiujemy, iż "username2" może zalogować się do systemu po protokole EAP za pomocą metody autoryzacji PEAP-MSCHAPV2. W Windows XP może być konieczność skorzystania z PEAP w wersji [ver=0]



Jak widać kombinacji opcji w pliku jest wiele. Plik analizowany jest od góry do dołu. Czyli analiza jest przerywana po dojściu do pierwszej pasującej wartości.


----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------



Certyfikaty:

Certyfikaty serwera umieszczamy w katalogu /etc/config/certs (musimy go utworzyć)

Pobierz kod źródłowy  Kod źródłowy
mkdir /etc/config/certs




Tworzenie certyfikatów opisałem w artykule: Generownie certyfikatów openssl x509



Jeśli chcesz tworzyć certyfikaty w OpenWrt to możesz skorzystać ze skryptu CA.sh , który wgraj sobie na router. Nie zapomnij dograć openssl-util. Koniecznie pamiętaj aby wszystkie dane się zgadzały w ścieżce certyfikacji - były identyczne ( oprócz pól CommonName i email )



Certyfikat dla hostapd EAP - server MUSI być odpowiednio przygotowany. Urząd wystawiający certyfikat MUSI w certyfikacie serwera dodać rozszerzenie TLS Web Server Authentication. W pliku /etc/ssl/openssl.cnf należy odremować wiersze lub jeśli ich nie ma utworzyć w sekcji [usr_cert]:

Pobierz kod źródłowy  Kod źródłowy
nsCertType = server
extendedKeyUsage = 1.3.6.1.5.5.7.3.1





Certyfikat dla clienta (windows,linux) logowania radius MUSI być odpowiednio przygotowany. Jeżeli używamy uwierzytelniania EAP-TLS klient musi się dysponować certyfikatem zawierającym rozszerzenie TLS Web Client Authentication. W pliku /etc/ssl/openssl.cnf należy odremować wiersze lub jeśli ich nie ma utworzyć w sekcji [usr_cert]:

Pobierz kod źródłowy  Kod źródłowy
nsCertType = client, email
extendedKeyUsage = 1.3.6.1.5.5.7.3.2







Po krótce przypomnę:

Generowanie centrum certyfikacji CA (w wyniku otrzymamy między innymi cacert.pem)
Pobierz kod źródłowy  Kod źródłowy
./CA.sh -newca




Generowanie certyfikatu serwera radius/hostapd (Musimy w pliku openssl.cnf odremować w sekcji [usr_cert] nsCertType = server
oraz extendedKeyUsage = 1.3.6.1.5.5.7.3.1)
Pobierz kod źródłowy  Kod źródłowy
./CA.sh -newreq
./CA.sh -sign
./CA.sh -pkcs12





Generowanie certyfikatu klienta windows/linux (Musimy w pliku openssl.cnf odremować w sekcji [usr_cert] nsCertType = client, email
oraz extendedKeyUsage = 1.3.6.1.5.5.7.3.2)
Pobierz kod źródłowy  Kod źródłowy
./CA.sh -newreq
./CA.sh -sign
./CA.sh -pkcs12





W wyniku wykonania w/w poleceń otrzymamy:
Pobierz kod źródłowy  Kod źródłowy
demoCA/cacert.pem
newreq.pem
newcert.pem
newkey.pem
newcert.p12






I to te pliki wklejamy do routera/serwera lub do clienta (windows/linux).


Możemy mieć certyfikat i klucz prywatny w jednym pliku (zamiast oddzielnie newcert.pem i newkey.pem) robimy to następująco:

openssl pkcs12 -in newkey.p12 -out certyfikat.pem

i tylko plikiem certyfikat.pem posługujesz się.


----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------


Ps. Uwagi do tematu artykułu

W trunku (30.12.2009) hostapd też działa. Na dzień dzisiejszy jednak hostapd nie używa certyfikatu w formacie PKCS12 lecz w formacie PKCS8. Możemy wygenerować go sobie następująco:

Pobierz kod źródłowy  Kod źródłowy
openssl pkcs12 -in newcert.p12 -out certyfikat.pem
openssl pkcs8 -topk8 -in certyfikat.pem -out newcert.p8







Plik hostapd.sh przerobiony jest TYLKO do wersji 8.09.1. W trunku trzeba sobie go samemu przerobić. Poniżej podaje parametry jakie przyjmuje hostapd dla EAP:

Pobierz kod źródłowy  Kod źródłowy
root@OpenWrt:~# cat /var/run/hostapd-ath0.conf
ctrl_interface=/var/run/hostapd-ath0
driver=madwifi
interface=ath0
ssid=OpenWrt
debug=0
wpa=2
wpa_pairwise=CCMP
eap_server=1
eap_user_file=/etc/config/hostapd.eap_user
ca_cert=/etc/config/certs/cacert.pem
server_cert=/etc/config/certs/newcert.pem
private_key=/etc/config/certs/newcert.p12
private_key_passwd=haslo
check_crl=0
dh_file=/etc/config/certs/dh.pem
ieee8021x=1
auth_algs=1
wpa_key_mgmt=WPA-EAP
wpa_group_rekey=300
wpa_gmk_rekey=640





W/w plik generowany jest za każdym razem jak startuje radio i tworzony jest dynamicznie. Do testów pliku możemy posłużyć się trybem debug w konsoli:

Pobierz kod źródłowy  Kod źródłowy
hostapd /var/run/hostapd-ath0.conf -dd




oczywiście po tym jak ubijemy proces w systemie hostapd.



Co dopisałem do pliku hostapd.sh (podaje tylko częśc zmienionej sekcji aby mozna się było zorientować)

Pobierz kod źródłowy  Kod źródłowy
*wpa*|*WPA*)
# required fields? formats?
# hostapd is particular, maybe a default configuration for failures
config_get eap_server "$vif" eap_server

if [ "$eap_server" == "1" ]
then
append hostapd_cfg "eap_server=$eap_server" "$N"
config_get eap_user_file "$vif" eap_user_file
append hostapd_cfg "eap_user_file=$eap_user_file" "$N"
config_get ca_cert "$vif" ca_cert
append hostapd_cfg "ca_cert=$ca_cert" "$N"
config_get server_cert "$vif" server_cert
append hostapd_cfg "server_cert=$server_cert" "$N"
config_get private_key "$vif" private_key
append hostapd_cfg "private_key=$private_key" "$N"
config_get private_key_passwd "$vif" private_key_passwd
append hostapd_cfg "private_key_passwd=$private_key_passwd" "$N"
config_get check_crl "$vif" check_crl
check_crl=${check_crl:-0}
append hostapd_cfg "check_crl=$check_crl" "$N"
config_get dh_file "$vif" dh_file
append hostapd_cfg "dh_file=$dh_file" "$N"
else
config_get server "$vif" server
append hostapd_cfg "auth_server_addr=$server" "$N"
config_get port "$vif" port
port=${port:-1812}
append hostapd_cfg "auth_server_port=$port" "$N"
config_get secret "$vif" key
append hostapd_cfg "auth_server_shared_secret=$secret" "$N"
config_get nasid "$vif" nasid
append hostapd_cfg "nas_identifier=$nasid" "$N"
append hostapd_cfg "eapol_key_index_workaround=1" "$N"
append hostapd_cfg "radius_acct_interim_interval=300" "$N"
fi





----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------


Konfigurowanie clienta windows (vista, windows7 - tu testowałem)

EPA-PEAP:
Sprawa jest bardzo prosta. Klikam na połączenie sieci bezprzewodowej i podajemy nazwę użytkownika i hasło. Tyle wystarczy.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_peap_1_t2.jpg openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_peap_2_t2.jpg

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_peap_3_t2.jpg openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_peap_4_t2.jpg

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_cert_2_t2.jpg



EAP-TLS:
Importujemy nasz prywatny certyfikat w formacie p12 (pkcs12) w windows do magazynu "Osobisty". Jednocześnie dodaje się automatem nasze centrum certyfikacji do windows jako zaufane.Teraz wystarczy kliknąć na nasze połączenie bezprzewodowe do którego się zalogujemy - nie podajemy żadnych haseł jeśli system by się spytał. Od teraz windows automatycznie będzie logował się za pomocą certyfikatu do sieci WIFI.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_tls_1_t2.jpg

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_tls_2_t2.jpg openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_tls_3_t2.jpg

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_cert_1_t2.jpg

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_eap_tls_4_t2.jpg

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_vista_cert_2_t2.jpg



EAP-TTLS:
Windows natywnie nie obsługuje tej metody uwierzytelnienia. Można dograć program SecureW2.

----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------


Konfigurowanie clienta linux pod gnome ( network-manager w Ubuntu 9.10)

Należy wybrać sieć do której chcemy się zalogować:
openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_gnome_network_t2.jpeg


EAP-PEAP:
Wskazujemy plik certyfikatu centrum CA (cacert.pem) oraz podajemy nazwę użytkownika i hasło.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_gnoome_network_manager_peap_t2.jpeg


EAP-TLS:
Wskazujemy certyfikat centrum CA (cacert.pem) oraz klucz prywatny w formacie PKCS12 (newcert.p12) i hasło do niego. Podajemy Tożsamość - to jest to co mamy wpisane w certyfikacie prywatnym danego usera w polu CommonName.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_gnome_network_manager_tls_t2.jpeg


EAP-TTLS:
Wskazujemy plik certyfikatu centrum CA (cacert.pem) oraz podajemy nazwę użytkownika i hasło.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_gnome_network_manager_ttls_t2.jpeg

----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------


Konfigurowanie clienta linux pod kde (knetworkmanager w debian lenny)

EAP-PEAP:
Klikamy na nasze połączenie sieciowe. Wybieramy sposób połączenia czyli PEAP+MSCHAPV2 podajemy nazwę usera i hasło. Ew. dla WPA wybieramy TKIP a dla WPA2 AES. I to wszystko.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_kde_eap_peap_t2.jpg


EAP-TTLS:
Klikamy na nasze połączenie sieciowe. Wybieramy sposób połączenia czyli TTLS+MSCHAPV2 podajemy nazwę usera i hasło. Możemy wskazać certyfikat cacert.pem, bez tego też działa. Ew. dla WPA wybieramy TKIP a dla WPA2 AES. I to wszystko.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_kde_eap_ttls_t2.jpg


EAP-TLS:
Klikamy na nasze połączenie sieciowe. Wybieramy sposób połączenia czyli TLS+NONE podajemy nazwę usera takie jak mamy w certyfikacie prywatnym w polu CommonName (np. Jan Kowalski). Wskazujemy certyfikat CA cacert.pem, certyfikat użytkownika newcert.pem, certyfikat prywatny usera newkey.pem i podajemy hasło do tego certyfikatu prywatnego. Ew. dla WPA wybieramy TKIP a dla WPA2 AES. I to wszystko.

openlinksys.info/images/photoalbum/album_23/hostapd_eapsrv_kde_eap_tls_t2.jpg


----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------


Konfigurowanie OpenWrt jako klienta (testowane na fonero 2100)

Musimy mieć zainstalowany pakiet wpa-supplicant ( ten pakiet wspiera 802.1x jako klienta EAP i tylko w WPA2 - tak są skrypty napisane /lib/wifi/wpa_supplicant.sh)
Pobierz kod źródłowy  Kod źródłowy

          opkg install wpa-supplicant




Plik /etc/config/wireless winien zawierać:

#EAP-TLS: - UWAGA nie działa w wersji OpenWrt 8.09.1 i 8.09.2. Patrz niżej.

Pobierz kod źródłowy  Kod źródłowy
config wifi-iface

          option device         "ath0"
          option network        lan
          option ssid           eap
          option eap_type       tls
          option encryption     wpa2
          option ca_cert        "/etc/config/certs/cacert.pem"
          option client_cert    "/etc/config/certs/newcert.pem"
          option priv_key       "/etc/config/certs/newkey.pem"
          option priv_key_pwd   "hasło do klucza prywatnego - opcjonalnie"







#EAP-PEAP:

Pobierz kod źródłowy  Kod źródłowy
config wifi-iface

          option device         "ath0"
          option network        lan
          option ssid           eap
          option eap_type       peap
          option encryption     wpa2
          option ca_cert        "/etc/config/certs/cacert.pem"
          option auth           MSCHAPV2
          option identity       username
          option password       password





#EAP-TTLS:

Pobierz kod źródłowy  Kod źródłowy
config wifi-iface

          option device         "ath0"
          option network        lan
          option ssid           eap
          option eap_type       ttls
          option ca_cert        "/etc/config/certs/cacert.pem"
          option encryption   wpa2
          option auth           MSCHAPV2
          option identity       username
          option password       password








----------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------


Konfigurowanie OpenWrt jako klienta ver.2 (testowane na fonero 2100 - przerobiony skrypt wpa_supplicant.sh)

Musimy mieć zainstalowany pakiet wpa_suplikant ( ten pakiet wspiera 802.1x jako klienta EAP)

Pobierz kod źródłowy  Kod źródłowy
          opkg install wpa-supplicant




UWAGA Ponieważ skrypt /lib/wifi/wpa_supplicant.sh jest niekompletny dopisałem do niego trochę funkcjonalności.

Dla openWrt 8.09.1 plik do pobrania: wpa_supplicant.sh.
Dla openWrt 8.09.2 plik do pobrania: wpa_supplicant.sh.

W openWrt 8.09.1 wykonujesz:
Należy podmienić go w katalogu /lib/wifi w openwrt.

Pobierz kod źródłowy  Kod źródłowy
cd /root
wget http://rpc.one.pl/pliki/openwrt/kamikadze/8.09.1/atheros/wpa_supplicant.sh
mv /lib/wifi/wpa_supplicant.sh /lib/wifi/wpa_supplicant.sh.org
cp /root/wpa_supplicant.sh /lib/wifi/





W openWrt 8.09.2 wykonujesz:
Należy podmienić go w katalogu /lib/wifi w openwrt.

Pobierz kod źródłowy  Kod źródłowy
cd /root
wget http://rpc.one.pl/pliki/openwrt/kamikadze/8.09.2/atheros/wpa_supplicant.sh
mv /lib/wifi/wpa_supplicant.sh /lib/wifi/wpa_supplicant.sh.org
cp /root/wpa_supplicant.sh /lib/wifi/





Przeróbki wspierają dodatkowo:

EAP-WPA+TKIP

EAP-WPA2+CCMP(AES)

client_cert

identity_anonymous

Trzeba również przekompilować openwrt, a w zasadzie dwa pakiety wpa-supplicant oraz libopenssl. Domyślnie jest skompilowany ze wsparciem TLS - uboga wersja openssl. Nie pracuje to poprawnie. Muszą być wkompilowane następujące opcje:


Pobierz kod źródłowy  Kod źródłowy
          Network->wpa-supplicant
          Network->wpa-supplicant->Disable timestamp check
          Network->wpa-supplicant->Chouse TLS provider (openssl)





Pakiety OpenWrt 8.09.1 pobierasz tu: wpa-supplicant wpa-supplicant oraz libopenssl libopenssl.
Pakiety OpenWrt 8.09.2 pobierasz tu: wpa-supplicant wpa-supplicant oraz libopenssl libopenssl.

Plik /etc/config/wireless winien zawierać:

#EAP-TLS:

Pobierz kod źródłowy  Kod źródłowy
config wifi-iface

          option device         "ath0"
          option network        lan
          option ssid           eap
          option eap_type       tls
          option encryption     wpa2  #opcje możliwe to WPA lub WPA2
          option ca_cert        "/etc/config/certs/cacert.pem" #certyfikat CA
          #option client_cert    "/etc/config/certs/newcert.pem" #certyfikat usera
          option priv_key       "/etc/config/certs/newcert.p12"  # klucz prywatny usera
          option priv_key_pwd   "hasło do klucza prywatnego - opcjonalnie"
          #identity_anonymous "anonymous" # logowanie anonimowe/gosc







#EAP-PEAP:

Pobierz kod źródłowy  Kod źródłowy
config wifi-iface

          option device         "ath0"
          option network        lan
          option ssid           eap
          option eap_type       peap
          option encryption     wpa2      #opcje możliwe to WPA lub WPA2
          option ca_cert        "/etc/config/certs/cacert.pem"
          option auth           MSCHAPV2
          option identity       username
          option password       password





#EAP-TTLS:

Pobierz kod źródłowy  Kod źródłowy
config wifi-iface

          option device         "ath0"
          option network        lan
          option ssid           eap
          option eap_type       ttls
          option ca_cert        "/etc/config/certs/cacert.pem"
          option encryption   wpa2   #opcje możliwe to WPA lub WPA2
          option auth           MSCHAPV2
          option identity       username
          option password       password





-----------------------------------------------------------------------------------------------
Zapraszam na
http://rpc.one.pl
http://www.**** -Portal o alternatywnym oprogramowaniu do routerów.
Edytowane przez rpc dnia 16-05-2010 22:16
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 5

· Użytkowników online: 1
Steel_Rat

· Łącznie użytkowników: 23,802
· Najnowszy użytkownik: radzio222
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

jurekk
12-11-2018 22:25
Steel_Rat , wiesz ma np stubby a najwaznijsze utrzymuje wsprcie dla ac66u i n66u i n16

aptekarz
12-11-2018 21:43
pany mam pytanie posiadam wrt54gl v1.1 i znalazlem usb card reader (4 zyly ) dam rade to podlutowac pod tego linksysa ?

Steel_Rat
12-11-2018 19:19
LTS ma coś więcej w oprogramowaniu niż sam Merlin, czy bardziej chodzi o wydajność?

jurekk
12-11-2018 17:21
nic mocniejszego nie ma z tomato na pokładzie wszystkie od 700 do 950 maja wan to lan, swoja drogą polecam fork LTS REMERLIN , jest duzo lepszy niz sam Merlin

jurekk
12-11-2018 17:18
to mnie zddziwiłes bo podaja ze ma https://www.smalln
etbuilder.com/wire
less/wireless-revi
ews/32239-ac1900-f
irst-look-netgear-
r7000-a-asus-rt-ac
68u?start=2

gandalf
12-11-2018 16:34
Asus RT-AC68U nie daje rady z 600/60 nie ma znaczenia czy z CFT czy bez.Po prostu muszę wymienić na coś mocniejszego bo ten OF i Merlin to dla mnie przerost formy nad trescią

jurekk
12-11-2018 12:58
z załączonym CFT każdy z procesorem arm, testowałem kilka ;-) i moi liderzy to checesz wifi 5Ghz to R7000 , nie potrzebujesz to N18u

gandalf
12-11-2018 10:27
Jaki router pod tomato który da radę z łączem 600/60. Czas na zmiany https://openlinks...os
t_168429

man1
08-11-2018 20:56
upgrade done. Zobaczymy jak bedzie Smile na 2018.3 ac68 lubil zawiscnac przy wysycaniu pasma 5g

man1
08-11-2018 18:23
Zastanawiam sie czy zmieniac fresha 2018.3 na nowszego. Były jakieś problemy z radiem 5G na ac68?

pedro
31-10-2018 18:59
@tamtosiamto: jak nie może, skoro może? Różne peery będą się pobierały innym łączem. No chyba że będzie tylko jeden, to wtedy klops Pfft

mosfit
29-10-2018 23:23
to zależy jak skonfigurowałeś te dwa urządzenia. Załóż nowy temat i opisz to

lolo2
29-10-2018 22:49
Zagadka. Mam router od tmobile Huawei B529. Z telefonu po wifi mam DL 15mbit, natomiast router z tomato (transmission) podłączony po kablu osiąga maksymalnie 6mbit. Gdzie dławi?

tamtosiamto
29-10-2018 22:44
Nie mozesz.

lolo2
29-10-2018 22:23
Witam, Mam pytanko odnośnie MultiWAN. Czy mogeę router z tomato podłączyć jednocześnie do Nestroady i internetu LTE i np. pobierać torrenta z obu łącz jednocześnie?

mosfit
29-10-2018 14:52
nie mozliwe ,a v MiniVpn wgrywałeś czy Max https://openlinks...ws
tart=260

Dropsiur
29-10-2018 10:58
Znalazłem co chciałem, dla potomnych podaje linka: https://mega.nz/#.
..jRz5LoOZfA

36,937,179 unikalne wizyty