Toggle sidebar

Radius Radius Server mit Zertifikat

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Z

Zigster

Benutzer
Registriert
31. Aug. 2012
Beiträge
60
Reaktionspunkte
1
Punkte
8
Hallo Forum,

bisher habe ich den Synology DS776+II Radius Server in Verbindung mit meinem OpenWRT Router mit allen Endgeräten (Windows, Android) nutzen können (Client: Ohne Server-Zertifikat-Validierung).

Setup:
Endgerät <--> OpenWrt Router <--> Synology Diskstation Radius Server

Nun habe ich ein Google Pixel 4a mit Android 11, in dem Googel bereits die Nichtvalidierung des Serverzertifikats in Android deaktivert hat und dadurch die Server-Zertifikatsvalisierung verpflichtend ist.

Auf der Synology Diskstation ist ein selbst-signiertes Zertifikat vorhanden. Ich habe schon das Zertifikat exportiert (pem -> crt umbenannt) und auf dem Pixel installiert (wird als trusted angezeigt)

Im Endgerät-Client ist in der Wifi Config als Domain der Aussteller (CN) eingetragen, aber die Wifi Verbindung kann nicht hergestellt werden.

Im Radius-Server Log wird der Versuch vermerkt mit:
Login incorrect (eap_peap: TLS Alert read:fatal:unknown CA) ...

Hat jemand ähnliche Probleme und kann mit einer detaillierten Lösung helfen?

Danke dafür!!

Zigster
 
In allen APs die ich irgendwo betreibe läuft auch im LAN Radius, aber das Zertifikat wird nur von den APs abgefragt/zur Verfügung gestellt. Dort ist es hinterlegt.
 
Hi, konntest du das Problem lösen? Ich habe das gleiche, ein User, dessen Handy diese Einstellung nicht mehr bietet.
Danke, Gruß
 
hallo

hat jemand hier ein Lösung gefunden oder eine Anleitung wie man das Zertifikat erstellen und verknüpfen kann.

gruss
 
Moin,
hast du mittlerweile eine Lösung für das Problem gefunden?
Beste Grüße
 
Zuletzt bearbeitet von einem Moderator:
Ja, aktuell funktioniert mein Radius Server auf der DS in Verbindung mit meinem Router und Radius Clients, die ein Zertifikat erfordern:

Vorgehensweise:

0. Synology->Radius Server->Einstellungen ----> Anmerkung: Zertifikat -> Exportieren --> zip öffnen syno-ca-cert.pem umbennen: syno-ca-cert.crt
1.1 auf DS716 /homes/admin/syno-ca-cert.crt
1. syno-ca-cert.crt an das Smartphone (oder welches Endgerät auch immer das Zertifikat für einen Radius authentifizierten Client benötigt) senden (email)
2. Zertifikat installieren (WLAN-Zertifikat) -> beliebigen Namen vergeben
3. WLAN Settings des Clients:
4. Type: WPA2/WPA3 ...
5. EAP: PEAP
6. Phase 2 Auth: MS-CHAP V2
7. CA Zertifikat: Name von 2. verwenden
8. Online Zert: Nicht validieren ODER Zertifikatsstatus anfordern (ausprobieren was funktioniert)
9. Domain: ds716plus2 (Subject Alternative Name (SubjectAltName) des im Zertifikat zu 0. angegeben ist, bei mir ist das der Domainname des Synology NAS)
10. Identität: <Benutzername>
11. Anonyme Identität: <DIESES_FELD_LEER_LASSEN>
12. Passwort: <BenutzerPasswort>

Benutzername und Passwort sind die Angaben des jeweiligen Benutzers auf dem Synology NAS, das kann ein allgemeiner Nutzer sein, oder je nach Anwendungsfall eben eine Person als Benutzer. Die Einstwellung hierzu findet sich in den Radius-Server-Einstellungen des Synology NAS.

Wichtig: Der Radius-Client (in diesem Fall der WLAN-Router bzw. AP) muss als erlaubter Client in der Liste der Clients im Radius Server des Synology NAS hinterlegt sein, sonst lehnt der Server die Verbindung ab.

Ansonsten hilft es immer das Radius-Server-Log zu prüfen und auch das Log auf dem WLAN-Router/AP auf Fehler zu prüfen.

Ich hoffe, dass die kleine Anleitung hilfreich ist und viel Erfolg

Zigster
 
  • Like
Reaktionen: MasterJM

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten