Crea perfiles WLAN con autenticación RADIUS en el Edimax APC500

Crea perfiles WLAN con autenticación RADIUS en el Edimax APC500

Sergio De Luz

Cuando normalmente configuramos WPA y WPA2 Enterprise, siempre tenemos que indicar un servidor RADIUS dentro de la red, en el caso de los AP Edimax ya llevan uno incorporado, sin embargo, el controlador Wi-Fi Edimax APC500 también incorpora un servidor RADIUS interno que podremos usar para autenticar a los clientes inalámbricos. En este manual os vamos a enseñar cómo configurar el servidor RADIUS integrado y desplegar la configuración en los puntos de acceso dados de alta en el APC500 y utilizarlo para autenticar a los clientes. Descubre cómo modificar nombre de red WiFi del router.

Lo primero que debemos hacer es entrar en el controlador inalámbrico Edimax APC500 con su IP específica y también con los credenciales que hayamos configurado anteriormente.

En la sección «NMS Settings» es donde deberemos configurar todos los parámetros relacionados con el servidor RADIUS así como aplicar estas configuraciones al resto de puntos de acceso de la organización. Debemos tener en cuenta que la autenticación vía RADIUS se puede realizar por SSID, es decir, un punto de acceso puede tener 2 SSID, el primero de ellos puede usar una clave WPA2-PSK y el segundo WPA2-EAP. De esta forma, dependiendo del SSID donde nos conectemos, nos pedirá un tipo de credenciales u otros.

Paso 1: Configuración del servidor RADIUS (externo o interno)

Si pinchamos en la pestaña «RADIUS» veremos que podremos configurar un servidor RADIUS externo (que esté dentro de nuestra organización), y también un servidor RADIUS interno, el que incorpora el propio controlador inalámbrico. En este menú también podremos dar de alta los diferentes credenciales de usuario e incluso dar de alta un grupo RADIUS para posteriormente aplicarlo a los diferentes puntos de acceso dados de alta.

apc500_wifi_radius_1

Si pinchamos en «Add» en la parte de «External RADIUS Server» veremos la configuración típica que podremos utilizar si tenemos un servidor RADIUS externo. Deberemos definir un nombre, descripción, la IP del servidor junto al puerto y también el secreto compartido (la clave de acceso).

apc500_wifi_radius_2

Si pinchamos en «Add» en la parte de «Internal RADIUS Server» veremos la configuración típica que podremos utilizar si tenemos un servidor RADIUS interno. Lo primero que veremos es la posibilidad de subir un certificado EAP para utilizarlo en el RADIUS, este paso es opcional si el método de autenticación utilizado es PEAP ya que el propio APC500 lo genera automáticamente, sin embargo, si usamos TLS sí necesitaremos subir dicho certificado ya que de lo contrario nos dará un error.

apc500_wifi_radius_3

En la siguiente captura se puede ver cómo hemos configurado nosotros el servidor RADIUS, vamos a usar autenticación PEAP para los clientes, aunque también tenemos la opción de elegir TLS:

apc500_wifi_radius_4

Si elegimos autenticación TLS y no subimos un certificado EAP veremos que nos saldrá un error, indicando que deberemos subir un certificado EAP para poder utilizar el servidor RADIUS.

apc500_wifi_radius_5

Una vez que hemos creado un servidor RADIUS en el Edimax APC500, veremos que en la pantalla principal de RADIUS hemos dado de alta «RadiusEdimax». Este servidor RADIUS es el que usaremos posteriormente en los puntos de acceso para autenticar a los clientes inalámbricos.

apc500_wifi_radius_6

Paso 2: Dar de alta a los diferentes usuarios en el servidor RADIUS interno

Si pinchamos en «Add» en la parte «RADIUS Accounts» podremos crear todos los usuarios que necesitemos para autenticar a todos los clientes inalámbricos. Lo primero que deberemos hacer es escribir el nombre de dichos usuarios de la siguiente forma: «sergio, redeszone, adslzone» y pinchar en «Add», automáticamente se nos bajarán al menú inferior, en este menú indicaremos la contraseña de acceso de cada uno de estos usuarios y también una descripción. Por último, si queremos dar de baja a un usuario, simplemente pinchamos en «Delete».

Una vez que hemos dado de alta o de baja a los usuarios, pinchamos en «Apply» para aplicar los cambios.

apc500_wifi_radius_7

Cuando hayamos configurado nuestro RADIUS y hayamos dado de alta a los usuarios, podremos crear un grupo RADIUS que será el que después aplicaremos en los diferentes puntos de acceso de la organización. Lo primero que tenemos que hacer es dar un nombre identificativo a este grupo RADIUS y también una breve descripción. A continuación podremos elegir con qué servidor RADIUS autenticar a los clientes inalámbricos tanto de la banda de 2.4GHz como de 5GHz, además, el Edimax APC500 nos permite usar un servidor RADIUS secundario para que en caso de que el primero falle o no tenga los credenciales introducidos, poder usar el segundo.

Por último, deberemos elegir qué credenciales de usuario queremos permitir que se utilicen en este grupo RADIUS que vamos a aplicar a los AP o a un grupo de AP. Cuando hayamos terminado, pinchamos en «Apply» para aplicar los cambios.

apc500_wifi_radius_8

Una vez que hemos configurado el servidor RADIUS, los diferentes clientes que se pueden autenticar y también el grupo RADIUS, el menú que veremos tendrá un aspecto similar a este:

apc500_wifi_radius_9

Paso 3: Aplicar la autenticación RADIUS a los SSID dados de alta

Una vez que hemos configurado el RADIUS, nos deberemos ir a la sección «Guest Network» o «WLAN» y editar los SSID que queremos que utilice la autenticación WPA-EAP. Nosotros hemos aplicado esta autenticación RADIUS en un SSID de la red Wi-Fi de invitados, cambiaremos la autenticación WPA2-PSK por WPA2-EAP.

apc500_wifi_radius_10

En la configuración del SSID deberemos poner los siguientes datos para que la autenticación se realice vía RADIUS interno que hemos configurado:

  • Authentication Method: WPA-EAP
  • WPA Type: WPA2-EAP
  • Encryption Type: AES
  • Key Renewal Interval: 60 minutes

El Edimax PAC500 también nos permite también realizar filtrado MAC, esto es recomendable siempre que sepamos qué clientes inalámbricos vamos a conectar.

apc500_wifi_radius_11

Una vez configurado el SSID «RedesZone_Invitados_5GHz» en la pantalla principal veremos que la autenticación ahora es WPA2 en lugar de WPA2-PSK. En ambos casos el cifrado siempre es AES ya que es el único seguro.

apc500_wifi_radius_12

Paso 4: Desplegar la configuración RADIUS a los puntos de acceso o grupos de AP

El último paso que debemos hacer es irnos a la sección «NMS Settings» a la pestaña de «Access Point«. En esta parte deberemos configurar cada punto de acceso o grupos de AP que queremos que utilicen la autenticación RADIUS. Aunque un AP determinado tenga varios SSID (algunos con PSK y otros con RADIUS) es necesario hacerlo para permitir que ese AP o grupos de AP usen el RADIUS del Edimax APC500.

apc500_wifi_radius_13

Paso 5: Verificación de la autenticación EAP-PEAP con un terminal Android

Una vez que tenemos todo configurado y hemos reiniciado el punto de acceso, si pinchamos en la red Wi-Fi configurada con autenticación EAP veremos que en nuestro terminal nos salen más opciones y además se ponen de forma predeterminada:

  • Método EAP: PEAP

apc500_wifi_radius_14

A continuación podemos especificar el certificado CA del que hablamos anteriormente y el cual es recomendable crearlo y usarlo. En nuestro ejemplo no hemos utilizado un certificado por lo que lo dejaremos en blanco.

En «Identidad» deberemos introducir el nombre de usuario dado de alta en el servidor RADIUS, y en «Contraseña» la contraseña fijada de dicho usuario. Una vez que hayamos introducido los credenciales del usuario pinchamos en «Conectar» y automáticamente veremos cómo nuestro terminal se conecta correctamente con el punto de acceso Wi-Fi y tendremos conexión a la red.

Hasta aquí hemos llegado con este manual de cómo configurar el servidor RADIUS en el Edimax APC500 y aplicar esta configuración a diferentes puntos de acceso y diferentes redes Wi-Fi (SSID) con autenticación WPA2-EAP y protocolo PEAP.

Os recomendamos acceder a nuestra página dedicada de análisis del fabricante Edimax donde encontraréis los productos probados hasta el momento, también podéis acceder a la sección Edimax Smart Life donde encontraréis manuales de configuración y guías de cómo utilizar sus equipos.

¡Sé el primero en comentar!