Configure wpa_supplicant.conf para SSID Oculto usando WPA2 / PEAP / MS-CHAPv2

2

Aqui, os detalhes, eu também tenho a cadeia de certificados CA instalada na máquina

1 - SSID oculto (sem difusão)

2 - O protocolo de autenticação usado é o PEAP, que é um protocolo de nome de usuário e senha.

3 - O nome de usuário e a senha são transmitidos entre o cliente e o servidor de autenticação (RADIUS) por meio de uma sessão criptografada por SSL.

ambiente de 4 a 3 camadas da CA.

Root (offline), intermediário (offline) e 2 certificados de CA de emissão (online)

Os certificados SSL reais nos servidores de autenticação (RADIUS) serão provenientes de duas CAs emissoras. Isso permite que uma sessão SSL confiável seja estabelecida para passar o nome de usuário e a senha.

5 - Suporte do MS-CHAPv2

Meu arquivo wpa_suplicant.conf:

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=wheel
ap_scan=1    # This is to make sure that we get the hidden SSID
update_config=1

network={
  priority=1
  mode=0
  scan_ssid=1                   
  ssid="FILTERED"
  proto=RSN                # WPA2/IEEE 802.11i
  key_mgmt=WPA-EAP         # WPA using EAP authentication
  eap=PEAP                     
  group=CCMP TKIP          # CCMP AES in Counter mode with CBC-MAC
  pairwise=CCMP TKIP       # TKIP = Temporal Key Integrity Protocol
  #phase1="peaplabel=1"
  phase2="auth=MSCHAPV2"
  identity="FILTERED"      # Identity string for EAP
  password="FILTERED"
  ca_cert="/etc/cert/CACertChain/CA1CertChain.pem"
}

Como posso determinar o que falhou?

bssid=34:XX:XX:XX:XX:02
ssid=FILTERED
id=0
pairwise_cipher=CCMP
group_cipher=TKIP
key_mgmt=WPA2/IEEE 802.1X/EAP
wpa_state=ASSOCIATED
ip_address=0.0.0.0
Supplicant PAE state=AUTHENTICATING
suppPortStatus=Unauthorized
EAP state=IDLE
> status  
bssid=34:XX:XX:XX:XX:02
ssid=pmwproc
id=0
pairwise_cipher=CCMP
group_cipher=TKIP
key_mgmt=WPA2/IEEE 802.1X/EAP
wpa_state=ASSOCIATED
ip_address=0.0.0.0
Supplicant PAE state=CONNECTING
suppPortStatus=Unauthorized
EAP state=IDLE
> status
bssid=34:XX:XX:XX:XX:02
ssid=FILTERED
id=0
pairwise_cipher=CCMP
group_cipher=TKIP
key_mgmt=WPA2/IEEE 802.1X/EAP
wpa_state=ASSOCIATED
ip_address=0.0.0.0
Supplicant PAE state=CONNECTING
suppPortStatus=Unauthorized
EAP state=IDLE
> <2>CTRL-EVENT-EAP-FAILURE EAP authentication failed
<1>Setting authentication timeout: 2 sec 0 usec
<2>Authentication with 34:XX:XX:XX:XX:02 timed out.
<1>Setting scan request: 0 sec 0 usec
<2>CTRL-EVENT-DISCONNECTED - Disconnect event - remove keys
    
por zabumba 04.12.2013 / 17:11

1 resposta

3

Eu sei que isso não é 'o Anwser', e também um pouco tarde - Mas é grande para um comentário. Talvez isso ajude ...

Minha configuração não estava errada, demorou muito para conectar e causou um tempo limite, definindo valores explícitos e acelerando a autenticação no tempo. Tente fazer isso com eapol_flags e eap, tente desabilitar eap_workaround ou fast_reauth.

Veja como eu fiz isso com meu AP:

Primeiro, a transmissão ativada temporária e conectada e o status ficou assim:

# wpa_cli status
Selected interface 'wlanN'
bssid=XX:XX:XX:XX:XX:XX
ssid=MYHIDDENAP
id=0
mode=station
pairwise_cipher=CCMP
group_cipher=CCMP
key_mgmt=WPA2-PSK
wpa_state=COMPLETED
ip_address=NNN.NNN.NNN.NNN
address=XX:XX:XX:XX:XX:XX

Transmissão desativada e adaptei a configuração com base nesses valores, no meu caso:

# /etc/network/interfaces
auto wlanN
iface wlanN inet dhcp
        wpa-ssid MYHIDDENAP
        wpa-psk af20956209c382340d48ee1a34826c9da80734512e96b7b546d7d1d64f36ee3a
        wpa-pairwise CCMP
        wpa-group CCMP
        wpa-key-mgmt WPA-PSK
        # with this values i had to play, see 'man wpa_supplicant.conf'
        wpa-ap-scan 1
        wpa-scan-ssid 1
        wpa-proto RSN
    
por 28.06.2014 / 01:02