1. Plugin installieren: System > Firmware > Plugins > os-freeradius
2. Serverzertifikat, und evtl. neue CA erstellen *:
   1. System > Trust > Authorities
   2. Button Add
   3. Method: Create an Internal CA
   4. Fill out other fields, then save
   5. System > Trust > Certificates
   6. Button Add
   7. Create an Internal Certificate
   8. Type: Server Certificate
   9. Restliche Felder ausfüllen, dann Save
3. Client erstellen
   1. Das ist der UniFi Access Point
   2. Services > FreeRadius > Clients
   3. Mit dem Plus-Symbol Modal öffnen. Secret ist das „Passwort“, unter „IP“ wird die IP-Adresse des Access Point (! nicht die des Controllers) eingegeben.
   4. Save
4. User erstellen
   1. Das sind die Nutzer, die sich am AP anmelden können sollen
   2. Services > FreeRadius > Users
   3. Mit dem Plus-Symbol Modal öffnen.
   4. Username und Password ausfüllen reicht
5. Authentifikationsmethode einstellen
   1. Services > FreeRadius > EAP
   2. Was für mich funktioniert:
   3. Default EAP Type: PEAP
   4. Use own certificates: angekreuzt
   5. Root certificate: Die im Schritt oben erstellte CA - Server Certificate: Das im Schritt oben erstellte Server-Zertifikat
   6. Save
6. Radius aktivieren
   1. Services > FreeRadius > General
   2. Enable ankreuzen
   3. Ich hab zudem noch Enable SQLite aktiviert, da ich mich mit MySQL nicht rumschlagen will
7. Im Log nachschauen, ob der Service gestartet ist
   1. Info: Ready to process requests
8. Über System > Access > Tester kann das ganze noch getestet werden, evtl. muss dazu noch ein Client für 127.0.0.1 angelegt werden

• * Alternativ, und bei vorhandener Domain / DynDNS: os-acme-client installieren und Zertifikat erzeugen
• ** Das Zertifikat muss z.B. in Android importiert werden. (WiFi-Zertifikat installieren? Geht evtl. auch über CA, hab ich nicht getestet).

Anleitung gilt für alte Einstellungen. Getestet mit 6.0.34 / 6.2.25.

1. Einstellungen öffnen
2. Profiles aus Seitenleiste wählen
3. Tab Radius
4. Button Create new radius profile
5. Beliebigen Namen eingeben
6. Auf RADIUS assigned VLANs gehe ich hier nicht ein
7. Bei Radius auth server die IP-Adresse von OPNsense eingeben, sowie das oben vergebene Secret eingeben.
8. Abspeichern

Je nachdem, ob ein vorhandenes WLAN durch WPA-Enterprise ersetzt werden soll oder ein neues angelegt werden soll:

1. In der Seitenleiste Wireless networks wählen
2. Neues WLAN anlegen, oder vorhandenes editieren
3. Bei Security den Radiobutton für WPA Enterprise wählen
4. Bei RADIUS Profile das vorhin angelegte Profil anlegen
5. Aufpassen! Bei PMF muss je nach Konfiguration Optional oder Required ausgewählt werden.
6. Abspeichern

Der AP wird nun provisioniert. Der Verbindungsaufbau sollte nun funktionieren.

Darauf werde ich nicht näher eingehen. Bei Android muss jedenfalls das Zertifikat des Radius-Servers (oder gleich die CA?) installiert werden. Dieses muss dann auch beim Erstellen der Verbindung mit angegeben werden. Wird die Einstellung bei Systemzertifikate verwenden belassen, kann sich das Smartphone nicht am RADIUS-Server authentifizieren. Eine entsprechende Fehlermeldung im RADIUS-Log sollte erscheinen.