搭建802.1X服务器及如何使用路由器接入和桥接(WDS)

已于 2023-11-13 09:58:38 修改
阅读量4k 收藏 39
点赞数 8
分类专栏: openwrt 文章标签: 802.1X WDS openwrt
于 2019-08-22 10:26:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/let_he_write/article/details/100007849
版权

本文说明了以下几个内容:
1、如何使用freeradius(在自己电脑上,linux系统)搭建802.1X认证服务器
2、如何将路由器A(openwrt系统)作为client连接上述服务器
3、如何使用路由器B(openwrt系统)的WDS功能桥接步骤2中的路由器A(的2.4GWiFi)
注:第2、3步需要登录路由器系统(串口或ssh都可以),结构图如下:

一、使用freeradius(在自己电脑上)搭建802.1x认证服务器

参考https://blog.csdn.net/cao849861802/article/details/80486232

1.下载地址
https://www.samba.org/ftp/talloc/talloc-2.17.tar.gz
ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-3.0.19.tar.gz
下载的压缩包的名字为: talloc-2.1.7.tar.gz 和freeradius-server-3.0.19.tar.gz;

2.安装软件
先安装talloc-2.1.7.tar.gz再安装freeradius-server-3.0.17.tar.gz
安装步骤两个都一样,先解压,解压后会有两个各自的文件夹。
(1)到目录talloc-2.1.7下

./configure
make
sudo make install

(2)到目录freeradius-server-3.0.19下

./configure
make
sudo make install

3.添加用户

cd /usr/local/etc/raddb/
vim users

若不能打开文件夹,请用root身份(打开文件夹后)运行终端。
在打开文件后,在文件的开始位置添加内容如下:

admin Cleartext-Password := "test"

目的是添加一个新的用户,用户名为admin,密钥为test,后面在连接路由器A时需要用到。

4.运行服务器

sudo radiusd -X

这里的X为大写。正确运行时显示:

Listening on auth address 127.0.0.1 port 18120 bound to server inner-tunnel
Listening on auth address * port 1812 bound to server default
Listening on acct address * port 1813 bound to server default
Listening on auth address :: port 1812 bound to server default
Listening on acct address :: port 1813 bound to server default
Listening on proxy address * port 53365
Listening on proxy address :: port 43960
Ready to process requests

表示服务端处于监听状态,等待客户端发送信息。如需停止服务,按下CTRL+C。

5.测试
启动服务器后,再打开另一个终端进行操作,在新终端下输入命令:

radtest admin test localhost 1812 testing1234

(命令说明:radtest为测试指令 admin test 为用户名和密钥 localhost为client.conf里client localhost的地址,可以用127.0.0.1代替,1812为端口 testing1234为client.conf里localhost下的密钥)
测试成功时显示:

Sent Access-Request Id 238 from 0.0.0.0:51723 to 127.0.0.1:1812 length 75
User-Name = “admin”
User-Password = “test”
NAS-IP-Address = 127.0.1.1
NAS-Port = 1812
Message-Authenticator = 0x00
Cleartext-Password = “test”
Received Access-Accept Id 238 from 127.0.0.1:1812 to 127.0.0.1:51723 length 20

6.添加客户端

cd /usr/local/etc/raddb/
vim clients.conf

注释掉localhost的部分,添加(或修改):

client NETGEAR{                  #client后的名称随便写
         ipv4addr = 192.168.4.1  #client的IP,即路由器A的IP
         secret   = testing123   #路由器A连接服务器的密钥
}
二、将我们路由器A作为client连接上述服务器

说明:此时路由器A连外网,服务器(自己电脑,IP:192.168.4.23)连接路由器A的LAN口,并且连接路由器串口。服务器处于运行状态(指令radiusd -X,出现Ready to process requests)

1.将路由器的wpad版本从mini版更换至完整版
然后编译并将镜像烧录至路由器A。
没有源码的请找其他资源以完成此步骤。

2.修改wireless配置以使用802.1X协议
(若路由器没有双频的5G,建议先做第三部分的第1步,并未测试)
使用串口工具(如minicom)或ssh登录,连接路由器A

vi etc/config/wireless

修改其中的2.4G主人网络的部分:
将encryption后的值改为 wpa2
添加一行option server 192.168.4.23
将key后的值改为testing123

修改后的部分如下:

config wifi-iface                                          
        option device   radio0                             
        option ifname   wlan0                              
        option network  lan                                
        option mode     ap                                 
        option ssid     “9670-2.4G-CT”      
        option encryption 'wpa2'              #修改报文类型          
        option server '192.168.4.23'          #radius服务器的IP地址        
        option key 'testing123'               #前面clients.conf中设置的密钥   
        option isolate '0'                                 
        option hidden '0'                                  
        option macfilter   disable                 
        option macfile   /etc/wlan-file/wlan0.allow
        option group 1                     
        option netisolate 0                
        option disable_input 0                     
        option wps_pushbutton '1'                  
        option wps_label '0'                       
        option rps_cpus 2

3.使用指令重启路由器A

/etc/init.d/network restart

若使用手机连接该WiFi(9670-2.4G-CT),则相关设置为:

EAP方法:PEAP
阶段2身份验证:无
CA证书:未指定
身份:admin
匿名身份:
密码:test

其中身份密码由服务器的users文件确定。
至此,802.1X的客户端(即路由器A)已完成设置。

三、使用路由器B的WDS功能级连路由器A

说明:电脑用串口连接路由器B,路由器B和A之间不用网线连接

1.先使用路由器B的WDS功能桥接任意一个非802.1X认证的WIFI(建议桥接路由器A的5G,在这里我选择是这个桥接,其他的没有测试),注意一定要成功。(启用WDS功能可能需要修改多个文件,我没有深入,所以直接使用Web界面使路由器B启用WDS功能)

2.配置路由器B
使用串口连接路由器B

vim etc/config/wireless

修改最后一部分:
删除option key 一行
将encryption后的值改为wpa2
添加option identity ‘admin’
option password ‘test’
option eap_type ‘peap’
option auth ‘MSCHAPV2’
将device后的内容改为radio0
删除option bssid一行
将option ssid后的值改为WDS桥接(主路由A)的WiFi名称
其中,identity、password为users文件的身份和密码。
修改后的部分如下:

config wifi-iface        
       option ifname 'sfi0'
       option network 'wwan'
       option encryption 'wpa2'
       option identity 'admin'
       option password 'test'
       option eap_type 'peap'
       option auth 'MSCHAPV2'            
       option device 'radio0' 
       option mode 'sta'
       option ssid '9670-2.4G-CT'
       option rps_cpus '2'

3.通过wireless文件第二部分的bssid、encryption、key等修改路由器B(作为次路由器桥接后网络)的相关设置。此时手机等可以通过路由器B的2.4Gwifi进行上网。

4.至此,桥接完成。802.1X的认证由路由器B来完成,其发出信号已类似无需802.1X认证的信号,手机端不再出现输入身份及密码等内容的界面。若直接连接路由器A的wifi,需要输入身份和密码。

let_he_write
关注
  • 8
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
802.1X Radius 服务器搭建
EIP的专栏
09-06 1万+
本文描述了一个802.1X Radius 服务器搭建的实例及802.1x的一些基本概念
802.1x环境搭建
12-10
802.1X 服务器搭建和交换机配置。 802.1X协议作为局域网一种普遍的端口接入控制机制在以太网中被广泛应用,主要用以解决网络的认证问题。802.1X 认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就 “打开” 这个端口, 允许所有的报文通过; 如果认证不成功就使这个端口保持 “关闭” ,此时只允许 802.1X 的认证报文 EAPOL 通过。
搭建基于AD和IAS的802.1X无线认证系统
weixin_33701617的博客
06-23 447
最近实施了一个楼宇室内无线覆盖项目,在无线用户认证上客户希望采用他们已经配置好的AD帐号,最终决定采用AD+IAS的802.1x认证方案,现在把配置过程记录下来。 整个楼宇一共使用了50多个瘦AP,基本实现了全面覆盖,这些AP由无线控制器统一管理。 其他方面的配置这里不多说,主要介绍认证方面的配置。 一、认证架构 1、 当无线客户端在AP的覆盖区域内,就会发现...
【NPS】微软NPS配置802.1x,验证域账号,动态分配VLAN(WLC篇)
最新发布
u012153104的博客
05-24 785
距离上一篇已经过去了近两周了,因为工作原因一直没有来得及更新在WLC上的设置,接下来我们来看一下如何在 Cisco Catalyst 9800-L Wireless Controller上配置,去使用之前配置的NPS。
802.1X认证服务器搭建软件WinRadius
11-21
802.1X认证服务器搭建软件WinRadius 802.1X认证服务器搭建软件WinRadius 802.1X认证服务器搭建软件WinRadius 方便的要死!省时间!
802.1x认证服务器和客户端
12-14
radius软件,TekRADIUS 客户端是xclient
802.1x(dot1x)
wsy的浮生
08-04 988
802.1x学习
如何给路由器桥接设置?路由器桥接的解决办法
10-01
- `bridge 1 protocol ieee` 和 `bridge 1 route ip`:启用IEEE 802.1D桥接协议,并配置桥接路由。 5. **注意事项** - 确保所有设备的固件都是最新的,以支持桥接功能。 - 在设置过程中,避免使用与主路由器相同...
tl-wr541g无线路由器的无线桥接的应用.docx
12-16
3. 配置从属路由器(无线路由器B、C、D):关闭DHCP服务器,修改LAN口IP地址为192.168.1.X(各设备IP需不同),启用Bridge功能,写入主路由器A的MAC地址,保持SSID和频段与主路由器一致。 4. 安放路由器:根据信号...
无线路由器WDS功能介绍.doc
09-14
3. **配置无线路由器B、C、D**:这些作为从路由器,应关闭DHCP服务器,将LAN口IP地址更改为192.168.1.X(每个路由器的IP需不同)。同样启用Bridge功能,填入无线路由器A的MAC地址,并保持SSID和频道与A一致。 4. **...
路由器在iptv中使用.doc
07-12
以上内容详细介绍了家用路由器在IPTV环境下的使用,包括路由器的基本概念、设置步骤以及在实现IPTV业务时的各种接入方法,帮助用户更好地理解和配置家庭网络环境,确保IPTV和其他网络服务的顺畅运行。
WLAN 802.1X认证-服务器详细配置指导书
10-15
WLAN 802.1X认证采用证书认证详细配置指导书
TP-Link TL-WR742N WDS桥接设置
11-23
2. **A路由器作为宽带接入点,B、C路由器桥接**: - **步骤1:设置A路由器** - A路由器保持默认设置,作为网络接入点。 - **步骤2:设置B路由器** - 连接到A路由器,启用WDS,设置与A路由器相同的SSID和信道,...
802.x无线认证服务器,无线802.1X认证
weixin_29556943的博客
08-08 885
【设备】配置AP上线参数,实现AP接入网络后自动上线。如果AC与AP间是三层网络,需要在DHCP服务器上配置option 43字段,在字段内填入AC的IP地址用于通告AP,使AP能够发现AC。在系统视图执行命令ip pool ip-pool-name进入IP地址池视图。执行命令option 43 sub-option 2 ip-address AC-ip-address&<1-8&g...
linux下的freeradius(802.1x)服务器搭建总结
cao849861802的博客
05-28 8426
1.下载压缩包http://freeradius.orghttps://www.samba.org/ftp/talloc/talloc-2.17.tar.gz 下载的压缩包的名字为: talloc-2.1.7.tar.gz 和freeradius-server-3.0.15.tar.gz;2.安装软件先安装talloc-2.1.7.tar.gz再安装freeradius-server-3.0.17...
[技术分享]使用Windows Server 2003 R2构建的IAS(Internet验证服务)做RADIUS服务器,为无线AP提供802.1X认证和交换机端口802.1X认证
u011832462的博客
09-10 2812
目录 需求简介: 准备环境: 开始安装: 安装Windows Server 2003 R2 安装域控制器: 安装Internet信息服务 安装证书服务 安装Internet验证服务 配置服务器: 新建用户和加组: 对证书服务 器的配置: Internet验证服务的配置: 实机测试RADIUS服务器使用思科无线AP-CAP-3602i来验证效果: 使用优倍快(UBNT)Unifi UAP-AC-LR来验证效果: 思科交换机WS-C2950-24验证效果: RADIUS日
华为无线WiFi配置802.1x认证
VEGETA的博客
03-13 4860
华为无线AC搭配Windows NPS的802.1x认证模式。
无线服务器软件,关于无线802.1x结合各服务器软件的配置总结
weixin_27605509的博客
08-02 430
关于无线802.1X结合各服务器的配置总结一、组网需求:随着无线在各业务应用逐渐增多,客户对无线安全的要求亦越高。目前的Portal认证,已难满足现在安全需求,特别是金融、证券等行业。而现在二层认证,较为安全为802.11i的WPA/WPA2对应802.1x方式。但由于其客户端、服务器设置较为麻烦,经常出错。以下特总结,无线802.1x结合各服务器的配置,以方便此类型应用的指导。二、组网图:802...
AAA Radius方案基于远程服务器认证(802.1X)实验
网工路上的垫脚石
11-08 410
通常我们的网络设备支持本地认证功能,但是考虑同意管理以及设备性能等综合考虑可能会单独设置一个认证服务,下面我将演示在H3C网络设备中如何设置远程认证服务器,其中以802.1X协议进行演示。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值