http://www.ixbt.com/comm/prac-wpa-eap_2.shtml

Если именно потестировать, то есть бесплатное «облачное» решение: http://cloudessa.com/products/cloudessa-radius-service/

Возвращаясь к этой теме, не могу настроить так что бы телефоны подключались к сети через radius. Пишет что подключение , потом подключено, потом разрыв опять пытается подключиться. Проверял на android только.К одному роутеру подключился всё таки, но интернета не было. Замучился уже маны искать , месяц долблюсь уже с этой проблемой.Есть кто-нибуть кто реализовывал тут такое?

Такс, какое, такое? У меня работает. У меня сделано так: samba4, как LDAP сервер, freeradius как собственно radius севрер. Точки доступа wi-fi: unifi или как там их... Там прописан radius. Windows+Linux+Android - подключаются успешно.

Можешь дать статью где это может быть описано? Я сделал просто... установил freeradius, прописал юзеров в файле users, в конфиге прописал точку вайфая, в роутере указал свой радиус порт и секрет как надо.в общем всё как в мануалах написано делал, там протоколы peap сравнивал всё один в один, но телефон к вафле не подключается. Логи посмотреть не могу найти даже где, нашел какие то но там о попытке подключения ни слова. Если на точке вайфай включен firewall она сможет общаться нормально с radius serverom?

на другой точке вайфая он пишет что ошибка проверка подлинности

Не имею понятия про firewall и прочие вещи, смотри трафик tcpdump, приходят у тебя твои точки или нет. Статью дать не могу, ибо не сохранил, да и я делал ldap, а не в файле users.

Можешь с консоли, проверить:

root@radius:~# radtest -t mschap username xxxx localhost 0 testing123

В конце выдает ошибку, по гуглу выводит на самбу и на ошибку доступа к файлам, но я её не использую, где смотреть нужно? radtest -t mschap test test123 localhost 0 testing123 Sending Access-Request of id 80 to 127.0.0.1 port 1812 User-Name = «test» NAS-IP-Address = 127.0.1.1 NAS-Port = 0 Message-Authenticator = 0x00000000000000000000000000000000 MS-CHAP-Challenge = 0x28d8716706d86e4d MS-CHAP-Response = 0x0001000000000000000000000000000000000000000000000000ceb1083a96ad1c063830db50be525455d8a22d2038b6ba15 rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=80, length=38 MS-CHAP-Error = «\000E=691 R=1»

sudo radtest -t mschap test test123 localhost 0 testing123

Sending Access-Request of id 80 to 127.0.0.1 port 1812

User-Name = «test»

NAS-IP-Address = 127.0.1.1

NAS-Port = 0

Message-Authenticator = 0x00000000000000000000000000000000 MS-CHAP-Challenge = 0x28d8716706d86e4d

MS-CHAP-Response = 0x0001000000000000000000000000000000000000000000000000ceb1083a96ad1c063830db50be525455d8a22d2038b6ba15

rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=80, length=38

MS-CHAP-Error = «\000E=691 R=1»

Ну значит, не работает у тебя аутотентификация пользователей. Смотри настройки radius сервера.

Всё нашел где проблема, в файле /etc/freeradius/radiusd.conf есть строчки # IP address on which to listen. # Allowed values are: # dotted quad (1.2.3.4) # hostname (radius.example.com) # wildcard (*) ipaddr = *

Вместо строчек нужно указать адрес сервера. Нигде этого не описанно, тоже самое с портом звездочку исправил на 1812. Полный бред вообще((Столько времени из за такой куйни.

Кхм... Забавно. :) Ну отлично!

А средствами freeradius возможно ограничить доступ всего и вся кроме допустим разрешенных мак адресов?

А средствами freeradius возможно ограничить доступ всего и вся кроме допустим разрешенных мак адресов?

Да я думаю, что возможно. Только это нужно будет настроить dhcp правильно, и свитчи нужные дорогие. А если касаемо wi-fi - то там я думаю уже потребуются дорогие точки доступа.

без разницы дорогой вай фай или дешевый, они мак адрес в каком то формате же посылают. Нашел статьи если кому понадобится то тут

http://wiki.yola.ru/doku.php?id=freeradius:freeradius_wifi

там ( http://wiki.freeradius.org/guide/Mac Auth) описывается как виды мак адресов преобразовать к стандарту одному.Хорошая темо ибо даже если левый чел узнает пароль всё равно не подключится.

без разницы дорогой вай фай или дешевый

Эм... Смотри, к примеру тебе нужно организовать доступ в локальную сеть через wi-fi, чтобы твои wi-fi устройства были членами одного LAN домена, в таком случае, тебе необходимо их перекидывать из недоверенного VLAN, в доверенный, после того как они пройдут аутотентификацию на radius сервере. Я об этом. Или, же, тебе надо, чтобы в зависимости от той группы, членом которой является учётная запись в LDAP, у тебя wi-fi точка назначала нужный VLAN. А то, чем занимаешься ты - пустое занятие же... Или я чего-то не понял? MAC подделывать же не трудно, совсем.

Если у тебя левый чел узнает пароль, он подключится к твоей точке, и просканирует все MAC адреса в две секунды. Это во-первых. Во-вторых, в твоём случае, тебе придётся руками сопровождать базу данных MAC, что в современном мире, где одни мобильные гаджеты приходят на смену другим гаджетам раз в пол года - не представляется хоть сколько-нибудь ценным занятием.

У меня небольшая группа пользователей будет которая вафлей пользуется, поэтому сопровозждать таблицу мак будет совсем нетрудно.Телефоны я надеюсь они редко менять будут.Всё что я хотел что бы левый чел придя с ноутом или своим гаджетом не мог подцепиться по вафле даже зная логин пароль, так как мака его не будет в базе. Да мак подделывать не трудно, но ты же не знаешь на какой его подделать надо)

У меня небольшая группа пользователей будет которая вафлей пользуется, поэтому сопровозждать таблицу мак будет совсем нетрудно.Телефоны я надеюсь они редко менять будут.

Я тоже раньше ТОЧНО так же думал. В итоге, для гостей, и своих пользователей, которым нужен только Интернет, я впилил captive portal + wpa2-personal + ldap, на вот, специально для тебя я сделал снимок экрана, сколько у меня сейчас маков болтается в портале (это за полтора года накопилось...): http://i.imgur.com/EUWML9v.png уж извини, не стал ещё более уменьшать, чтобы тебе показать весь список...

Мануала у тебя опять же нет на эту куню да?)

Ну я просто взял, pfSense, на точках доступа везде настроил WPA2 с единым паролем, в качестве шлюза указал pfSense, забросил это дело в VLAN, на pfSense сделал dhcp сервер, и настроил captive portal, и настроил ldap аутотентификацию по группе wi-fi. И всё в общем то. Приходит свой сотрудник с мобильным телефоном: и просит Интернет. - Идёт получает добро от своего начальника отдела, далее: он вносится в группу wi-fi, ему настраивается точка доступа, то есть в целом он может и даже случайно узнать пароль от wpa2, но на практике, они и этого не знают особо. Затем, он открывает браузер, и там страница аутотентификации, там он вводит свои логин+пароль из LDAP, и всё (один раз за всю жизнь моб. устройства), его mac попадает в белый список, а в лог заносится, кому принадлежит мак+ip.

В dhcp сервере, стоит долгоиграющая аренда ip адреса. Так что в случае проблем, я в конце месяца, просто беру, и строю netflow отчёты по нужному мне ip, и выдаю звездюлей (а такие случаи уже были!), когда люди начинают борзеть, и качать сотни гигов! Как узнать ip: надо в pfSense найти: mac+user, затем на dhcp найти пару: mac+ip. Ну и потом через nfseen построить нужный отчёт. Всё. Даже в консоль не надо никуда входить, всё можно сделать через webGUI.

С теми кому нужна локальная сеть на ноуте: я просто через freeradius настраиваю точку доступа с WPA2-enterprise, и они становятся членами лок. сети. - А там уже вступают в силу привычные инструменты учёта: корпоративные прокси и т.д. - Однако, win 8.1, почему-то дурит, и раз в две недели забывает логин/пароль от точки... Почему - пока не знаю...

Ну и вестимо, всё это гавнище я виртуализовал.

А гостевого доступа нет? Клиенты если приходят чтоб не скучать в инет зайти могут?

и еще средствами freeradius что нибудь из этого можно сделать если его донастроить?... -Узнать ip по логину -контролировать обьем трафика -мож даже контролировать посещенный ресурс.

или он не сможет эту инфу забирать?

Нет, не могут. Сейчас в общем то у всех есть 3G. Так что большой необходимости в этом не вижу. Но в целом, не сложно и это реализовать, конечно, достаточно поднять ещё один SSID, с названием Free.

Я боюсь, что эту инфу, он сможет получать только от умных устройств доступа (я тебе как раз и писал про дорогие свитчи, и дорогие точки доступа). Однако, есть и бюджетные модели, которые кое-чего в этом плане умеют.

Я с телефонов подключиться могу , а с ноутов нет .Сначала запрашивает логин пароль, после этого запрашивает почему-то домен\имя пользователя и ключ. В курсе что может быть?

Рискну предположить, что у тебя криво настроен freeradius, и он сперва ищет в локальной базе, а потом начинает искать в ldap.

ldap я не настраивал, в файлах /etc/freeradius/sites-available/default и /etc/freeradius/sites-available/inner-tunnel все что связано с ldap закоментированно, в файле /etc/freeradius/radiusd.config про ldap упоминаний нет. Там ведь можно без сертификатов буки подключить?

Блин, я не знаю настолько глубоко, да и не помню уже. Я настроил Freeradius+samba4, и настроил по MSCHAP всё это дело. Прописал на точках доступа, и у меня всё заработало. Без особых сложностей. Хотя, я повторюсь, что винда, 8я, у меня дурит, и периодически забывает логин/пароль от точки.

Freeradius+samba4
MSCHAP

ntlm_auth?

LDAP + Freeradius + WPA2

тут http://electronic-blue.herokuapp.com/blog/2014/06/setting-up-wpa-enterprise-w...