これ大丈夫?
数年前から箪笥の肥やしとなっていたルーター。
WPA2 Enterprise AES で認証のテスト用に2000円で買ったやつで、今も2000円。
大丈夫かと思ったのは、少し前の日本メーカー(台湾製)は、TKIP でそれなりだったのですがAESでは遅くて使えなかった。今回は、Raspi4 ubuntu server 20.04.1 LTS + FreeRadius3.0.20 で確認しました。クライアントは、簡単にテストするため iOS14 にプロファイルを組み込んでみました。
ルータは、固定IPを変更してセキュリティーに WPA2 エンタープライズを選んだら Radius の設定が現れた。パスワードとRADIUSのIPを設定して完了。
日本製のルータは、ブリッジモードで使う場合は同じセグメントにRadiusが無ければならずしかもwan側に接続と言うややこしい仕様でした。TP-Linkのこのルータは、書いて無いけど、LAN側にしか繋げ無ければブリッジモードで動くようで、とても重宝する仕様でした。
iPhone をオンにするだけでAESで接続された。
そうこれがやりたっかたのです。Raspberry pi 4 に Ubuntu server 20.0.4.1 LTS 64bit を入れて始めたのですが、まさかの FreeRadius が起動しない。
freeradius -XC で起動スクリプトのテストを行うと最後でエラーがでます。
tls: Failed reading certificate file “/etc/freeradius/3.0/certs/srvcert.pem”: error:140AB18F:SSL routines:SSL_CTX_use_certificate:ee key too small
rlm_eap_tls: Failed initializing SSL context
rlm_eap (EAP): Failed to initialise rlm_eap_tls
/etc/freeradius/3.0/mods-enabled/eap[14]: Instantiation failed for module “eap”
キーの長さは 1024bitから2048bitになっている時代なのでそうなのかも知れませんが
これは、debianが妙に強度に拘っているようですね。なので、raspi4 の Ubuntu であっても DNA は継承されてしまっていて動きません。
中々検索にヒットしません。
こちらが正解。
同じ話題のコピーが出回っておりますが、このWEBが唯一の解決策です。
ubuntu では、 /usr/ssl/openssl.cnf を変更しました。一応
$ openssl version -d とかやると
OPENSSLDIR: “/usr/lib/ssl” とでるのでopenssl.cnf のリンク先も確認してから変更です。先頭に書けと書いてあるので、
openssl_conf = default_conf
[ default_conf ]
ssl_conf = ssl_sect
[ssl_sect]
system_default = system_default_sect
[system_default_sect]
MinProtocol = TLSv1.2
CipherString = DEFAULT:@SECLEVEL=1
今度は、
# freeradius -XC
— snip —
}
listen {
type = “auth”
ipaddr = 127.0.0.1
port = 18120
}
Configuration appears to be OK
と出ればOKです。
users に testing Cleartext-Password := testing123 を書いて
$ radtest testing testing123 127.0.0.1 0 testing123
— snip —
NAS-Port = 0
Message-Authenticator = 0x00
Cleartext-Password = “testing123”
Received Access-Accept Id 234 from 127.0.0.1:1812 to 127.0.0.1:52032 length 20
となればOK。あとは、 client.conf に無線LANの認証情報を書くだけです。
めでたく、 WPA2 Enterprise AES で接続できたのでした。
コメント