Radius Anmeldung über freeradius 3 filtert Attribute, soll aber nicht!

Hallo,

ich habe einen freeradius 3 Server der zur Anmeldung ans WLAN genutzt wird. Funktioniert auch.
Es gibt mehrere SSIDs, eine für die Anmledung via WPA2 und RADIUS an einen NPS (MS Server 2012R2)
und eine WPA2 und RADIUS an einen freeradius und dann zum NPS.
Wenn die Pakete über den freeradius geleitet werden fehlen mir am NPS die Attribute, die ich für die VLAN zuordnung benötige.
In freeradius wird aber kein Filter genutzt. Die Frage ist nun warum werden diese nicht transportiert? Muss man Attribute expliziet angeben die durchgeleitet werden sollen???

Besten Dank
Heini

Content-Key: 371137

Url: https://administrator.de/contentid/371137

Ausgedruckt am: 07.12.2021 um 13:12 Uhr

Mitglied: aqui
aqui 13.04.2018 um 15:09:45 Uhr
Goto Top
Mitglied: OnkelHeini
OnkelHeini 16.04.2018 um 08:43:34 Uhr
Goto Top
Guten Morgen.

Ich habe mir am Wochenende die Anleitungen durchgelesen und einige Stunden mit verschieden Konfigurationen erfolglos getestet.
Über ein WLAN bei dem sich die User via WPA2-Enterprise und Radius am AD bzw. NPS anmelden, verwende ich die NAS-IP-Address und Windows-Gruppe um dem Client ein VLAN zuzuordnen. Funktionier einwandfrei.
Ein anderes WLAN (eduroam) wird über einen freeradius 3.0 geleitet, bei dem ich leider das Attribut "NAS-IP-Address" nicht am NPS auswerten kann, da es in den Paketen nicht enthalten ist.
Ich habe in der /etc/raddb/mods-enabled/eap ttls - use_tunneled_reply auf yes gestellt, änder nichts. Im Bereich peap ist use_tunneled_reply auf yes gestellt.
Anbei die /etc/raddb/mods-enabled/eap
eap {
default_eap_type = md5
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = ${max_requests}
md5 {
}
leap {
}
gtc {
auth_type = PAP
}
tls-config tls-common {
private_key_password = whatever
private_key_file = ${certdir}/eduroam.key
certificate_file = ${certdir}/eduroam.pem
ca_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "DEFAULT"
ecdh_curve = "prime256v1"
cache {
enable = no
lifetime = 24 # hours
}
verify {
}
ocsp {
enable = no
override_cert_url = yes
url = "http://127.0.0.1/ocsp/"
}
}
tls {
tls = tls-common
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = no
virtual_server = "inner-tunnel"
}
peap {
tls = tls-common
default_eap_type = mschapv2
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
mschapv2 {
}
}

In der /etc/raddb/mods-config/attr_filter/pre-proxy gibt es die Zeile NAS-IP-Address =* ANY,
Wennn ich diese auskommentiere ändert sich nichts.

/etc/raddb/mods-config/attr_filter/pre-proxy
DEFAULT
User-Name =* ANY,
User-Password =* ANY,
CHAP-Password =* ANY,
CHAP-Challenge =* ANY,
MS-CHAP-Challenge =* ANY,
MS-CHAP-Response =* ANY,
EAP-Message =* ANY,
Message-Authenticator =* ANY,
State =* ANY,
NAS-IP-Address =* ANY,
NAS-Identifier =* ANY,
Operator-Name =* ANY,
Calling-Station-Id =* ANY,
Chargeable-User-Identity =* ANY,
Proxy-State =* ANY

In /etc/raddb/sites-enabled/ gibt es eine Konfigurationsdatei für default und eine für inner-tunnel

Magst du noch mal schauen was ich ändern muss?
Mitglied: aqui
Lösung aqui 16.04.2018 um 16:19:44 Uhr
Goto Top
Die Frage ist nun warum werden diese nicht transportiert?
Hast du mal mit dem Wireshark geprüft ob diese Attribute vom NAS Device schon fehlen ? Wenn ja, dann liegt es natürlich nicht am Radius sondern am NAS Device selber.
Die NAS IPs die "dürfen" werden am FreeRadius in der clients.conf definiert. Idealerweise gibt man hier erstmal die Netzadresse an um nicht jedes Device einzelnd konfigurieren zu müssen.
Du solltest dir dann mal einen eingehenden Request ansehen was da übertragen wird.
Fehlende Parameter die vom NAS Device selber schon fehlen kann der Radius natürlich nicht "raten". Wenn du den FreeRadius mal im Debugger Mode startest mit -X dann kannst du aber sehen das der die NAS IP auch anzeigt.
Deine Konfig sieht eigentlich richtig aus.
Mitglied: OnkelHeini
OnkelHeini 18.04.2018 um 11:02:58 Uhr
Goto Top
So jetzt läuft es.

Mit folgenden Parametern:
copy_request_to_tunnel = yes
use_tunneled_reply = yes


/etc/raddb/mods-enabled/eap
eap {
default_eap_type = md5
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = ${max_requests}
md5 {
}
leap {
}
gtc {
auth_type = PAP
}
tls-config tls-common {
private_key_password = whatever
private_key_file = ${certdir}/eduroam.key
certificate_file = ${certdir}/eduroam.pem
ca_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "DEFAULT"
ecdh_curve = "prime256v1"
cache {
enable = no
lifetime = 24 # hours
}
verify {
}
ocsp {
enable = no
override_cert_url = yes
url = "http://127.0.0.1/ocsp/"
}
}
tls {
tls = tls-common
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = yes
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
peap {
tls = tls-common
default_eap_type = mschapv2
copy_request_to_tunnel = yes
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
mschapv2 {
}
}


Gruß
Heini
Mitglied: aqui
aqui 19.04.2018 um 12:12:25 Uhr
Goto Top
Glückwunsch ! So sollte es sein (und war es auch gemeint oben) ;-) face-wink
Dank auch für das Konfig Feedback. Ist bestimmt dem einen oder anderen eine Hilfe hier !
Heiß diskutierte Beiträge
question
WLAN Lösung mit 2 APs gesuchtEDVMan27Vor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Hallo, sorry, wenn das schon wieder Jemand fragt Welche WLAN Lösungen mit Roaming gibt es? Der Router soll eine PFSense werden. Switche folgen dem WLAN-Konzept. ...

question
WSUSContent wird riesig gelöst DoskiasVor 20 StundenFrageWindows Update11 Kommentare

Hallo Mit-Admins, vielleicht bin ich grade nur zu Faul em-pie direkt anzuschreiben, aber vielleicht schreib ich auch hier, weil ich mir gut vorstellen kann, dass ...

tutorial
Link Aggregation (LAG) im NetzwerkaquiVor 1 TagAnleitungLAN, WAN, Wireless5 Kommentare

Einleitung Das Bündeln mehrerer, paralleler Links zu einem virtuellen Link mit Link Aggregation nach IEEE Standard IEEE 802.3ad (seit dem Jahr 2008 IEEE 802.1ax) bietet ...

question
Probleme beim Aktualisieren von Apps über Google Play Store im 1u1 DSL-Netz gelöst NominisVor 1 TagFrageDSL, VDSL11 Kommentare

Hallo, wir haben im Haushalt u.a. mehrere verschiedene Android-Handys (verschiedener Hersteller). Alle Handys haben im eigenen Heim-Netzwerk (DSL über 1&1) seit einigen Wochen Probleme bei ...

question
Hat Jemand eine Bezugsquelle für eine Gigaset N670?StefanKittelVor 1 TagFrageVoice over IP3 Kommentare

Hallo, hat Jemand eine Bezugsquelle für eine Gigaset N670? Vor Februar hat irgendwie keiner eine. PS: Die fast baugleichen Auerswald gehen nicht weil nicht kompatibel ...

question
Software für Echtzeit-BenachrichtigungGregor81Vor 5 StundenFrageMicrosoft11 Kommentare

Hallo zusammen, bin auf der Suche nach einer Software wo man auf die Client`s Benachrichtigungen verschicken kann, z.b. wenn der Exchange nicht geht oder wenn ...

question
POP Mail auf IMAP umstellenpain88Vor 1 TagFrageE-Mail6 Kommentare

Hallo, wir hatten bis vor kurzem einen Dienstleister der sich um unsere IT gekümmert hat. Wir haben eine neue Domain dazubekommen. Da er Schwierigkeiten hatte ...

question
Portfreigabe bei zwei Playstation an einer IP-Adressevafk18Vor 1 TagFrageRouter & Routing5 Kommentare

Ich bin mir nicht sicher, ob das hier auch reingehört, aber da mein Junior seinen Freund eingeladen hat, damit sie zu zwei mit je einer ...