Как мне настроить мой wpa_supplicant для соответствия этим?

Question

Как мне настроить мой wpa_supplicant (во FreeBSD) для соответствия параметрам windows на картинке?

До сих пор я пробовал это в /etc/wpa_supplicant.conf:

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=wheel
ap_scan=2
update_config=1

network={
  priority=1
  ssid= SSID
  proto=RSN
  key_mgmt=WPA-EAP
  eap=TLS
  identity= IDENTITY
  password= PASSWORD
}

Использование wpa_cli для управления конфигурацией соискателя WPA:

Редактирование wpa_supplicant.conf, а затем reconfigure из приглашения wpa_cli

Затем:

> status
wpa_state=SCANNING <======== What does that mean?
ip_address=192.168.15.68
> 

Также я понимаю, что сеть, к которой я пытаюсь присоединиться, может быть скрыта.

После добавления ap_scan=2 в файл wpa_supplicant.conf я также получаю следующее:

<2>Association request to the driver failed
wpa_state=ASSOCIATING
ip_address=192.168.15.68
Supplicant PAE state=DISCONNECTED
suppPortStatus=Unauthorized
EAP state=DISABLED

а то это до бесконечности

<2>Association request to the driver failed
<2>Authentication with 00:00:00:00:00:00 timed out.
<2>Trying to associate with SSID <SSID>
<2>Association request to the driver failed
<2>Authentication with 00:00:00:00:00:00 timed out.
<2>Trying to associate with SSID <SSID>
<2>Association request to the driver failed
<2>Authentication with 00:00:00:00:00:00 timed out.

ОБНОВЛЕНИЕ 20131202 - ВОПРОС РАЗВИВАЛСЯ В РАЗЛИЧНЫЙ НАБОР ПАРАМ, КОТОРЫЕ СДЕЛАЮТ БОЛЬШЕ.

Он использует трехуровневую среду

Root CA (не в сети)

Средний CA (оффлайн)

2 выдающих центра сертификации (онлайн)

У меня есть те, в Base64 с.Расширение CER

Теперь, как это вписывается в wpa_supplicant.conf?

ctrl_interface=/var/run/wpa_supplicant
ctrl_interface_group=wheel
ap_scan=2
update_config=1

network={
  priority=1
  mode=0
  scan_ssid=1
  ssid="SSID"
  proto=RSN
  key_mgmt=WPA-EAP
  eap=PEAP
  group=CCMP TKIP
  pairwise=CCMP TKIP
  phase1="peaplabel=1" 
  phase2="auth=MSCHAPV2"
  identity="IDENTITY"
  password="PASSWORD"
  ca_cert= ????
}

Answer 1

Я думаю, что хорошей отправной точкой для решения этой проблемы является ManBS-страница FreeBSD для wpa_supplicant.conf, которая представляет несколько примеров, один из которых:

# work network; use EAP-TLS with WPA; allow only CCMP and TKIP ciphers
network={
ssid="work"
scan_ssid=1
key_mgmt=WPA-EAP
pairwise=CCMP TKIP
group=CCMP TKIP
eap=TLS
identity="user@example.com"
ca_cert="/etc/cert/ca.pem"
client_cert="/etc/cert/user.pem"
private_key="/etc/cert/user.prv"
private_key_passwd="password"
}

Это отличается от вашей версии по двум основным причинам: в вашем файле есть ссылка на шифрование AES, которое отсутствует (это режим CCMP, основанный на AES), и требует наличия сертификатов. Эта последняя часть вызывает у меня удивление в маске Windows: в ней нет никаких ссылок на механизм аутентификации. Здесь нет места для паролей (достаточно справедливо, иначе это не будет WPA-EAP), но также нет упоминания о сертификатах, а это то, что нужно TLS.

На самом деле, со страницы Википедии на TLS,

Безопасность транспортного уровня (TLS) .... использовать [s] сертификаты X.509 ... Как следствие выбора сертификатов X.509, центры сертификации и инфраструктура открытых ключей необходимы для проверки связи между сертификатом и его владельцем, а также для создания, подписания и администрирования действительности сертификатов ...

Другими словами, поскольку ваша маска Windows непреклонна в том, что используется TLS , где-то должны быть сертификаты, указанные в файле wpa_supplicant.conf который я цитировал выше. Я не могу выйти за рамки этой точки.

Редактировать:

Чтобы ответить на последний вопрос Джоэлмаранхао, я процитирую снова на странице управления FreeBSD для wpa_supplicant.conf:

СЕРТИФИКАТЫ Некоторые методы аутентификации EAP требуют использования сертификатов. EAP-TLS использует сертификаты как на стороне сервера, так и на стороне клиента, тогда как для EAP-PEAP и EAP-TTLS требуется только сертификат на стороне сервера.

Изменить n. 2:

.Сертификат CER должен быть преобразован в формат.PEM. Вы можете сделать это даже онлайн здесь. Последняя строка в вашем новом wpa_supplicant.conf - это местоположение этого сертификата. Идентификационные данные - это ваше имя на сервере, пароль снова ваш пароль на сервере Wi-Fi. Вы уверены, что peal-label равен 0? Я не могу найти его нигде, если он не работает, попробуйте peap-label = 1.