привет все.
купил недавно DWL3200ap , ничего так аппараты ... решил попользовать в них wpa, первая же трудность с которой сталкнулся, это минимум описание у производителя, как в тех. доке, поставляемой с девайсом , так и на сайте. Более того, дозвонившись в саппорт, в Московский офис, был там технично отшит, с формулировкой :
-(сапорт)-там жа (в dwl3200) вы сделали такто и такто, ну вот вы все правильно сделали, у вас работает WPA....
-(я)- да, но он не работает... видимо я в радиусе чего то не так сделал ...
-(сапорт)-возможно ... нам то это откуда знать ... еще мы виндовс за вес не настраивали ...
ну и все в таком (вежливо-ХАМСКОМ) тоне.

на форуме также множество вопросов по поводу настройки IAS + DlinkWPA . Но внятного объяснения НЕТ.

я, в конечном итоге настроил все, счас я счастливый обладатель DlinkWPA+Radius (IAS).

цель этого топа, описать процесс настройки (преркламировать масдай, как пишут сапортеры на этом сайте, видимо боясь слова windows, а то биллу придеться отчислить денег, за одну лицензию)

итак, после того, как имоции выплеснулись, поехали

1. настраива WPA как это описывает в доке DLink, а именно
Authentication = WPA Enterprise
cipher = auto
radius server = <IP.YUOR.IAS.Servera>
radius port = 1812 (это значение по умолчанию, его и оставте, только если сами не перекрутите IAS на другой порт)
radius secret = <пароль который нужно запомнить>
ВОТ и все, дествительно, WPA настроен...
2. идем в виндовс, в моем случае w2k AS SP4 EN
жмем
2.1 добавить удалить программы -- виндовс компонентс
2.2 лезем в Networking Services
2.3 выбираем Internet Authentication Service (IAS) именно так называется RADIUS сервер в винде
жмем везде ОК
после успешной установки IAS :
3. лзем в контрол панел--- административе тулз
3.1 запускаем оснастку Internet Authentication Service
3.2 раздел КЛИЕНТЫ
3.2.1 добавляем нового клиента. В первом окне указываем имя клиента и протокол RADIUS, жмем далее
Во втором окне
в поле IP адресс указываем IP вашего Dlink Device (который, я надеюсь вы сделали статичным).
Клиент Вендор = Radius Standard
Shared Secret = <пароль, который вы указали ранее в настройках Dlink-a>
Жмем ФИНИШ.
3.3 идем в раздел Remote access policies
3.3.1 лично я удалил ту полиси, которая там была подефолту , вы поступайти как хотите. Добавляем новую полиси:
в первом окне, вводим имя, жмем далее
во втором окне, добавляем атрибут Windows-groups , тутже нам предлогается выбрать доменные группы которым МОЖНО ПОЛЬЗОВАТЬ WI-FI
в тертье окне, говорим что им можно удаленно подключаться.
в четвертом окне жмем ИЗМЕНИТЬ ПРОФИЛЬ, идем на закладку АУТЕНТИФИКАЦИЯ, выбираем чекбокс РАСШИРЕННЫЕ ПРОТОКОЛЫ АУТЕНТИФИКАЦИИ и выбераем из списка ЗАЩИЩЕННЫЙ EAP (PEAP), жмем ок, жмем финиш.
все . идем на клиента.
важно, скачать и установить последние дрова на вашу карточку. также на всех клиентах у меня стоит wXP prof. SP2.
и так, самотри свойства wi-fi адаптера, идем на закладку БЕСПРОВОДНЫЕ СЕТИ, в разделе ПРЕДПОЧТИТЕЛЬНЫЕ СЕТИ уже должна появиться сеть (default, если вы ничего не меняли).
жмем на свойства сети default.
на первой закладке СВЯЗИ, в поле ПРОВЕРКА ПОДЛИННОСТИ выбираем WPA (Если там нет такого пункта, то вам надо разобраться с версией драйверов, и возможно доустановить апдейты от MS)
в поле ШИФРОВАНИЕ ДАННЫХ выбираем AES.
переходим на закладку ПРОВЕРКА ПОДЛИННОСТИ, в поле ТИП EAP выбираем ЗАЩИЩЕННЫЙ EAP (PEAP)
жмем ок везде где надо, и ждем пока клиент подключиться.
вот и все ...

Если, чтото пойдет не так, EventLOG винды, оч информативно описывает все проблеммы и события, не стоит о нем забывать.

ЗЫ прошу прощение за корявость изложения
ЗЫЗЫ саппорту успехов в труде.... без обид.

_________________
glb_ussr

Пост не плохой, респект! :)
А 802.1Х не пробовали настраивать с Виндовым радиусом?

настраивал только эту железку (к сожалению) через WPA авторизацию... но если появится новый опыт с удовольствием поделюсь.

_________________
glb_ussr

На заметку. Недавно решил у себя настроить авторизацию через RADIUS сервер на Windows 2003 Server. Наткнулся на грабли...

Грабля №1:
Помимо IAS, нужно будет тогда установить еще IIS, затем Certificate Services. При установке Certificate Services указываешь, что ты хочешь создать Enterprise root CA. Далее по ходу установки в принципе ничего менять не нужно... Жмем далее и всего делов.

Грабля №2:
"во втором окне, добавляем атрибут Windows-groups , тутже нам предлогается выбрать доменные группы которым МОЖНО ПОЛЬЗОВАТЬ WI-FI", помимо группы, разрешающей доступ по WI-FI мне пришлось добавить сюда и группу Domain Computers. Так как сначала авторизуется машина, а уж потом пользователь. При таком раскладе не пройдя первой авторизации не грузился скрипт, который загружается при входе в систему (монтирует сетевые диски, и т.д и т.п)

Грабля №3:
Лезем в C:\WINDOWS\system32\certsrv\CertEnroll и выдергиваем оттуда Security Certificate (по идее должен быть один), копируешь, а затем устанавливаешь его на ту машину, которая ходит в сеть по WI-FI. Причем делать это нужно будет почему-то для всех пользователей, которые сидят за данным ПК.

Грабля №4:
"переходим на закладку ПРОВЕРКА ПОДЛИННОСТИ, в поле ТИП EAP выбираем ЗАЩИЩЕННЫЙ EAP (PEAP)", - далее жмем кнопку "Свойства", и в открывшемся окне в списке сертификатов ставим галочку напротив того сертификата, который ты устанавливал. (имя сетификата должно совпадать с именем файла сертификата, который ты только что ставил).

Далее "ок"... И все... Наслаждаемся...

По идее жизнь админов, у которых есть где-то DHCP сервер можно еще упросить. По крайней мере в DWL-2100AP в WEB интерфейсе я не нашел галочки. которая разрешает пропуск из LAN в WLAN широковещательных пакетов, которые так нужны для DHCP. Заходим через telnet на точку доступа, проходит авторизацию и вводим команду: set eth2wlan 1 жмем enter. Затем команда reboot. И все. Наслаждаемся всеми прелестями DHCP.

C помощью всего описанного выше удалось обойти такие сообщения в журнале:
1. Could not retrieve the Remote Access Server's certificate due to the following error: Cannot find object or property.
2. Because no certificate has been configured for clients dialing in with EAP-TLS, a default certificate is being sent to user YOUR_DOMAIN\User. Please go to the user's Remote Access Policy and configure the Extensible Authentication Protocol (EAP).

В принципе все! Наслаждаемся))

Хорошая статья по этой теме.
http://www.tayle.com/documents/eaptls3.php
Очень помогла разобраться, хоть RADIUS в ней и не от MS.


Вместо Domain Computers можно просто создать группу куда поместить только компуктеры которые будут лезти по Wi-Fi.


Есесьвенно, ведь для каждого пользователя Винда хранит отдельный сертификат

Делаем проще. Соединяем ноут по витой паре с сеткой, откуда можно достучаться до IIS который обслуживает сервер сертификации, что мы запустили. Идем по адресу http://<CA_Address>/certsrv и в полученной страничке запрашиваем сертификат, тут же его получаем и ставим на комп. Отключаемся от провода и соединяемся уже по Wi-Fi

Как подключить в беспроводную сеть комп, который не в домене (например, личный ноут гендира)?

_________________
http://transkras.ru -- красноярский автоспорт