通常在我们的家里，我们使用 WPA2-Personal 或 WPA3-Personal 安全，这种类型的安全包括配置一个所有无线客户端都会使用的“主”密钥，这个密钥称为预共享密钥，所有想要connect 必须知道它并将其放在您的设备上才能连接。 在很多家用路由器中，我们可以配置WPA2-Enterprise 或WPA3-Enterprise，在这种情况下，身份验证是通过用户名和密码来完成的，并且需要使用RADIUS 服务器来对客户端进行身份验证。 今天在本文中，我们将向您展示如何在任何使用 NAS 的路由器上配置 WPA2 / WPA3-Enterprise 以验证 Wi-Fi 客户端。

我们必须做的第一件事是在网络上找到 NAS 服务器，知道它的私有 IP 地址非常重要，因为在无线网络配置中我们必须输入这个 IP 地址来验证无线客户端。 强烈建议此私有 IP 地址永远不要更改，因此，我们有两种可能的选择：

这样，我们将强制此 NAS 服务器永远不会更改其私有 IP 地址，这对于一切正常工作非常重要。

一旦我们正确配置了 NAS 或路由器，使 NAS 服务器永远不会更改其 IP 地址，我们将配置服务器。

FreeRADIUS 是配置具有非常高级选项的 RADIUS 服务器的卓越软件，该软件支持不同类型的身份验证，并且运行良好。 一个非常重要的特性是它与任何操作系统兼容，这对于最大程度的兼容性至关重要。

配置此服务器非常复杂，您必须以高级方式配置配置文件、创建证书颁发机构等等。 如果我们使用像 QNAP 这样的 NAS 服务器，它将大大简化不必在计算机、基于 Linux 的服务器或 Raspberry Pi 上配置服务器的任务。 所有 QNAP NAS 服务器都支持轻松快速地配置服务器的能力。

我们所要做的就是去那个部分” 控制面板 / 应用程序 / RADIUS 服务器 ”。 进入后，我们要做的是启用服务器并允许访问系统的用户帐户，尽管后者是可选的且不是必需的。

服务器激活后，在“RADIUS 客户端”部分，我们必须直接注册将所有身份验证转发到服务器的路由器。 我们必须放置的数据如下：

配置如下：

一旦我们配置了客户端，现在我们将不得不创建用户。 在这种情况下，我们必须为要连接到无线网络的每个 WiFi 客户端创建一个用户，我们必须指明用户名和密码。 此“用户”列表中的所有客户端都将有权在服务器中进行身份验证，因此可以不受任何限制地获得 WiFi 连接。

一旦我们配置了服务器，我们必须去路由器正确配置它，因为我们必须设置WPA2-企业或WPA3-企业认证，并指示不同的数据。

我们要做的第一件事就是去“ 高级/无线设置 “ 部分。 在此菜单中，我们必须选择加密类型 WPA2-Enterprise，并且将自动显示几个我们必须完成的附加菜单：

接下来，您可以看到它在我们的案例中的样子：

我们指出的所有这些信息都应该反映在“RADIUS 配置”部分中，并带有我们配置的频段。 在这里，我们将看到服务器的私有 IP 地址、端口以及连接机密。

一旦我们正确配置了路由器，现在我们可以使用我们之前创建的相应用户名和密码来验证不同的 WiFi 客户端。 我们将向您展示如何连接 Windows 10 计算机和 Android 设备。

为了使用 WPA2-Enterprise 配置 WiFi 网络，我们必须手动配置与网络的连接。 我们必须去“ 控制面板/网络和共享中心 “ 部分。 在这个菜单中，我们必须点击« 设置新的连接或网络 «。

在可用选项列表中，我们必须单击“ 手动连接到无线网络 ”，然后点击下一步。

现在我们必须输入我们要连接的 WiFi 网络的名称，这个网络名称或 SSID 必须与路由器中的完全相同。 安全类型我们选择“WPA2-Enterprise”，加密类型强制为AES，不允许更改。 “安全密钥”部分将被禁用，这是完全正常的。

现在我们点击« 自动启动此连接 » 禁用它，与 « 选项相同 即使网络不广播其名称也能连接 «。

单击下一步时，我们必须单击“ 更改设置 ”，如 Windows 向导所示。 我们将获得一个菜单，其中包含我们迄今为止配置的所有内容。

在“安全”选项卡中，我们选择选项“Microsoft：受保护的 EAP (PEAP)”，然后单击“配置”：

在这个菜单中，我们必须点击« 通过验证证书来验证服务器的身份 » 禁用此选项。 我们将其余选项保留为默认设置。

当我们连接到 WiFi 无线网络时，它现在会要求我们登录，我们必须在“RADIUS 用户”菜单中输入我们在服务器上注册的用户名和密码。

一旦我们输入了凭据，如果我们在输入用户凭据时没有出错，我们就可以完美地看到我们已经登录并且可以毫无问题地连接互联网。

成功配置 Windows PC 后，让我们看看如何连接 Android 智能手机。

在 Android 智能手机中，我们必须单击要连接的 WiFi 网络，无需像在 Windows 操作系统中那样手动添加无线网络。 在这种情况下，只要我们点击 WiFi 无线网络，就会出现不同的配置选项。 我们必须按照以下方式填写：

在“身份”部分，我们必须输入我们在服务器上注册的用户名，在“密码”部分，我们必须输入访问代码。 我们将自动连接到 WiFi 无线网络，我们将能够毫无问题地上网，利用 WPA2-Enterprise 和我们的智能手机向我们指示的 802.1x EAP 加密类型。

这些智能手机上的另一种可能配置如下：

在“身份”和“密码”部分，我们还必须像以前一样输入我们的凭据。

如您所见，在路由器上配置 WPA2-Enterprise 身份验证非常简单，如果我们使用集成在 QNAPs 中的身份验证服务器，则更简单。 但是，我们无法下载 CA 以将其安装在每个 WiFi 无线客户端中，因此，我们仍然可能遭受 Rogue AP 攻击，其中网络犯罪分子冒充合法接入点，如果我们的系统中有 CA，就会发生这种情况不会通过，因为它在建立连接之前已经过验证。 为了获得这种安全性，有必要从头开始设置我们自己的 FreeRADIUS 服务器，或者在像 pfSense 这样的系统中设置所有可用的配置选项。