Radius Anmeldung über freeradius 3 filtert Attribute, soll aber nicht!

Hallo,

ich habe einen freeradius 3 Server der zur Anmeldung ans WLAN genutzt wird. Funktioniert auch.
Es gibt mehrere SSIDs, eine für die Anmledung via WPA2 und RADIUS an einen NPS (MS Server 2012R2)
und eine WPA2 und RADIUS an einen freeradius und dann zum NPS.
Wenn die Pakete über den freeradius geleitet werden fehlen mir am NPS die Attribute, die ich für die VLAN zuordnung benötige.
In freeradius wird aber kein Filter genutzt. Die Frage ist nun warum werden diese nicht transportiert? Muss man Attribute expliziet angeben die durchgeleitet werden sollen???

Besten Dank
Heini

Content-Key: 371137

Url: https://administrator.de/contentid/371137

Ausgedruckt am: 22.10.2021 um 23:10 Uhr

Mitglied: aqui
aqui 13.04.2018 um 15:09:45 Uhr
Goto Top
Mitglied: OnkelHeini
OnkelHeini 16.04.2018 um 08:43:34 Uhr
Goto Top
Guten Morgen.

Ich habe mir am Wochenende die Anleitungen durchgelesen und einige Stunden mit verschieden Konfigurationen erfolglos getestet.
Über ein WLAN bei dem sich die User via WPA2-Enterprise und Radius am AD bzw. NPS anmelden, verwende ich die NAS-IP-Address und Windows-Gruppe um dem Client ein VLAN zuzuordnen. Funktionier einwandfrei.
Ein anderes WLAN (eduroam) wird über einen freeradius 3.0 geleitet, bei dem ich leider das Attribut "NAS-IP-Address" nicht am NPS auswerten kann, da es in den Paketen nicht enthalten ist.
Ich habe in der /etc/raddb/mods-enabled/eap ttls - use_tunneled_reply auf yes gestellt, änder nichts. Im Bereich peap ist use_tunneled_reply auf yes gestellt.
Anbei die /etc/raddb/mods-enabled/eap
eap {
default_eap_type = md5
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = ${max_requests}
md5 {
}
leap {
}
gtc {
auth_type = PAP
}
tls-config tls-common {
private_key_password = whatever
private_key_file = ${certdir}/eduroam.key
certificate_file = ${certdir}/eduroam.pem
ca_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "DEFAULT"
ecdh_curve = "prime256v1"
cache {
enable = no
lifetime = 24 # hours
}
verify {
}
ocsp {
enable = no
override_cert_url = yes
url = "http://127.0.0.1/ocsp/"
}
}
tls {
tls = tls-common
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = no
virtual_server = "inner-tunnel"
}
peap {
tls = tls-common
default_eap_type = mschapv2
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
mschapv2 {
}
}

In der /etc/raddb/mods-config/attr_filter/pre-proxy gibt es die Zeile NAS-IP-Address =* ANY,
Wennn ich diese auskommentiere ändert sich nichts.

/etc/raddb/mods-config/attr_filter/pre-proxy
DEFAULT
User-Name =* ANY,
User-Password =* ANY,
CHAP-Password =* ANY,
CHAP-Challenge =* ANY,
MS-CHAP-Challenge =* ANY,
MS-CHAP-Response =* ANY,
EAP-Message =* ANY,
Message-Authenticator =* ANY,
State =* ANY,
NAS-IP-Address =* ANY,
NAS-Identifier =* ANY,
Operator-Name =* ANY,
Calling-Station-Id =* ANY,
Chargeable-User-Identity =* ANY,
Proxy-State =* ANY

In /etc/raddb/sites-enabled/ gibt es eine Konfigurationsdatei für default und eine für inner-tunnel

Magst du noch mal schauen was ich ändern muss?
Mitglied: aqui
Lösung aqui 16.04.2018 um 16:19:44 Uhr
Goto Top
Die Frage ist nun warum werden diese nicht transportiert?
Hast du mal mit dem Wireshark geprüft ob diese Attribute vom NAS Device schon fehlen ? Wenn ja, dann liegt es natürlich nicht am Radius sondern am NAS Device selber.
Die NAS IPs die "dürfen" werden am FreeRadius in der clients.conf definiert. Idealerweise gibt man hier erstmal die Netzadresse an um nicht jedes Device einzelnd konfigurieren zu müssen.
Du solltest dir dann mal einen eingehenden Request ansehen was da übertragen wird.
Fehlende Parameter die vom NAS Device selber schon fehlen kann der Radius natürlich nicht "raten". Wenn du den FreeRadius mal im Debugger Mode startest mit -X dann kannst du aber sehen das der die NAS IP auch anzeigt.
Deine Konfig sieht eigentlich richtig aus.
Mitglied: OnkelHeini
OnkelHeini 18.04.2018 um 11:02:58 Uhr
Goto Top
So jetzt läuft es.

Mit folgenden Parametern:
copy_request_to_tunnel = yes
use_tunneled_reply = yes


/etc/raddb/mods-enabled/eap
eap {
default_eap_type = md5
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = ${max_requests}
md5 {
}
leap {
}
gtc {
auth_type = PAP
}
tls-config tls-common {
private_key_password = whatever
private_key_file = ${certdir}/eduroam.key
certificate_file = ${certdir}/eduroam.pem
ca_file = ${cadir}/ca.pem
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "DEFAULT"
ecdh_curve = "prime256v1"
cache {
enable = no
lifetime = 24 # hours
}
verify {
}
ocsp {
enable = no
override_cert_url = yes
url = "http://127.0.0.1/ocsp/"
}
}
tls {
tls = tls-common
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = yes
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
peap {
tls = tls-common
default_eap_type = mschapv2
copy_request_to_tunnel = yes
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
mschapv2 {
}
}


Gruß
Heini
Mitglied: aqui
aqui 19.04.2018 um 12:12:25 Uhr
Goto Top
Glückwunsch ! So sollte es sein (und war es auch gemeint oben) ;-) face-wink
Dank auch für das Konfig Feedback. Ist bestimmt dem einen oder anderen eine Hilfe hier !
Heiß diskutierte Beiträge
question
Einfache Software für MitarbeiterinformationichbinwerichbinVor 1 TagFrageZusammenarbeit9 Kommentare

Guten Morgen Ich lese hier schon seit Jahren und bräuchte jetzt mal einen Hinweis. Ich weiss nicht ob Fragen nach Software beantwortet werden (Werbung?) aber ...

question
Netzwerk Neuaufbau - DHCP - VLANs gelöst SommelierVor 1 TagFrageWindows Server17 Kommentare

Hallo zusammen! Wir ziehen gerade unser Netzwerk neu auf, und ich wollte mir bei euch Rat einholen. Wir wollen verschiedene VLANs anlegen: Printer (172.16.20.0/24) Windowsumgebung ...

question
Netzwerkplan u. Kabelbelegung zeichnen? gelöst McLionVor 19 StundenFrageNetzwerke11 Kommentare

Hallo zusammen, ich suche irgendein Tool (am besten Open Source) um Netzwerkpläne zu zeichnen. Diese gibt es zwar wie Sand am Meer, aber mir geht's ...

question
Gefahren durch Nutzung von EOL Smartphones (end of life support)nachgefragtVor 19 StundenFrageSicherheit13 Kommentare

Hallo Administratoren, weil Freitag ist erlaube ich mir die Frage (brainstorming): Welche Gefahren hinsichtlich IT-Sicherheit und Datenschutz seht ihr bei der Nutzung von (eol) Smartphones, ...

question
Nebenstellenkreis von 2stellig auf 3stellig - was geschieht mit den bisherigen Rufnummerndeparture69Vor 23 StundenFrageTK-Netze & Geräte13 Kommentare

Hallo. Bei uns besteht für 2022 die Anforderung, deutlich mehr Bürotelefone in Einsatz zu bringen. Die Anzahl der Nebenstellen ist vertragsseitig derzeit aber auf 100 ...

question
Standort vs. Standort gelöst erikroVor 1 TagFrageWindows Server8 Kommentare

Moin, Hintergrund der Frage ist, dass ich für ein PS-Skript auf dem RDS wissen muss, wo der Client steht. Ich hatte zuerst die Idee, das ...

question
HA Konstrukt für Firmennetzwerk mit mehreren WAN VerbindungenITAllrounderVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Guten Morgen zusammen, ich stehe gerade vor der Überlegung unser Firmen Netzwerk etwas umzustrukturieren. Aktuell primäres Problem: Wir haben theoretisch 2x Sophos XG310 (nur 1x ...

question
Mitarbeiter Onboarding Trainings Program on Premise gelöst MineralwasserVor 1 TagFrageSonstige Systeme3 Kommentare

Guten Nachmittag Kennt jemand ein gutes Programm das als Web-Service läuft, jedoch am besten nicht in der Cloud um die Mitarbeiter zu schulen. Also wenn ...