Beschreibung:
Dieses Dokument beschreibt die Vorgehensweise zur Einrichtung einer zertifikatsbasierten WLAN-Verbindung (802.1x), bei welcher die Authentifizierung zwischen WLAN-Client und LANCOM Access Point über das Extensible Authentication Protocol (EAP) und dem Authentifizierungsverfahren Transport Layer Security (TLS) durchgeführt wird. TLS ist ein gängiges (und seit Windows XP unterstütztes) Verfahren, bei dem Server und Client Zertifikate austauschen.
Bei der EAP-basierten Authentifizierung muss immer ein RADIUS-Server verwendet werden, welcher als Authentifizierungs-Server fungiert. Da alle LANCOM Access Points und WLAN-Router über einen integrierten RADIUS-Server verfügen, wird ihn diesem Dokument der RADIUS-Server des LANCOM Access Points als Authentifizierungs-Server verwendet, das heisst, der Access Point ist sowohl Authenticator als auch Authentifizierungs-Server.
WPA/802.1x wird häufig auch als WPA-Enterprise bezeichnet.


Voraussetzungen:
  • aktuelle LCOS-Firmware (download)
  • aktuelle LANtools (download)
  • gültige X.509 Zertifikate
    • Ab der LCOS Version 9.10 können Zertifikate auch direkt auf einem LANCOM Router erstellt werden.
      Eine Anleitung finden Sie in folgendem Knowledgebase-Dokument .


Szenario:




Beispiel-Zertifikate:
In diesem Konfigurations-Beispiel wird jeweils ein eigenes x509-Zertifikat für das RADIUS-Modul des Access Point
(LANCOM_Router.p12) und ein eigenes x509-Zertifikat für den WLAN-Client (LANCOM_Client.p12) verwendet.
Beide Zertifikate besitzen eine Gültigkeit von 10 Jahren.
Das in den Beispiel-Zertifikaten verwendete Passwort lautet lancom.


LANCOM_Router.p12 LANCOM_Client.p12



Konfigurationsschritte auf dem LANCOM Access Point:
1. Öffnen Sie die Konfiguration des LANCOM Access Point in LANconfig und wechseln Sie in das Menü Wireless LAN → Physikalische WLAN-Einstellungen.
2. Aktivieren Sie das WLAN-Interface in der Registerkarte Betrieb.

Alle weiteren Einstellungen für das physikalische WLAN-Interface belassen wir in diesem Beispiel bei den Standardeinstellungen. Sie können diese aber Ihren Anforderungen entsprechend verändern.

3. Klicken Sie auf OK um die Einstellungen zu übernehmen.

4. Wechseln Sie in das Menü Konfiguration -> Wireless LAN -> Logische WLAN-Einstellungen -> WLAN-Netzwerk 1.
5. Aktivieren Sie das logische WLAN-Netzwerk 1 und vergeben Sie im Feld Netzwerk-Name (SSID) einen eindeutigen Namen für das Wireless Netzwerk. In diesem Beispiel wird der Name eap-test verwendet.
6. Klicken Sie auf OK um die Einstellungen zu übernehmen.
7. Wechseln Sie in das Menü Wireless LAN → 802.11i/WEP → WPA- /Einzel-WEP-Einstellungen.
8. Öffnen Sie in der Liste den Eintrag für das Wireless Netzwerk 1.
9. Stellen Sie im Feld Methode/Schlüs.-1-Typ den Wert 802.11i(WPA)-802.1x ein.
10. Das Feld Schlüssel 1/Passphrase darf keinen Eintrag enthalten.
11. Klicken Sie auf OK um die Einstellungen zu übernehmen.
12. Wechseln Sie in das Menü Konfiguration -> Wireless LAN -> 802.1x -> RADIUS-Server...
13. Klicken Sie auf die Schaltfläche Default-Server.
14. Geben Sie im folgenden Dialog als Server IP-Adresse die interne Hostadresse des LANCOM Access Point, der als RADIUS-Server fungiert, ein (127.0.0.1). Im Feld Server-Port muss der Authentifizierungs-Port des internen RADIUS-Servers eingetragen werden (1.812).

Wenn Sie als Server-IP-Adresse die interne Hostadresse des RADIUS-Servers verwenden, darf keine Absender-Adresse verwendet werden (siehe Screenshot).

15. Klicken Sie auf OK um die Einstellungen zu übernehmen.
16. Wechseln Sie in das Menü RADIUS-Server → Allgemein.
17. Tragen Sie den Wert für den Authentifizierungs-Port des internen RADIUS-Servers ein (1.812).
18. Wechseln Sie auf die Registerkarte EAP.
19. Stellen Sie im Auswahlfeld Default-Methode den Wert TLS ein.
20. Klicken Sie auf OK um die Einstellungen zu übernehmen und in den LANCOM Access Point zurück zu schreiben.
21. Führen Sie in LANconfig einen rechten Mausklick auf dem LANCOM Access Point aus und wählen Sie die Option Konfigurations-Verwaltung → Zertifikat als Datei hochladen.
22. Wählen Sie im folgenden Dialog die Zertifikats-Datei für den LANCOM Access Point aus. In diesem Beispiel wird die Datei LANCOM_Router.p12 verwendet.
23. Wählen Sie im Auswahlfeld Zertifikattyp die Einstellung EAP/TLS - Container als PKCS#12-Datei aus.
24. Geben Sie im Feld Passwort das Passwort des Zertifikates ein. In diesem Beispiel lautet das Passwort lancom.
25. Klicken Sie auf Öffnen um das Zertifikat in den LANCOM Access Point zu laden.
26. Die Konfigurationsschritte auf dem LANCOM Access Point sind damit abgeschlossen.
Sie können sich das Zertifikat, welches Sie in den LANCOM Access Point geladen haben, ansehen, indem Sie eine Telnet- oder SSH-Sitzung auf dem LANCOM Access Point starten und an der Eingabeaufforderung den Befehl show eap eingeben (ab LCOS 10.70 heißt dieser Befehl show eaptls).


Konfigurationsschritte auf dem WLAN-Client:
Importieren des Client-Zertifikates in Windows:
1. Führen Sie einen doppelten Mausklick auf der Client-Zertifikatsdatei aus. In unserem Beispiel wird die Datei LANCOM_Client.p12 verwendet.
2. Klicken Sie auf Weiter.
3. Übernehmen Sie den eingestellten Pfad zur Client-Zertifikatsdatei und klicken Sie auf Weiter.
4. Geben Sie das Kennwort ein, mit welchem der private Schlüssel des Zertifikates geschützt ist. Bei unserem Beispiel-Zertifikat lautet das Kennwort lancom.
5. Belassen Sie die Einstellung bei Zertifikatspeicher automatisch auswählen und klicken Sie auf Weiter.
6. Klicken Sie auf Fertig stellen um den Zertifikats-Import abzuschließen.
7. Bestätigen Sie die folgende Sicherheitswarnung mit Ja.
8. Der erfolgreiche Zertifikats-Import wird mit einer Meldung angezeigt.



Einrichten der WLAN-Verbindung in Windows 7 und Windows 8:
1. Öffnen Sie den Verwaltungsdialog für Drahtlosnetzwerke und klicken Sie auf Hinzufügen.
2. Wählen Sie im nächsten Fenster die Option Ein Netzwerkprofil manuell erstellen.
3. Im Feld Netzwerkname müssen Sie den Namen eap-test eingeben. Die Werte für Sicherheitstyp und Verschlüsselungstyp müssen auf WPA2-Enterprise und AES eingestellt werden. Klicken Sie dann auf Weiter.
4. Im nächsten Fenster müssen Sie auf Verbindungseinstellungen ändern klicken.
5. Wechseln Sie im Eigenschaften-Dialog auf die Registerkarte Sicherheit.
6. Wählen Sie als Methode für die Netzwerkauthentifizierung Microsoft: Smartcard- oder anderes Zertifikat aus.
7. Klicken Sie anschließend auf die Schaltfläche Eigenschaften.
8. Aktivieren Sie die Option Serverzertifikat überprüfen und wählen Sie als vertrauenswürdige Stammzertifizierungsstelle CA-LANCOM aus.
9. Klicken Sie auf OK um die Einstellungen zu übernehmen. Mit einem weiteren Klick auf OK im Eigenschaften-Fenster wird die Einrichtung der WLAN-Verbindung zum Netzwerk eap-test abgeschlossen. Die Konfigurationsschritte sind damit abgeschlossen.