Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Captive Portal unterstützt keine EAP-TTLS Verschlüsselung

    Deutsch
    3
    7
    3610
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      supiarmando last edited by

      Wir haben ein CP eingerichtet und möchten nun über´s Internet einen externen Radiusserver als Userdatenbank benutzten. Zur Verschlüsselung gibt es aber keine Einstellungen unter Services>CaptivePortal zur Auswahl der Verschlüsselung. Was machen wir falsch? Gibt es eine Konfigurationsmöglichkeit auf Shellebene?
      Danke für die Mühen!

      1 Reply Last reply Reply Quote 0
      • E
        eazydor last edited by

        EAP-TLS selbst verschlüsselt keine Nutzdaten. Lediglich ein sichere Authentifizierung ist darüber möglich.

        oder TTLS. Fast dasselbe, lediglich getunnelt &  nur serverseitigen Zertifikaten.

        1 Reply Last reply Reply Quote 0
        • E
          eazydor last edited by

          für eap-ttls via (free)radius (via packages):

          http://blog.vannuil.com/2008/10/wpa2-enterprise.html

          1 Reply Last reply Reply Quote 0
          • S
            supiarmando last edited by

            Danke eazydor für die Antworten.

            Vielleicht habe ich mich unklar ausgedrückt oder ich habe einfach überhaupt keine Ahnung.

            Wir möchten nicht pfsense als Radius-Server benutzten, sondern es gibt bereits einen externen Radius-Server in unserer Firma, welchen wir benutzten müssen.

            Die Eintragung mit den Standard Web-GUI Möglicheiten funktioniert, wenn wir die externe IP 76.x.x.x eintragen (dies ist ausserhalb unseres LANs). Doch wir sind der Meinung, dass die Client2Server Standard-Übertragung (sozusagen übers gesamte Internet) zu unsicher ist. (Unsere Benutzernamen ermöglichen Zugang zu sehr empfindlichen Kundendaten)

            Wie können wir nun pfsense (als NAS - bzw. als Radius-Client) so konfigurieren, dass die Anmeldung am externen Radius-Server mittels EAP-TTLS also mit Tunnel funktioniert? Darüber finde ich nirgends etwas.

            Danke für die Mühen

            1 Reply Last reply Reply Quote 0
            • E
              eazydor last edited by

              Hierbei kann ich leider nicht helfen, weil dafür sind Änderungen am bestehenden Radius-Server nötig. D.h. unter Captive Portal / Authentication den externen Radiusserver inkl. entsprechender Konfiguration angeben. Da ich aber nicht weiß welchen Radiusserver, z.b. FreeRADIUS, OpenRADUIS oder natives Gedöns a la MS IAS oder Cisco-Standards, du benutzt, geschweige denn deine Konfiguration kenne, muss ich hier leider passen. Vielleicht im Forum des Herstellers deiner Radius-Software nachschauen, wie du den bestehenden Server entsprechend konfigurieren kannst.

              N.B: Denk' dran, EAP ist ein Authentifizierungsverfahren und sichert selbst keine Nutzdaten.

              1 Reply Last reply Reply Quote 0
              • S
                supiarmando last edited by

                Hallo eazydor,
                der externe adius ist schon fix und fertig konfiguriert. Aber wenn ich nun diesen im Web-gui der pfsense eintrage (IP, Port und Secret) dann sollte ich doch auch bei der pfsense ein entsprechendes Authentifizierungsverfahren angeben, richtig? Das ist das einzige was ich versuche einzustellen. Hast Du hierzu einen Tipp?

                "N.B: Denk' dran, EAP ist ein Authentifizierungsverfahren und sichert selbst keine Nutzdaten." Was genau möchtest Du damit mir sagen? Haben wir im Aufbau einen Denkfehler?

                Liebe Grüsse

                1 Reply Last reply Reply Quote 0
                • B
                  bandun last edited by

                  Spät ist besser als Gar nichts.

                  EAP ist lediglich ein Protokoll zur Authentifizierung. Es überträgt Nutzernamen und Passwörter im Klartext, deshalb kommt es in diversen Varianten zum Einsatz. Zum Beispiel mit TLS oder TTLS. Diese sorgen für die Verschlüsselung der übertragenden Daten.

                  Zwischen dem Radius-Server und dem Authenticator (pfSense) wird nur das EAP-Protokoll eingesetzt. In diesem sind dann TLS oder TTLS oder sonstige Formate gekapselt, die die Verschlüsselung implementieren. Daher benötigt pfSense bei der Authentifizierung mit einem Radius-Server nur die Angaben für EAP. Also IP, Port und  Shared-Key um sich beim Radius-Server zu authentifizieren. Alles andere wie Zertifikate werden nur zwischen Client und Radius-Server ausgetauscht. pfSense dient da nur als Mittelsmann.

                  Um das Verfahren besser verstehen zu können folgende Seiten sehr hilfreich.
                  http://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X-und-Radius-979513.html
                  http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post

                  Products

                  • Platform Overview
                  • TNSR
                  • pfSense Plus
                  • Appliances

                  Services

                  • Training
                  • Professional Services

                  Support

                  • Subscription Plans
                  • Contact Support
                  • Product Lifecycle
                  • Documentation

                  News

                  • Media Coverage
                  • Press
                  • Events

                  Resources

                  • Blog
                  • FAQ
                  • Find a Partner
                  • Resource Library
                  • Security Information

                  Company

                  • About Us
                  • Careers
                  • Partners
                  • Contact Us
                  • Legal
                  Our Mission

                  We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                  Subscribe to our Newsletter

                  Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                  © 2021 Rubicon Communications, LLC | Privacy Policy