Как настроить беспроводную сеть WPA/WPA2 с аутентификацией RADIUS с помощью CIITIX-WiFi

Предисловие

Для дополнительных материалов и поддержки посетите http://ciitix.ciit.net.pk и форумы проекта. Этот документ — краткое руководство по настройке беспроводной сети с WPA/WPA2 и аутентификацией через RADIUS. Руководство охватывает базовые сценарии; оно не исчерпывает всех возможностей, но при наличии базовых сетевых навыков позволит развернуть решение быстро. Знание Linux не требуется: большинство шагов подробно описано и проиллюстрировано скриншотами.

Команда, создавшая CIITIX-WiFi, ориентировалась на turnkey-решение — минимум ручной сборки и настройки баз данных. Проект в момент написания находится на стадии начального релиза (последняя версия — v1.1). Этот материал создан как практический ввод для тех, кто хочет опробовать аутентификацию RADIUS для Wi‑Fi.

Что такое RADIUS в двух словах

RADIUS — это протокол сетевой аутентификации и учёта, который используется для централизованного управления доступом к сетевым ресурсам. В контексте Wi‑Fi он обычно применяется вместе с WPA/WPA2 Enterprise (802.1X) для проверки подлинности пользователей.

Требования перед началом

1. Скачайте ISO-образ CIITIX-WiFi и подготовьте его для установки; ссылки на загрузку: http://ciitix.ciit.net.pk.

2. Наличие точки доступа или беспроводного маршрутизатора, поддерживающего настройку WPA/WPA2 Enterprise (часто обозначается как WPA2-Enterprise или 802.1X).

3. Базовые навыки работы в сетях и с компьютером; оборудование для установки CIITIX-WiFi.

ПК для установки не должен быть высокопроизводительным, но при развертывании в критичной среде лучше использовать новое оборудование или виртуальную машину.

Пример оборудования, использованного в этом руководстве: VMWare ESXi, 1 vCPU, 4 ГБ виртуального диска, 768 МБ RAM. В простое система потребляет минимум ресурсов. Подойдёт любое оборудование на базе Pentium III и новее.

Подход к установке — краткий план

1. Записать ISO на CD/DVD или создать загрузочный USB.
2. Загрузиться с носителя и пройти установку системы (включая разметку диска и создание учетных записей).
3. Установить загрузчик и перезагрузить систему.
4. Настроить сетевые параметры и RADIUS/FreeRADIUS через веб-интерфейс CIITIX-WiFi (если присутствует) или через конфигурационные файлы.
5. Настроить точку доступа для использования RADIUS-сервера и протестировать подключение клиента.

Начало установки

Запишите ISO на диск и загрузитесь с CD. Убедитесь, что на жёстком диске нет важной информации — установка уничтожит все данные на выбранном диске.

1. После загрузки вы увидите начальный экран; выберите ‘Start GUI Install’ и нажмите Enter.

2. На следующем экране выберите язык установки.

3. Выберите географический регион.

4. Настройте имя хоста системы; по умолчанию используется debian — можно оставить, если не уверены.

5. Настройте системные часы и временную зону.

6. Разметьте диск: выберите Guided — use entire disk (Руководимый режим — использовать весь диск).

7. Выберите физический диск для установки.

8. Выберите All files in one partition (Все файлы в одной раздел).

9. Завершите разметку и примените изменения, выбрав Finish partitioning and write changes to disk.

10. Подтвердите действие — это уничтожит все данные на диске.

11. Ожидайте завершения установки.

12. Укажите имена пользователей и пароли для администрирования. Обязательно запомните root-пароль.

13. Подтвердите установку загрузчика GRUB на диск.

14. Установка завершена.

Базовые последующие шаги после установки

• Настройте сетевой интерфейс сервера (статический IP для RADIUS-сервера предпочтителен).
• Установите и/или проверьте конфигурацию FreeRADIUS (если CIITIX-WiFi использует его внутренне).
• Создайте пользователей/учётные записи или настройте интеграцию с внешней базой (LDAP/AD) при необходимости.
• На точке доступа укажите IP-адрес RADIUS-сервера, общий секрет (shared secret) и таймаут/порт (обычно 1812).

Важно: храните shared secret в безопасном месте и используйте сложные пароли для администраторов.

Как проверить работу (быстрые тесты)

1. На точке доступа укажите настройки RADIUS (IP сервера, порт 1812, shared secret).
2. На клиенте выберите WPA2 Enterprise / 802.1X, введите учётные данные пользователя и попытайтесь подключиться.
3. Проверьте логи RADIUS на сервере (обычно /var/log/freeradius/radius.log или аналог) — ищите успешные/ошибочные запросы.
4. Если клиент не подключается, посмотрите логи точки доступа для ошибок аутентификации и ошибки таймаута.

Типичные ошибки и способы их решения

• Неправильный shared secret: совпадение секретов на AP и сервере обязательно.
• Неправильные часы на сервере или клиенте: синхронизируйте время (NTP).
• Неверная конфигурация сертификатов (если используется EAP-TLS): проверьте цепочку сертификатов и доверенные CA.
• AP недоступен по сети для RADIUS-запросов: проверьте маршрутизацию и firewall.

Альтернативные подходы (когда RADIUS не нужен)

• WPA2-PSK (Pre-shared Key) — проще в настройке, но не годится для больших сетей и управления учётными записями.
• Управляемые облачные Wi‑Fi (Cisco Meraki, Aruba Cloud) — предлагают централизованный контроль и упрощённую администрирование, но стоят дороже.
• Использование внешнего FreeRADIUS на отдельном сервере с интеграцией AD/LDAP для единой аутентификации.

Контрольные списки по ролям

Установщик

• Подготовить ISO и загрузочный носитель.
• Разметить диск и завершить установку.
• Установить статический IP и проверить доступность сервера по SSH.

Сетевой администратор

• Настроить и проверить FreeRADIUS.
• Создать пользователей или интегрировать LDAP/AD.
• Настроить точки доступа и проверить подключение клиентов.

Helpdesk / Поддержка

• Подготовить инструкции для пользователей по подключению (тип EAP, требуемые сертификаты).
• Проверять логи при обращениях пользователей и эскалировать проблемы.

Мини‑методология развертывания (четыре шага)

1. Планирование: определить количество пользователей, требования к безопасности и список точек доступа.
2. Тестирование: разворачивайте тестовую сеть с одним AP и несколькими клиентами, проверяйте сценарии (EAP‑TTLS, PEAP, EAP‑TLS).
3. Поэтапный запуск: подключайте участки сети постепенно, мониторьте вопросы поддержки.
4. Мониторинг и поддержка: настройте сбор логов и оповещений о сбоях аутентификации.

Короткий глоссарий (1‑строчные определения)

• RADIUS: протокол централизованной аутентификации и учёта сетей.
• WPA2 Enterprise: режим Wi‑Fi с 802.1X и централизованной аутентификацией.
• Shared secret: общий секрет между AP и RADIUS для шифрования запросов.
• EAP: Extensible Authentication Protocol — набор методов для аутентификации в сети.

Меры безопасности и рекомендации

• Используйте WPA2 Enterprise (или WPA3 Enterprise, если доступно) вместо PSK.
• Применяйте сложные пароли и ротацию shared secret при необходимости.
• Защитите сервер (файрволл, минимальные сервисы, регулярные обновления).
• Если используются сертификаты, организуйте централизованное управление и отзыв.

Важно: не храните пароли в открытом виде и ограничьте доступ к административным интерфейсам по IP.

Когда этот метод не подходит

• Небольшие домашние сети и малые офисы, где проще использовать WPA2-PSK.
• Сценарии, где нет ресурсов для поддержки инфраструктуры RADIUS.

Краткое резюме

• CIITIX-WiFi позволяет быстро установить сервер для аутентификации RADIUS и обеспечить WPA/WPA2 Enterprise.
• Важны корректная настройка сетевых параметров, времени и секретов между AP и сервером.
• Проведите тестирование на ограниченном участке перед массовым развёртыванием.

Важно: Перед установкой сделайте резервную копию данных и документируйте все пароли и секреты в безопасном месте.