2016年11月19日 星期六

PfSense 免費多功能虛擬防火墻 安裝教學

(1) 進入Pfsense網頁https://pfsense.org/download/

(2) 下載Pfsense ISO檔案
(3) 把ISO檔案燒錄到USB隨身碟(參看如何把ISO檔案燒錄到USB隨身碟)

(4) 把隨身碟裝到PC上然後進入BIOS設定USB啓動

(5) 進入安裝的第一畫面 -》輸入"I"進行安裝
(6) 不需要進行什麼設定修改 -》選 Accept these settings
(7) 進行快速安裝 - 》選 Quick/Easy Install
(8) 提示快速安裝不會出現什麼疑問跟資料會全部移除 -》選 OK
(9) 安裝完成 -》選 Reboot 重啓電腦
(10) 進如第一個設定畫面,看到電腦捉到2塊網卡,先判定那塊網卡是使用對外的(WAN)那塊是對內的(LAN)
               第一個問題是是否設定VLAN,我們這裡沒有需要時用到VLAN -》輸入 N
(11) 第二個問題是設定對外的網卡(WAN)是那一張 - 》輸入網卡名稱
(12) 第三個問題是設定對內的網卡(LAN)是那一張 - 》輸入網卡名稱
(13) 回答是否要儲存設定 -》輸入 Yes
(14) 在內網某台電腦進入Pfsense做設定
         預設Pfsense管理頁面https://192.168.1.1
         預設帳號:admin   預設密碼:pfsense



2016年11月18日 星期五

記錄在Ubuntu上安裝FreeRadius + OpenLDAP + EPAP WIFI 驗證過程文章

(3設定FreeRadius
         修改FreeRadius模組庫裏面的ldap模組設定檔
         sudo vim /etc/freeradius/modules/ldap
ldap {
#輸入OpenLDAPIP地址
server = "xxx.xxx.xxx.xxx
#紅色字改成OpenLDAP的配置                                      
identity = "cn=admin,dc=example,dc=com"
#OpenLDAP管理員密碼                  
password = 123456
basedn = "dc=kuangda,dc=local"
filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}

(4) 修改FreeRadius驗證資料庫類型
          sudo vim /etc/freeradius/sites-available/default
          找到一下內容修改
authorize {
#          files
            ldap
         }
authenticate {
            Auth-Type LDAP {
                            ldap
                     }

(5) 修改FreeRadius驗證資料庫類型通道
         sudo vim /etc/freeradius/sites-availeble/inner-tunnel
         找到一下內容修改
authorize {
#          files
            ldap
         }
authenticate {
            Auth-Type LDAP {
                            ldap
                     }

(6) 增加NAS驗證設備
         # 進入clients設定檔案
         sudo vim /etc/freeradius/clients.conf 
                  Client WIFIAP {          
                            ipaddr = 192.168.44.253
                            secret = 123456
                            require_message_authentication = no
                            nastype = other
                               }
               備註:每個牌子的無線AP設定位置有所不同但是大致上都沒什麼大差別,以下是我在DD-WRT設備上的圖。

(7) 進行測試的時候使用Radtest密令測試就正常



(8) 使用WIFI驗證就沒辦法了, 於是使用FreeRadius Debug Mode來看看就發現已下錯誤出現。

備注 :原因是MS-CHAP-V2驗證方式是使用明文密碼&NT-Password&LM-Password的,而已我們在OpenLDAP裏面管理的帳號是{MD5}加密過的密碼所以沒辦法驗證,只要我們解決密碼是以上的格式就可以驗證成功了,解決方法一下:

(9) OpenLDAPschema檔案上面加一個新密碼屬性
         sudo vim /etc/ldap/schema/inetorgperson.schema 
         在objectclass 'inetOrgPerson前增加
attributetype ( 1.3.6.1.4.1.3317.4.3.1.66
        NAME 'radiusUserPassword'
        DESC 'radiusUserPassword'
        SUP userPassword )
   'radiusUserPassword' 作爲可選屬性加到'inetOrgPerson' 對象類
MAY (
                radiusUserPassword $ audio $ businessCategory $ carLicense $ departmentNumber $
                displayName $ employeeNumber $ employeeType $ givenName $
                homePhone $ homePostalAddress $ initials $ jpegPhoto $
                labeledURI $ mail $ manager $ mobile $ o $ pager $
                photo $ roomNumber $ secretary $ uid $ userCertificate $
                x500uniqueIdentifier $ preferredLanguage $
                userSMIMECertificate $ userPKCS12 )
        )

(10) OpenLDAP的資料庫ACL上面家如radiusUserPassword屬性
         sudo vim /etc/ldap/slapd.conf
         #找到以下內容修改
database  hdb
     access to attrs=userPassword,radiusUserPassword
               by self write
               by * auth
  重啓OpenLDAP服務

(11) FreeRadiusldap字典檔上加密碼格式檢查
         sudo vim /etc/freeradius/ldap.attrmap
#新增以下兩行
checkItem                  NT-Password             userPassword
checkItem                  NT-Password             radiusUserPassword
  重啓FreeRadius服務

(12) 安裝生成MD4密碼軟件
   apt-get install make gcc libc-dev
   wget http://nchc.dl.sourceforge.net/project/ldaputils/Contrib/mkntpwd/mkntpwd.tar.gz
   tar -zxvf mkntpwd.tar.gz
   make
   ./mkntpwd -N '密碼'
   出現MD4密碼 , 復制這段密碼到使用者就可以


(13) 在Windows 7 上連線WIFI設定 - 手動增加無線SSID
 - 控制臺 -> 網路和公用中心 -> 管理無線網路











- 點選新增 -> 輸入SSID ->無線驗證模式 ->手動建立網路設定檔











- 下一步 -> 變更連線設定 -> 安全性 -> 設定














 - 去掉確認伺服器驗證 -> 設定
- 去掉自動使用我的Windows帳號&密碼










輸入驗證帳號密碼連線完成

2016年11月17日 星期四

記錄在Ubuntu上安裝OpenLDAP&FreeRadius&Pfsense&PPTP-VPN登入驗證過程文章

架構圖

(1) 安裝OpenLDAP(參考Ubuntu Server上安裝OpenLDAP)

(2) 安裝FreeRadius(參考Ubuntu Server上安裝FreeRadius)

(3) 安裝Pfsense(參考Pfsense免費多功能虛擬防火牆安裝教學)

(4) 設定OpenLDAP,FreeRadius(參考在Ubuntu Server上安裝FreeRadius+OpenLDAP+EPAP WIFI驗證)

(5) 設定Pfsense PPTP-VPN通過FreeRadius驗證
  #根據Pfsense IP地址
    打開Pfsense管理頁面 http://xxx.xxx.xxx.xxx
    預設帳號:admin   預設密碼:pfsense
        打開PPTP VPN功能



        選擇可以同時撥入數量

        輸入撥入後點對點的預設閘道IP地址(不一定是內網的網段,必須使用內網沒在用的IP)

        輸入分發給撥入後的開頭IP地址(不可以在DHCP範圍之內)

        設定Radius Server地址跟密碼
        打開WAN界面,把Block Private networks,Block bogon networks 反打勾
        設定防火牆
            在WAN界面增加一條規則
              Action : Pass
              Protocal : TCP
              Source ip : any
              Destination ip : WAN Address
              Source port : PPTP
              Destination port : PPTP

            在PPTP界面增加一條規則
              Action : Pass
              Protocal : any
              Source ip : any
              Destination ip : Lan Net
              Source port : any
              Destination port : any

(6) 在Freeradius增加Pfsense驗證設備
      #打開Clients設定檔案
       sudo vim /etc/freeradius/clients.conf
          client 陳述 {
                 #NAS設備IP地址
                 ipaddr = 192.168.44.250
                #驗證密碼
                 secret = 123456
                 reguire_message_authentication = no
                 nastype = other
     }

(7) 設定撥入使用者拿到固定IP地址
       在OpenLDAP伺服器加入radius schema文件
      #下載schema文件
       wget http://open.rhx.it/phamm/schema/radius.schema
      #復制schema文件到ldap schema資料夾
       sudo cp radius.schema /etc/ldap/schema
       #在資料庫上面加入radius.schema模組
       sudo vim /etc/ldap/sldap.conf
       include /etc/ldap/schema/radius.schema

(8) 建立PPTP-VPN固定IP帳號
       sudo vim vpnuser.ldif
         #改紅色字爲自己要的
         #VPN User
         dn: cn=vpnuser,ou=Company,dc=exemple,dc=com
         objectClass: top
         objectClass: inetorgperson
         objectClass: radiusprofile
         uid: vpnuser
         sn: Vpn User
         cn: Vpn User
         userpassword: {MD5}密碼
         radiususerpassword: {NT}密碼
         radiusFramedProtocal: PPP
         #撥入後拿到的固定IP
         radiusFramedIPAddress: xxx.xxx.xxx.xxx
         radiusFramedIPNetmask: 255.255.255.0
         radiusFramedRouting: Broadcast-Listen
         radiusFilterID: "std.ppp"
         radiusFramedMTU: 1500
         radiusFramedCompression: Van-Jacobsen-TCP-IP

2016年11月16日 星期三

記錄在Ubuntu上安裝OpenLDAP過程文章

(1) 先安裝好Ubuntu Server (參考如何安裝Ubuntu Server)

(2) 安裝OpenLDAP & phpLDAPadmin & Apache2
         介紹 :
             OpenLDAP 是輕型目錄協議類似微軟 Active DirectoryLightweight Directory Access ProtocolLDAP
             phpLDAPadmin 是通過網頁管理LDAP工具
             Apache2 是網頁伺服器軟件
          安裝 :
             sudo apt-get install slapd ldap-utils apache2 phpldapadmin

(3) 設定OpenLDAP
         新增預設資料庫 -》sudo dpkg-reconfigure slapd
         第一個畫面 -》No
         輸入區名
         輸入機構名稱
         輸入OpenLDAP管理員密碼
         確認一次密碼
         選擇HDB資料庫類型
         回答是否清楚舊資料庫 -》選 No
         是否把舊的資料庫先移走才新增新資料庫 -》選 Yes
         是否使用第二代版本 - 》選 No
                 

         增加資料庫檔
             # 新增資料庫檔
             sudo touch /etc/ldap/slapd.conf
             # 備份舊的資料庫檔案
             sudo mv /etc/ldap/slapd.d /etc/ldap/slap.d.bak -f
             # 設定資料庫檔案 
             sudo vim /etc/ldap/slapd.conf
             #複製以下內容到資料庫檔                                              
               ##########
               # Basics #
               ##########
               include /etc/ldap/schema/core.schema
               include /etc/ldap/schema/cosine.schema
               include /etc/ldap/schema/inetorgperson.schema
               include /etc/ldap/schema/nis.schema
               pidfile /var/run/slapd/slapd.pid
               argsfile /var/run/slapd/slapd.args
               loglevel none
               modulepath /usr/lib/ldap
               # modulepath /usr/local/libexec/openldap
               moduleload back_hdb
               ##########################
               # Database Configuration #
               ##########################
               database hdb
               # 改紅色字爲自己要的區名
               suffix "dc=example,dc=com"
               rootdn "cn=admin,dc=example,dc=com"
               # 設定密碼
               rootpw 密碼
               directory /var/lib/ldap
               # directory /usr/local/var/openldap-data
               index objectClass,cn eq
               ########
               # ACLs #
               ########
               access to attrs=userPassword
                      by anonymous auth
                      by self write
                      by * none
               access to *
                      by self write
                      by * none

(4) 設定phpLDAPadmin設定檔
         sudo vim /etc/phpldapadmin/config.php
         找到以下內容修改
              # 改紅色字爲自己要的
              $servers->setValue('server','base',array('dc=example,dc=com')); #line 300
              $servers->setValue('login','bind_id','cn=admin,dc=example,dc=com'); #line 326

(5) 除錯不能新增帳號
      sudo sed -i -e 's/password_hash/password_hash_custom/g' /usr/share/phpldapadmin/lib/TemplateRender.php
      sudo sh -c 'echo "RedirectMatch ^/$ /phpldapadmin/" >> /etc/apache2/apache2.conf'
      sudo service apache2 restart

(6) 建立根目錄
         # 增加 root-utils.ldif檔案
         sudo vim root-utils.ldif
         # 改紅色字爲自己要的
         #Company User
         dn: ou=Company,dc=example,dc=com
         ou: Company
         objectClass: organizationalUnit

         #Group
         dn: cn=Group,ou=Company,dc=example,dc=com
         objectClass: posixGroup
         objectClass: top
         cn: Group
         gidNumber: 1000

(7) 建立使用者
         # 增加 users.ldif檔案
         sudo vim users.ldif
         # 改紅色字爲自己要的
         #User 1
         dn: cn=User1,ou=Company,dc=example,dc=com
         objectClass: top
         objectClass: inetorgperson
         uid: user1
         cn: User 1
         sn: User 1
         # 使用sldappasswd工具生行密碼
         userPassword: {MD5}**********

(8) ldif檔案倒入資料庫
         sudo ldapadd -x -D cn=admin,dc=example,dc=com-W -f root-utils.ldif -h ldap伺服器IP