Radius server

[galaxy69]

Tegenwoordig is er ook een package van Radius server beschikbaar. Ik heb deze geinstalleerd en geconfigureerd icm een Draytek router als client zodat een nieuw SSID van Radius gebruik kan maken. Gebruikersdatabase is de lokale DS database, geen LDAP.
Ik kan echter geen verbinding krijgen met de wifi clients. Username en password geef ik op, maar vervolgens kan er geen verbinding worden gemaakt.
Weet iemand hoe dit stap voor stap geconfigureerd moet worden, ook op clients (Windows, Android), en hoe dat zit met het te downloaden certificaat ? Het zal geen rocket science zijn, maar ben nu een paar dagen ermee bezig en krijg het niet voor elkaar.

[galaxy69]

Niemand die met Radius experimenteert ??

[Aanbeeld]

Zojuist geïnstalleerd in combinatie met een sitecom 300N router. Instellingen waren in 1 keer goed. Dus werkt perfect. Ideaal als je iemand tijdelijk toegang wil geven, even een LDAP user aan maken en  daarna er weer uit knikkeren.

[Aanbeeld]

Zo heb ik Radius werkend gekregen met een Sitecom 300N Router:

Bij Clients heb ik de router toegevoegd met z'n eigen IP adres (het IP adres dat je gebruikt om je router te configureren.
Subnet 255.255.255.255
en een geheime sleutel gekozen. Deze heb je nodig bij je router.

Bij instellingen heb ik voor LDAP users gekozen, maar kan ook local users. Ligt eraan of LDAP gebruikt of niet. De butten download basis certificaat was bij mij grijs. Komt denk ik omdat ik al SSL certificaten geïnstalleerd heb. ( http://www.struinersunie.nl/Site/index.php/artikelen/45-hands-on/56-gratis-startssl-gecertificeerd-ssl-certificaat-op-uw-synology-diskstation-in-10-stappen )

Als encryption method heb ik WPA Radius op gegeven
WPA type:       WPA 2
Radius server:  IP adres Diskstation
Radius poort:   1812 (is de standaard poort, kan je wijzigen op de radius server)
Radius server passwoord: De geheime sleutel die je eerder hebt opgegeven bij de server.

Instellingen bevestigen en gaan met die banaan.

Omdat ik met mijn telefoon geeg gebruik van Radius kan maken heb ik een tweede SSID gemaakt op mijn Wlan router om daarmee toch op mijn netwerk te kunnen. Is een leuke functie die mijn router heeft. Ook zeer geschikt om tijdelijk gasten toe te laten.

Jeroen

[Nelesss]

Wat ik mij afvraag ik heb dezelfde router die jij hebt. Hoe krijg je het voor elkaar om met een windows pc of laptop te verbinden? Via iPhone en dergelijke werkt het perfect! Alleen via windows krijg ik alleen 'voer wachtwoord in'.

Dus ik mis de optie gebruikersnaam

[Aanbeeld]

Met windows 7 werd daar gewoon naar gevraagd toen ik ging aanmelden.

Als ik naar de eigenschappen van de verbinding ga dan vind ik het volgende:

Tab Beveiliging:
Type:                       WPA2-Enterprise
versleuteling:              AES
methode netwerkverificatie: Microsoft, beveiligde EAP (PEAP)
         Instellingen:
            Serververtificaat valideren:  Ja
            Verbinding maken met deze servers: Ja, en dan de naam of IP van de diskstation.
            verificatiemethode: EAP-MSCHAP v2
geavanceerd:
verificatie modus opgeven:   Ja, gebruikers- of computerverificatie.

Succes ermee.

En ik heb windows en DSM username + wachtwoord identiek.

[Briolet]

Omdat ik met mijn telefoon geen gebruik van Radius kan maken heb ik een tweede SSID gemaakt op mijn Wlan router om daarmee toch op mijn netwerk te kunnen. Is een leuke functie die mijn router heeft. Ook zeer geschikt om tijdelijk gasten toe te laten.

Ik heb gisteren uit nieuwsgierigheid ook dat Radius pakket geïnstalleerd. Een paar dingen waren eerst onduidelijk, maar dat werd alles goed uitgelegd in de help file in DSM zelf. Je kunt LDAP gebruiken, of gewoon de accounts van de nas zelf om op je wifi netwerk in te loggen.

Echter, toen ik naar de cliënten keek bleek mijn laptop wel WPA-business aan te kunnen, maar mijn tablet niet. Dat tablet draait onder Android 2.1. Maar als veel telefoons dat protocol niet ondersteunen, dan wordt het direct minder interessant. En met twee verschillende SSID te gaan werken is een beetje te veel. Ik kan op mijn router wel voor 5.0 MHz een andere SSID aanmaken dan 2.4 maar dan maak je het jezelf nodeloos moeilijk. Ik kan op mijn router zelfs nog een 3e SSID definiëren voor gastgebruik, maar die geeft alleen internet toegang en daar heb je zelf dan niets aan.

EDIT:
Ik wilde het toch even proberen. En het ging in een keer vlekkeloos. In de nas helpfile staat: "Selecteer lokale accounts of LDAP-accounts als verificatiebron voor de RADIUS Server." Dus dat zijn maar twee opties. In het menu zelf staan er drie, maar de derde was grijs. Ook het certificaat importeren was grijs.
Ik heb gekozen voor "Lokale account".
In mijn iBook dan ook wpa2-bedrijf ingesteld en vervolgens mijn nas account en wachtwoord als inlog voor de wifi en ik had direct verbinding. Mooi, maar alleen jammer dat mijn tablet dit niet ondersteund zodat ik het voorlopig niet zal gaan gebruiken.

[GeorgeA]

Ik heb vanavond de RADIUS-server op mijn ds1010+ geïnstalleerd.
Ik kan echter maar één RADIUS-client configureren. Bij het toevoegen van een tweede (met een andere naam natuurlijk) krijg ik de melding dat deze al bestaat. Wat ik ook probeer, ik krijg niet meer dan één client geconfigureerd.

De 'enige' client werkt wel correct. Ik kan keurig het WiFi-netwerk toevoegen en met WPA2-Enterprise (RADIUS) valideren.
Maar ik wil ook mijn 2e WiFi-node als RADIUS client beschikbaar hebben.

Heeft iemand een tip hoe 2 of meer RADIUS client kunnen worden geconfigureerd?

[wimu]

@galaxy69
Heb je je Draytek router nog aan de praat gekregen met de radius server op je synology? Ik heb een VigorAp 800 van Draytek en krijg hem vooralsnog niet toegevoegd aan als radius client.

[Briolet]

Tab Beveiliging:
Type:                       WPA2-Enterprise
versleuteling:              AES
methode netwerkverificatie: Microsoft, beveiligde EAP (PEAP)
         Instellingen:
            Serververtificaat valideren:  Ja
            Verbinding maken met deze servers: Ja, en dan de naam of IP van de diskstation.
            verificatiemethode: EAP-MSCHAP v2
geavanceerd:
verificatie modus opgeven:   Ja, gebruikers- of computerverificatie.

Ik ben vandaag nog eens met de radius server aan de gang gegaan, maar kom er niet goed uit. In de help-file staat:

Door RADIUS Server ondersteunde verificatiemethoden:
PAP, MS-CHAP, PEAP, EAP-MSCHAPv2, EAP-TTLS

Maar in de radius server applicatie zie ik geen enkele methode om de verificatiemethode te selecteren. En de certificaat optie is grijs.

Nu had ik het onlangs werkend op de mac, maar daar had ik gewoon als authenticatie "auto" ingevuld. Het werkte, maar ik had eigenlijk geen idee welke authenticatie gebruikt werd.
Met mijn android tablet lukte het toen niet. Ik dacht dat het niet ondersteund werd omdat er geen WPA2-enterprise gekozen kon worden. Vandaag merkte dat het daar '801.1x EAP' moest selecteren. Maar vervolgens lukte het met geen van de 2-weg verificatiemethoden. Dus ook niet met de "EAP-MSCHAP v2" die Aanbeeld eerder beschrijft.

Kies ik vervolgens 'geen 2-weg verificatie' dan wordt ik direct geauthentiseerd. Maar bij 1-weg authenticatie zend mijn cliënt direct mijn naam en wachtwoord. Dus een vreemde wifi die mijn SSID aanneemt, kan mijn laptop dan simpel verleiden mijn wachtwoord te zenden.

"EAP-MSCHAP v2" is dan een van de veiligste methoden. Hoewel dat ook al kraakbaar is. Een hash van mijn wachtwoord kan achterhaald worden en een goede computer kan daar binnen een paar dagen mijn wachtwoord uit reconstrueren. (Dit is de methode die Ziggo voor zijn Hotspots gaat gebruiken).

Certificaten zou nog beter zijn, maar waarom is die button grijs en ook op mijn android tablet zie in niet zo snel hoe ik zoiets kan toevoegen.

Kortom, hoe stel ik in welke authenticatie gebruikt moet worden. Is dat de server die een methode afdwingt, of ondersteunt de server altijd alle methoden en moet de cliënt zelf voor een zo veilig mogelijke methode kiezen?

[Briolet]

Ik kan echter maar één RADIUS-client configureren. Bij het toevoegen van een tweede (met een andere naam natuurlijk) krijg ik de melding dat deze al bestaat. Wat ik ook probeer, ik krijg niet meer dan één client geconfigureerd.

Geen idee wat daar mis gaat omdat ik nu 3 cliënten (wifi zenders) gedefinieerd heb. 2x mijn airport die in het zelfde subnet als de radius server zelf zitten en 1x mijn Ubee router die in een ander subnet zit en via portforwarding bij de server moet komen.

Het was eigenlijk vrij eenduidig wat je moest invullen als je de help file volgt.

EDIT: Wat je fout gedaan kunt hebben is dat je met de IP mask niet één IP vastlegt, maar een hele range. dus 255.255.255.0 i.p.v. 255.255.255.255  Zou echter geen probleem moeten zijn omdat dan de gehele range één cliënt is en je niet meer nodig hebt. 
Toch heb ik het idee dat dit alles nog in een soort beta stadium hangt.

[Briolet]

Ik heb vandaag nog wat gezocht over de Syno Radius server en vond o.a. dit. Hij heeft ook niets ingesteld en verbond toch direct met zijn i-Phone via een certificaat. Dus blijkbaar hoeft je aan de server kant niets in te stellen en moet de cliënt de authenticatie methode kiezen. Als de cliënt voor een minder veilige kiest is het zijn schuld. 

Dus nog maar eens de 2-way verificatie settings van mijn Android tablet tablet aangepast van geen naar 'EAP-MSCHAP v2' en nu deed hij het wel in één keer. (Ik was gisteren blijkbaar suf en deed iets anders fout)

Via welk protocol mijn laptop authenticeert blijft dan een raadsel, omdat ik alleen 'auto' kan selecteren en de server staat ook op auto. Hij zal met de meest zekere beginnen, maar of dat certificaten zijn weet ik niet omdat het Syno certificaat al lang vanwege andere acties op mijn laptop staat. #

Mijn tablet heeft wel de gehele nacht aan gestaan en in het log van de radius server zag ik dat hij de verbinding elk uur opnieuw authenticeert. Het log laat ook zien via welk wifi punt de verbinding loopt.

# Edit: Ik bedacht me net dat ik mijn Syno certificaat even als onbetrouwbaar kan bestempelen op mijn laptop. Als ik dan inlog krijg ik wel de mededeling dat het Syno certificaat niet vertrouwd is en of ik toch wil doorgaan. Dus inderdaad  werken certificaten ook vanzelf als de Syno al voor andere zaken een certificaat gebruikt.

Wel met een kleine kanttekening. Origineel stond bij mijn certificaat settings er dat hij het certificaat altijd voor SSL acties mocht gebruiken. Nu staat daar dat hij voor EAP (Extensible authentication) altijd te vertrouwen is. De SSL toepassing is nog geblokkeerd. Blijkbaar is EAP beter omdat hij daar eerder voor kiest.

[Briolet]

Mijn 3e Wifi had onverwachte problemen die ik niet kan verklaren maar nu wel opgelost zijn.

Mijn setup
1:Ubee (router)  -->  2:Airport (router) --> 3:Airport (bridge).

1&3 had ik getest, maar 2 kon niet via de radius server verbinden. De reden bleek te zijn dat hij zich met zijn WAN-IP meldt. Heel vreemd en mijn Radius setup en nas firewall was hier natuurlijk niet op voorbereid.

In de Radius Server kun je een client naam definiëren en een bijbehorende IP. Ik heb dus de WAN en LAN kant van WiFi nr 2 voor een test als verschillende cliënten aangemaakt en toen verbond hij wel, en in het log vond ik dat hij met de WAN-clënt verbonden is. Iets wat volkomen onlogisch is voor mij.
De Ubee verbind gelukkig met de LAN kant, anders zou ik daar een variabel publiek IP moeten gebruiken.

Vreemd omdat diezelfde airport bij het schijven naar het syslog wel zijn LAN IP gebruikt. Ik heb dus geen idee of dit fenomeen aan de dubbele router constructie ligt of dat hij altijd de WAN-IP aan een radius server doorgeeft. In elk geval een tip voor anderen met problemen.