Radius Radius Server mit Zertifikat

[Zigster]

Hallo Forum,

bisher habe ich den Synology DS776+II Radius Server in Verbindung mit meinem OpenWRT Router mit allen Endgeräten (Windows, Android) nutzen können (Client: Ohne Server-Zertifikat-Validierung).

Setup:
Endgerät <--> OpenWrt Router <--> Synology Diskstation Radius Server

Nun habe ich ein Google Pixel 4a mit Android 11, in dem Googel bereits die Nichtvalidierung des Serverzertifikats in Android deaktivert hat und dadurch die Server-Zertifikatsvalisierung verpflichtend ist.

Auf der Synology Diskstation ist ein selbst-signiertes Zertifikat vorhanden. Ich habe schon das Zertifikat exportiert (pem -> crt umbenannt) und auf dem Pixel installiert (wird als trusted angezeigt)

Im Endgerät-Client ist in der Wifi Config als Domain der Aussteller (CN) eingetragen, aber die Wifi Verbindung kann nicht hergestellt werden.

Im Radius-Server Log wird der Versuch vermerkt mit:
Login incorrect (eap_peap: TLS Alert read:fatal:unknown CA) ...

Hat jemand ähnliche Probleme und kann mit einer detaillierten Lösung helfen?

Danke dafür!!

Zigster

 

[NSFH]

In allen APs die ich irgendwo betreibe läuft auch im LAN Radius, aber das Zertifikat wird nur von den APs abgefragt/zur Verfügung gestellt. Dort ist es hinterlegt.

 

[MasterJM]

Hi, konntest du das Problem lösen? Ich habe das gleiche, ein User, dessen Handy diese Einstellung nicht mehr bietet.
Danke, Gruß

 

[adsid]

hallo

hat jemand hier ein Lösung gefunden oder eine Anleitung wie man das Zertifikat erstellen und verknüpfen kann.

gruss

 

[MasterJM]

Moin,
hast du mittlerweile eine Lösung für das Problem gefunden?
Beste Grüße

 

[Zigster]

Ja, aktuell funktioniert mein Radius Server auf der DS in Verbindung mit meinem Router und Radius Clients, die ein Zertifikat erfordern:

Vorgehensweise:

0. Synology->Radius Server->Einstellungen ----> Anmerkung: Zertifikat -> Exportieren --> zip öffnen syno-ca-cert.pem umbennen: syno-ca-cert.crt
1.1 auf DS716 /homes/admin/syno-ca-cert.crt
1. syno-ca-cert.crt an das Smartphone (oder welches Endgerät auch immer das Zertifikat für einen Radius authentifizierten Client benötigt) senden (email)
2. Zertifikat installieren (WLAN-Zertifikat) -> beliebigen Namen vergeben
3. WLAN Settings des Clients:
4. Type: WPA2/WPA3 ...
5. EAP: PEAP
6. Phase 2 Auth: MS-CHAP V2
7. CA Zertifikat: Name von 2. verwenden
8. Online Zert: Nicht validieren ODER Zertifikatsstatus anfordern (ausprobieren was funktioniert)
9. Domain: ds716plus2 (Subject Alternative Name (SubjectAltName) des im Zertifikat zu 0. angegeben ist, bei mir ist das der Domainname des Synology NAS)
10. Identität: <Benutzername>
11. Anonyme Identität: <DIESES_FELD_LEER_LASSEN>
12. Passwort: <BenutzerPasswort>

Benutzername und Passwort sind die Angaben des jeweiligen Benutzers auf dem Synology NAS, das kann ein allgemeiner Nutzer sein, oder je nach Anwendungsfall eben eine Person als Benutzer. Die Einstwellung hierzu findet sich in den Radius-Server-Einstellungen des Synology NAS.

Wichtig: Der Radius-Client (in diesem Fall der WLAN-Router bzw. AP) muss als erlaubter Client in der Liste der Clients im Radius Server des Synology NAS hinterlegt sein, sonst lehnt der Server die Verbindung ab.

Ansonsten hilft es immer das Radius-Server-Log zu prüfen und auch das Log auf dem WLAN-Router/AP auf Fehler zu prüfen.

Ich hoffe, dass die kleine Anleitung hilfreich ist und viel Erfolg

Zigster