Sicheres WLAN mit PEAP und WPA2-Enterprise

Bei mir zu Hause werkelt noch eine uralte (meine erste) Fritzbox als Accesspoint. Alles andere ist inzwischen modernisiert worden.

Die Firewall (Sohos UTMv9) läuft virtuell und der Switch ist ein stromsparender D-LINK Eco Switch der im Gegensatz zu seinem Vorgänger (HP 2524) zwar nicht mehr managebar ist, aber deutlich weniger Strom verbraucht und Gigabit hat.

Letzte Woche ist mir dann aufgefallen, wie elend langsam das alte WLAN eigentlich ist. Also musste mal etwas neues her!

Nach kurzer Überlegung kam ich darauf, das ganze „richtig“ zu machen und auch ein Gäste WLAN einzurichten (wir hatten gerade Besuch aus den USA, und irgendwann nervte es, auf allen Geräten den 64 Zeichen langen Schlüssel einzugeben…..).

Da ich keine Lust mehr hatte, regelmäßig den Key zu ändern und das auf allen Geräten einzutragen sollte es RADIUS Authentifizierung sein. Die Anforderungen waren also:

  • ein reiner Accesspoint
  • wenn möglich POE
  • mindestens b/g/n Standard
  • WPA2 Enterprise
  • MULTI SSID mit VLANs

Wie sich die meisten denken können, waren die ersten Treffer bei meiner Suche Cisco, Linksys und Lancom. Alles etwas zu teuer mit >150€ pro Accesspoint.

Schließlich stieß ich dann auf TP-Link. Der AP meiner Wahl kostet 45€ und hatte fast nur gute Rezensionen. Das Beste daran: der POE Adapter war kostenlos dabei!

 

Also fix beim großen Fluß bestellt und da war er:

mein TP-Link TL-WA901ND Advanced.

 

Damit wären die Hardwarevoraussetzungen schonmal erledigt. Jetzt ging es an die Software. Da ich schon eine Enterprise PKI betreibe, musste ich auf meinem Domaincontroller nur noch die Network Policy and Access Services – Rolle nachinstallieren.

 

 

Anschließend stellt der NPS einen sehr schönen Wizard bereit, um alles „Schlüsselfertig“ einzurichten.

 

Klickt auf den NPS und wählt „RADIUS server for 802.1X Wireless or Wired Connections“ aus. Anschließend klickt ihr auf „Configure 802.1X“

 

 

Im nächsten Schritt wählen wir „Secure Wireless Connections“

 

 

Nun fügt eure RADIUS Clients (also die Accesspoints) hinzu. Wichtig ist dabei die IP und das Shared Secret:

 

Im nächsten Schritt müsst ihr die EAP Methode wählen – wir nehmen MS PEAP

Als letztes muss eine Domaingruppe von Usern und / oder Computern definiert werden die sich verbinden darf:

 

Das war’s – fast: als letztes müssen wir den NPS Server registrieren:

Dazu klickt ihr mit rechts auf den NPS-Server und wählt „Register server in Active Directory“

Nun können wir uns unserem Accesspoint zuwenden. Im Menü wählt ihr „Wireless Settings“ um zu den WLAN Einstellungen zu kommen.

Als „Operation Mode“ möchten wir gerne Multi-SSID benutzen. Hier legen wir dann unsere SSIDs an:

(Die VLANs sind hier nicht nicht aktiviert, das kommt in einem anderen Artikel)

 

Jetzt wechseln wir in den Menüpunkt „Wireless Security“ und wählen die SSID für Radius Authentifizierung aus dem Dropdown Menü.

Angeben müssen wir die Version WPA2 die Encryption Automatic sowie den Radius Server und das Radius Passwort (Shared Secret aus dem Wizard):

 

Für die Gäste-SSID bleibe ich weiterhin bei WPA2-Personal, aber mit einem kurzen Schlüssel, der sich öfters ändert:

 

Um meine internen Systeme zu schützen wird das Gäste-WLAN ein eigenes VLAN bekommen das nur mit dem Internet kommunizieren darf.

Euer System ist jetzt einsatzbereit und ihr könnt euch unter Angabe des Domain-Usernamens und des Passwortes verbinden.

In einem weiteren Artikel beschreiben ich, wie man mit Gruppenrichtlinien die Clients dazu bewegt sich mit Single-Sign-On transparent anzumelden, wie man Blackberrys mit dem WLAN verbindet und das Gäste-WLAN abschirmt.