Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Ubuntu 22.04 wpa_supplicant, WPA Enterprise, PEAP, TLSv1.2 und alte freeradius-Server
9 views
Skip to first unread message
Enrik Berkhan
May 4, 2022, 5:13:04 PM5/4/22
to
Moin,
wie neulich schon in einer Nachbargruppe angedeutet, kann man mit Ubuntu
22.04 einige WPA Enterprise Installation nicht mehr verwenden, weil
deren PEAP Implementierungen TLSv1.2 (immer) noch nicht unterstützen.
Insbesondere ist das der Fall, wenn sie (uralte) freeradius Server vor
Version 3 verwenden. Das ist z.B. bei Unifi-Systemen und dem
mitgelieferten freeradius der Fall, zumindest auf USG-3P Routern.
Ich habe mir das mal vorgenommen und eine Interims-Lösung gefunden:
https://gist.github.com/enrikb/651489eeace61985e50179cb6ad99f97
Funktioniert erstmal mit allen Clients hier im Haushalt. Kann aber
natürlich alle möglichen Fehler enthalten. Ein aktueller RADIUS-Server
wäre in jedem Fall vorzuziehen.
Nichtsdestotrotz: vielleicht hilft's ja jemandem.
Gruß,
Enrik
wie neulich schon in einer Nachbargruppe angedeutet, kann man mit Ubuntu
22.04 einige WPA Enterprise Installation nicht mehr verwenden, weil
deren PEAP Implementierungen TLSv1.2 (immer) noch nicht unterstützen.
Insbesondere ist das der Fall, wenn sie (uralte) freeradius Server vor
Version 3 verwenden. Das ist z.B. bei Unifi-Systemen und dem
mitgelieferten freeradius der Fall, zumindest auf USG-3P Routern.
Ich habe mir das mal vorgenommen und eine Interims-Lösung gefunden:
https://gist.github.com/enrikb/651489eeace61985e50179cb6ad99f97
Funktioniert erstmal mit allen Clients hier im Haushalt. Kann aber
natürlich alle möglichen Fehler enthalten. Ein aktueller RADIUS-Server
wäre in jedem Fall vorzuziehen.
Nichtsdestotrotz: vielleicht hilft's ja jemandem.
Gruß,
Enrik
Marco Moock
May 6, 2022, 12:33:45 AM5/6/22
to
Am Mittwoch, 04. Mai 2022, um 20:52:21 Uhr schrieb Enrik Berkhan:
> Insbesondere ist das der Fall, wenn sie (uralte) freeradius Server vor
> Version 3 verwenden. Das ist z.B. bei Unifi-Systemen und dem
> mitgelieferten freeradius der Fall, zumindest auf USG-3P Routern.
Ist das bei der neuesten Firmware für diese Geräte noch immer der Fall?
> Insbesondere ist das der Fall, wenn sie (uralte) freeradius Server vor
> Version 3 verwenden. Das ist z.B. bei Unifi-Systemen und dem
> mitgelieferten freeradius der Fall, zumindest auf USG-3P Routern.
Wenn ja wäre das schon ein Schandfleck.
Enrik Berkhan
May 6, 2022, 2:53:06 AM5/6/22
to
Debian wheezy und das freeradius binary ist tatsächlich von 2012 ;-)
# ls -l /usr/sbin/freeradius
-rwxr-xr-x 1 root root 301216 Dec 16 2012 /usr/sbin/freeradius
Den mitgelieferten freeradius überhaupt zu verwenden ist natürlich reine
Bequemlichkeit. Man kann die Benutzer übers Webinterface verwalten. Wenn
man also keine andere Benutzerdatenbank irgendwo hat, ist das ganz nett.
Andererseits bekommt man vermutlich nicht mal ein individuelles
Zertifikat mit eigenem private key fürs TLS im PEAP, wenn man nicht
manuell nachbessert.
Gruß,
Enrik
0 new messages