Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Freeradius2

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 4 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      esquire1968
      last edited by

      Hallo!

      Hätte mal eine Verständisfrage zu Freeradius.

      Wenn ich einen Client (zB ein iPhone) verbinde werde ich nach Benutzername und Kennwort gefragt. Danach wird das Zertifikat angezeigt - sobald ich diesem vertraue steht die Verbindung.

      So weit - so gut. Ich war allerdings der Meinung es muss bevor die Verbindung hergestellt werden kann bereits ein Zertifikat auf dem Client installiert sein. Jetzt bekommt ja jeder der Benutzername/Passwort kennt automatisch den Zugang. Wo ist da der Sinn des Zertifikates.

      Verstehe ich da was falsch oder habe ich nur nicht die richtigen Einstellungen.

      Danke voarb.

      Beste Grüße
      Thomas

      1 Reply Last reply Reply Quote 0
      • T
        twoxx
        last edited by

        @esquire1968:

        Hallo!

        Hätte mal eine Verständisfrage zu Freeradius.

        Wenn ich einen Client (zB ein iPhone) verbinde werde ich nach Benutzername und Kennwort gefragt. Danach wird das Zertifikat angezeigt - sobald ich diesem vertraue steht die Verbindung.

        So weit - so gut. Ich war allerdings der Meinung es muss bevor die Verbindung hergestellt werden kann bereits ein Zertifikat auf dem Client installiert sein. Jetzt bekommt ja jeder der Benutzername/Passwort kennt automatisch den Zugang. Wo ist da der Sinn des Zertifikates.

        Verstehe ich da was falsch oder habe ich nur nicht die richtigen Einstellungen.

        Danke voarb.

        Hallo Thomas,

        ich kann Dir da leider nicht weiterhelfen, aber ich versuche derzeit genau den Effekt den Du hier beschreibst zu erreichen.

        Ich möchte EAP-TLS mit Zertifikat verwenden, OHNE das zuvor auf dem Client ein Zertifikat installiert werden muß.

        Wie ich Deine Konfiguration, damit das so funktioniert?

        Beste Grüße
        Thomas

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          So weit - so gut. Ich war allerdings der Meinung es muss bevor die Verbindung hergestellt werden kann bereits ein Zertifikat auf dem Client installiert sein. Jetzt bekommt ja jeder der Benutzername/Passwort kennt automatisch den Zugang. Wo ist da der Sinn des Zertifikates.

          Der Sinn des Zertifikates besteht im zweiten Faktor. Ich denke mal es geht um OpenVPN? Da geht es darum, dass zusätzlich zu User und Passwort ein Angreifer auch das Client Zertifikat abgreifen müsste um Zugriff auf das VPN zu erlangen. Ohne das Zertifikatsfile ist also User/Pass als Kombination nicht ausreichend. Umgekehrt kann ein Client mittels CRL dann via seinem Zertifikat gesperrt werden, sollte er das File aus den Händen gegeben haben o.ä.

          Das Zertifikat ist ja mit der Kopie auf das iPhone darauf "installiert". Hättest du es nicht, würde das VPN nicht funktionieren. Wo soll es denn nun noch installiert werden? Und natürlich erhält man dann MIT Zertifikat und User/Pass Zugriff, so soll es ja sein :)

          Grüße

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • E
            esquire1968
            last edited by

            @twoxx:

            Bezüglich der Konfiguration habe ich mich im Wesentlichen an die verfügbaren Anleitungen gehalten.

            1. Ein Server Cert erstellen;
            2. Alle erforderlichen User angelegt;
            3. Den/Die Accesspoints unter Clients angelegt;
            4. Unter Interface die IP der pfSense mit Port 1812 aktiviert;
            5. Unter EAP das erstellte Cert auswählen.

            Das wars. Wenn Du Details brauchst, schicke mir eine PN.

            @JeGr

            Danke für Deine Erläuterungen. Es geht nicht um OpenVPN sondern um den Zugriff auf das Netzwerk via lokalem WLAN.

            Jeder der eine gültige User/Password Kombi kennt (und dem Zertifikat vertraut) erhält Zugriff.

            Ich war der Meinung, dass ich zusätzlich zur User/Password Kombi auch noch ein bereits installiertes Zertifikat haben muss. Dem ist jedoch nicht so.

            Ich denke, das wäre doch sinnvoll.

            LG
            Thomas

            1 Reply Last reply Reply Quote 0
            • M
              Marvho
              last edited by

              Hallo,

              ich weiß nicht ob es dazu passt, jedoch ist es beim iPhone so, dass du das Server-Zertifikat an sich nicht installieren kannst.
              Du kannst es nur installieren indem du beim ersten Connect dem Zertifikat vertraust, sonst nicht. (Außer du hast diese Firmen Suite von Apple)

              Wobei man beim Android Handy ohne dem Server-Zertifikat überhaupt nicht connecten kann, zumindest ging es bei mir erst als ich es als WLAN-Cert installiert und ausgewählt hatte.

              Gruß

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.