Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Radius server eexterner AP Authentifizierung klappt nicht

Mitglied: Jannik2018

Jannik2018 (Level 1) - Jetzt verbinden

11.10.2019 um 11:30 Uhr, 722 Aufrufe, 60 Kommentare, 1 Danke

Hallo zusammen
Ich hab mir vor kurzem einen Radius server mit mysql Verbindung aufgesetzt und mit meinem tplink Access point verbunden radtest auf lokal klappt allerdings wenn ich mich über den AP ins wlan einloggen möchte klappt es nicht kann jemand helfen?
60 Antworten
Mitglied: aqui
11.10.2019, aktualisiert um 12:55 Uhr
Der AP authentisiert sich auch nicht, denn der ist ja selber Authenticator. Wenn dann authentisierst du den WLAN Client am AP, was ja auch der Sinn bei WPA Enterprise ist.

Hier steht genau was du machen musst !
Hast du das alles genau so umgesetzt ???
https://administrator.de/wissen/sichere-802-1x-wlan-benutzer-authentisie ...
Hier nochmal im Detail:
https://administrator.de/content/detail.php?id=500006&token=166#comm ...
(Die dynamische VLAN Zuweisung kannst du dir wegdenken) Wichtig sind die Debug Outputs des FreeRadius.

Leider ist deine Beschreibung recht oberflächlich was eine zielführende Hilfe verständlicherweise nicht einfach macht
Ein paar Fragen:
  • Du verwendest vermutlich FreeRadius, richtig ?? WAS sagt der FreeRadius wenn du ihn im Debug Mode mit -X startest ?? (Siehe auch Links oben)
  • Hast du grundsätzlich den Radius mal mit dem NTRadPing Tool: http://www.novell.com/coolsolutions/tools/14377.html getestet ? Wenn ja bekommst du dort ein "Success" ??
  • Im Zweifel um Datenbank Fehler auszuschliessen erstmal mit der lokalen statischen Konfig Datei testen. Was passiert da ??
Um helfen zu können müssen wir logischerweise all diese Dinge wissen und keinen banalen 3 Zeiler um uns den Rest dann zusammenraten zu müssen....
Das hilft weder dir noch uns hier in der Community.
Bitte warten ..
Mitglied: Jannik2018
11.10.2019, aktualisiert um 17:29 Uhr
ja ich nutze freeradius richtig datenbank hab ich beim test rausgelassen ich habe es mit dem benutzer aus der config getestet der verbindungsversuch mit NTRadPing Tool war erfolgreich ACCEPT mit diesem user nur wenn ich mit dem AP und den zugangsdaten ins WLAN will lässt er mich nicht rein ip des AP wurde in der clients.conf korrekt hinterlegt auf dem bild sieht man den verbindungversuch im debug mode Mein AP steht auf WPA/WPA2 Enterprise Version WPA2 Encryption Automatic
radiuserror_ap - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Jannik2018
11.10.2019 um 18:37 Uhr
und wenn ich im AP VVersion auch auf Automatic stelle erscheint nicht im debug
Bitte warten ..
Mitglied: aqui
12.10.2019 um 12:06 Uhr
Laut Debug Protokoll stimmt irgendwas mit deinem EAP Setup nicht.
Hast du das EAP TLS (eap.conf) entsprechend auf "inner Tunnel" customized ??
https://administrator.de/contentid/142241#toc-5
https://www.heise.de/select/ct/2019/15/1563187094653417
Bitte warten ..
Mitglied: Jannik2018
12.10.2019, aktualisiert um 21:53 Uhr
was hat der zweite link mit dem thema zu tuhen ? und wo befindet sich die eap.conf ? brauch man bei eap nicht zertifikate auf dem client ?
Bitte warten ..
Mitglied: aqui
13.10.2019, aktualisiert um 14:24 Uhr
Du brauchst nur ein einziges Zertifikat, das ist das Server Zertifikat, damit dir keiner einen alternativen Server unterjubelt. (Siehe Tutorial)
Man kann aber die Zertifikatsprüfung auch deaktivieren im Client wenn man sich des Risikos bewusst ist.
Auch zum Testen macht es ggf. temporär Sinn damit man nicht über die Fussfallen eines falschen oder fehlerhaften Zertifikats stolpert.
(P.S.: Deine Shift Taste scheint defekt zu sein.)
Bitte warten ..
Mitglied: Jannik2018
13.10.2019, aktualisiert um 18:11 Uhr
wie deaktiviert man das ??
Bitte warten ..
Mitglied: aqui
14.10.2019 um 10:20 Uhr
Geht wohl scheinbar bei Win 10 nicht mehr. Früher Win 7 und 8 konnte man in den PEAP Eigenschaften einen entsprechenden Haken entfernen:
zert - Klicke auf das Bild, um es zu vergrößern
Gibts scheinbar nicht mehr oder ist irgendwo anders versteckt:
zert2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Jannik2018
14.10.2019, aktualisiert um 13:44 Uhr
erstmal muss ich es auf dem server zum laufen bekommen das problem siehe screen ist noch nicht weg scheinbar scheint das mit dem zertifikat wie in der Anleitung beschrieben nicht zu laufen
Bitte warten ..
Mitglied: aqui
14.10.2019, aktualisiert um 18:25 Uhr
Ich mache die Tage mal ein Testsetup mit dem FreeRaidus und einem WLAN AP und poste die Settings.
Es liegt vermutlich daran das du kein PEAP benutzt. Wir werden sehen...
Bitte warten ..
Mitglied: aqui
15.10.2019, aktualisiert um 18:26 Uhr
So, Test erfolgreich wie erwartet. Man muss auch nix groß konfigurieren, der Freeradius ist eine Version 3.0 aus dem Debian Repository.
Sorry für die Länge des Threads aber besser etwas ausführlicher damit es hilft....
Hier sind die Settings im Detail:

1.) FreeRadius Client Setup:

#  You can now specify one secret for a network of clients.
#  When a client request comes in, the BEST match is chosen.
#  i.e. The entry from the smallest possible network.
#
client server-network {
        ipaddr          = 192.168.1.0/24
        secret          = testing123
}

client labor-network {
        ipaddr          = 10.0.0.0/8
        secret          = testing123
} 
(Der FreeRadius Server ist selber im Server Netzwerk Segment 192.168.1.0 /24 was hier aber nicht aktiviert sein muss. Relevant ist nur das IP Netz in dem der TP-Link AP liegt. Hier 10.99.1.0 /24.)

2.) FreeRadius User Setup:

# Lab Test User
#
test            Cleartext-Password := "geheim"
#
bob             Cleartext-Password := "password"
#
gast            Cleartext-Password := "gast"
Service         Cleartext-Password := "service", Login-Time := "Al1200-2300"
vlan10          Cleartext-Password := "vlan10"
                   Tunnel-Type = 13,
                   Tunnel-Medium-Type = 6,
                   Tunnel-Private-Group-Id = 10
User            Cleartext-Password := "user"
                   Tunnel-Type = 13,
                   Tunnel-Medium-Type = 6,
                   Tunnel-Private-Group-Id = 10

#       Mac Adress Authentication fuer nicht 802.1x Geraete hier !
00123a104123    Cleartext-Password := "00123a104123" 
(Benutztes Login hier im Test = "gast/gast")

3.) TP Link WiFi Setup:

Mehr oder minder selbsterklärend...
tp4 - Klicke auf das Bild, um es zu vergrößern

4.) TP Link WiFi Security Setup:

Mehr oder minder auch selbsterklärend...
tpneu - Klicke auf das Bild, um es zu vergrößern
Das war dann die Netzwerk Infrastruktur. Bleibt noch der Windows 10 Client:

5.) Windows 10 WLAN Client Setup:

tp1 - Klicke auf das Bild, um es zu vergrößern

6.) Windows 10 WLAN Verbindungsaufbau:

tp2 - Klicke auf das Bild, um es zu vergrößern
Wenn man möchte kann man sich den Fingerprint des Server Zertifikats ansehen:
tp5 - Klicke auf das Bild, um es zu vergrößern

6.) Natürlich klappt das auch mit einem Apple Mac Client:

mac2 - Klicke auf das Bild, um es zu vergrößern
Und hier die erfolgreiche Verbindung mit dem AP:
mac1 - Klicke auf das Bild, um es zu vergrößern
Jetzt wirds spannend, denn jetzt kommen die Debugging Meldungen des FreeRadius beim Verbinden mit dem WLAN:

8.) FreeRadius User Setup:

(15) Received Access-Request Id 51 from 10.99.1.148:45951 to 192.168.1.166:1812 length 207
(15)   User-Name = "gast"
(15)   NAS-IP-Address = 10.99.1.148
(15)   NAS-Port = 0
(15)   Called-Station-Id = "F8-D1-11-A6-E5-54:TP-LINK_Test"
(15)   Calling-Station-Id = "00-22-FB-7B-D8-A6"
(15)   Framed-MTU = 1400
(15)   NAS-Port-Type = Wireless-802.11
(15)   Connect-Info = "CONNECT 0Mbps 802.11"
(15)   EAP-Message = 0x020a002e1900170303002300000000000000045443fba161f13a3801273ffac8f488e5642b767a5e02690c5a169c
(15)   State = 0x374a7b073f406268c3cb420a0d36d7a8
(15)   Message-Authenticator = 0xf314fd80e763f576d8ab0572b827ef65
(15) session-state: No cached attributes
(15) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(15)   authorize {
(15)     policy filter_username {
(15)       if (&User-Name) {
...
(15)         if (&User-Name =~ /@\./)   -> FALSE
(15)       } # if (&User-Name)  = notfound
(15)     } # policy filter_username = notfound
(15)     [preprocess] = ok
(15)     [chap] = noop
(15)     [mschap] = noop
(15)     [digest] = noop
(15) suffix: Checking for suffix after "@"
(15) suffix: No '@' in User-Name = "gast", looking up realm NULL
(15) suffix: No such realm "NULL"
(15)     [suffix] = noop
(15) eap: Peer sent EAP Response (code 2) ID 10 length 46
(15) eap: Continuing tunnel setup
(15)     [eap] = ok
(15)   } # authorize = ok
(15) Found Auth-Type = eap
(15) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(15)   authenticate {
(15) eap: Expiring EAP session with state 0x374a7b073f406268
(15) eap: Finished EAP session with state 0x374a7b073f406268
(15) eap: Previous EAP request found for state 0x374a7b073f406268, released from the list
(15) eap: Peer sent packet with method EAP PEAP (25)
(15) eap: Calling submodule eap_peap to process data
(15) eap_peap: Continuing EAP-TLS
(15) eap_peap: [eaptls verify] = ok
(15) eap_peap: Done initial handshake
(15) eap_peap: [eaptls process] = ok
(15) eap_peap: Session established.  Decoding tunneled attributes
(15) eap_peap: PEAP state send tlv success
(15) eap_peap: Received EAP-TLV response
(15) eap_peap: Success
(15) eap: Sending EAP Success (code 3) ID 10 length 4
(15) eap: Freeing handler
(15)     [eap] = ok
(15)   } # authenticate = ok
(15) # Executing section post-auth from file /etc/freeradius/3.0/sites-enabled/default
(15)   post-auth {
(15)     update {
(15)       No attributes updated
(15)     } # update = noop
(15)     [exec] = noop
(15)     policy remove_reply_message_if_eap {
(15)       if (&reply:EAP-Message && &reply:Reply-Message) {
(15)       if (&reply:EAP-Message && &reply:Reply-Message)  -> FALSE
(15)       else {
(15)         [noop] = noop
(15)       } # else = noop
(15)     } # policy remove_reply_message_if_eap = noop
(15)   } # post-auth = noop
(15) Sent Access-Accept Id 51 from 192.168.1.166:1812 to 10.99.1.148:45951 length 0
(15)   MS-MPPE-Recv-Key = 0x5f7345a28aad5a37d6000a9adc2079ab0ef3f868172d2ff30f59fe2a861a392f
(15)   MS-MPPE-Send-Key = 0x694f55058dca04a6599af13218dad2e5d16879778f3969a6dfadee3b180195a3
(15)   EAP-Message = 0x030a0004
(15)   Message-Authenticator = 0x00000000000000000000000000000000
(15)   User-Name = "gast"
(15) Finished request
Waking up in 2.4 seconds.
(6) Cleaning up request packet ID 42 with timestamp +156
Ready to process requests 
Hier kannst du jetzt wunderbar den Ablauf sehen und verfolgen:
  • Received Access-Request from 10.99.1.148:45951 to 192.168.1.166:1812 Eingehender Request vom TP Link AP Absenderport 45951 auf den FreeRadius Zielport 1812.
  • Called-Station-Id = "F8-D1-11-A6-E5-54:TP-LINK_Test": Mac des TP Link AP
  • Calling-Station-Id = "00-22-FB-7B-D8-A6": = Mac des Test Laptop mit Win 10
  • User-Name = "gast": = User Login Name "gast"
  • eap_peap: Session established. Decoding tunneled attributes: = PEAP Session erfolgreich
  • eap_peap: Success: = PEAP Authentisierung OK
  • Sent Access-Accept from 192.168.1.166:1812 to 10.99.1.148:45951: = FreeRadius sendet ein Accept an den TP-Link AP und Windows WLAN Client ist eingebucht im Netz
  • Ready to process requests: = FreeRadius wartet auf die nächste Nutzer Authentisierung.
  • Fertisch...

Das ganze Setup hat ca. 15 Minuten gedauert.
Bitte warten ..
Mitglied: Jannik2018
16.10.2019 um 22:50 Uhr
Vielen Dank erstmal für die ausfürliche Anleitung bitte noch einfügen wie das mit dem Zertifikat auf dem Server gemacht wurde weil es ja genau da bei Mir Klemmt
Bitte warten ..
Mitglied: aqui
16.10.2019, aktualisiert um 23:00 Uhr
Wie oben schon mehrfach gesagt einfach einmal das Tutorial lesen
https://administrator.de/wissen/sichere-802-1x-wlan-benutzer-authentisie ...
Je nach Distro ist das "certs" Verzeichnis etwas anders gelegen. Es liegt aber immer unterhalb von /etc/freeradius (Debian basierte Distros)
Bitte warten ..
Mitglied: Jannik2018
16.10.2019, aktualisiert um 23:00 Uhr
ja hab ich das funktioniert aber scheinbar irgendwie so nicht bei mir oder ich habe was vergessen deswegen hatte ich nochmal gefragt ich muss ja irgenwie rauskriegen an welcher Stelle es da bei mir klemmt
Bitte warten ..
Mitglied: aqui
16.10.2019, aktualisiert um 23:03 Uhr
Was meckert der FreeRadius Debug denn an bei dir wenn du dich anmeldest am AP ??
Im Zweifel mit apt-purge freeradius das Packet nochmal komplett deinstallieren und neu aufsetzen. Wie gesagt im Grunde muss man eigentlich gar nix machen.
Der Test lief mit dem Default Zertifikat auf einem Orange Pi Zero mit Armbian (Debian).
Bitte warten ..
Mitglied: Jannik2018
17.10.2019, aktualisiert um 00:36 Uhr
hab den debug oben gepostet bei mir leuft es ebenfalls auf Debian
Bitte warten ..
Mitglied: aqui
17.10.2019, aktualisiert um 17:06 Uhr
Bei dir stimmt irgendwas mit dem EAP Type nicht !
Du kannst ja in deinem Debug sehen das dein TP-Link AP da irgendwelchen komischen EAP Type schickt mit dem der Radius nichts anfangen kann: unsupportet PEAP type (25) Sucht man danach ist in 99% der Fehler das das Root Zertifikat fehlt, was du vermutlich nicht generiert hast auf dem FreeRadius ?!
Eigentlich sollte da ein eap: Peer sent packet with method EAP PEAP kommen !!

Leider fehlt auch dein TP-Link Setup aber an dem oben vom test kannst du ja auch sehen das man da nicht viel anderes konfigurieren kann außer IP und Port. Vermutlich ist das bei dir auch so. Aktuellste Firmware hast du auf deinem TP-Link hoffentlich geflasht ?!
Ich sniffer die TP Link Radius Requests mal mit mit dem Wireshark, dann hast du was zu vergleichen mit deiner TP-Link Kiste was da kommen soll für den FreeRadius !!
Ggf. wirklich mit Purge mal platt machen und neu installieren, Zertifikat generieren, fertisch.

Hier die Wireshark Sniffer Traces:
Radius Request des TP-Link Access Points:
rad2req - Klicke auf das Bild, um es zu vergrößern
Hier sieht man das der desired Request ein PEAP Request ist (25).

Radius Server Antwort auf den Request:
rad1 - Klicke auf das Bild, um es zu vergrößern

Alles ganz normal und Standard konform wie es sein soll.
Bitte warten ..
Mitglied: Jannik2018
17.10.2019, aktualisiert um 15:59 Uhr
Ja das Zertifikat fehlt auch weil es so wie beschrieben sich scheinbar bei mir nicht generieren lassen möchte
Bitte warten ..
Mitglied: aqui
17.10.2019, aktualisiert um 17:36 Uhr
Eigentlich komisch und unüblich das es fehlt. Noch komischer das es sich nicht generieren lässt. Das Default Zertifikat erstellt ein simples make im "certs" Verzeichnis. OpenSSL wirst du ja wohl draufhaben auf deinem Server ?!
Kann das sein das bei der Installation was schief gegangen ist ??
So sollte es aussehen:
root@server:/etc/freeradius/3.0/certs# ls -la
total 52
drwxr-xr-x 2 freerad freerad 4096 Apr 19 11:34 .
drwxr-xr-x 9 freerad freerad 4096 Oct  6 15:02 ..
-rw-r----- 1 freerad freerad 2706 Aug 10  2017 bootstrap
-rw-r----- 1 freerad freerad 1432 Aug 10  2017 ca.cnf
-rw-r----- 1 freerad freerad 1103 Aug 10  2017 client.cnf
-rw-r----- 1 freerad freerad  245 Apr 19 11:36 dh
-rw-r----- 1 freerad freerad 4482 Aug 10  2017 Makefile
-rw-r----- 1 freerad freerad 8444 Aug 10  2017 README
-rw-r----- 1 freerad freerad 1125 Aug 10  2017 server.cnf
-rw-r----- 1 freerad freerad  708 Aug 10  2017 xpextensions
root@server:/etc/freeradius/3.0/certs# 
Das ist das Default Zertifikat und auch damit funktioniert es fehlerlos !
http://deployingradius.com/documents/configuration/eap.html
Du musst also zum Testen erstmal keine Produktiv Zertifikate erstellen.
Wenn du sie individuell erstellen willst:
http://deployingradius.com/documents/configuration/certificates.html
Die README Datei im o.a. Verzeichnis hat auch alle Infos zur Generierung. Es reicht ebenso ein einfaches ./bootstrap Das mag aber in anderen Distros ggf. anders sein.
Bitte warten ..
Mitglied: Jannik2018
17.10.2019, aktualisiert um 19:19 Uhr
Er kann mit dem cmd make nichts anfangen
Bitte warten ..
Mitglied: aqui
17.10.2019, aktualisiert um 19:23 Uhr
Hast du mal ein ./make versucht ? Oder du hast die Developer Tools nicht installiert.
Das würde bedeuten das bei dir keine Datei Makefile vorhanden ist ?!
Versuche mal ./bootstrap
Geht aber auch nur wenn die Datei bootstrap im certs Verz. vorhanden ist !
Bitte warten ..
Mitglied: Jannik2018
17.10.2019, aktualisiert um 23:32 Uhr
ja die boostrap datei ist vorhanden
wenn ich ./make sagt er no such file or directory
und bei ./bootstrap erfolgt gar keine ausgabe
mein cert Verzeichnis
Siehe Screen makefile ist vorhanden
screenshot_10 - Klicke auf das Bild, um es zu vergrößern
screenshot_11 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
18.10.2019, aktualisiert um 14:07 Uhr
Du hast die Anleitung gelesen, das du mit rm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt* zuerst mal alle alten Keys und Zertifikate löschen musst ?!
Dann ist das certs Verzeichnis so nackig wie oben !

Dann editierst du mit vi oder nano erstmal die ca.cnf und passt die Rubrik [certificate_authority] an:
countryName = DE
stateOrProvinceName = Hessen
localityName = Frankfurt
organizationName = Privat
emailAddress = jannik@example.org
commonName = "Janniks Certificate Authority"


Dann die server.cnf und passt unten die Rubrik [server] an:
[server]
countryName = DE
stateOrProvinceName = Hessen
localityName = Frankfurt
organizationName = Privat
emailAddress = jannik@example.org
commonName = "Janniks Server Certificate"

Analog kannst du das auch im clients.cnf machen unten unter [client].
Beides ist aber NICHT zwingend sondern eher kosmetisch. Du kannst auch die Default Settings drinlassen.
Tip:
In beiden solltest du noch
default_days = 1824
default_crl_days = 912

hochdrehen, damit das Zertifikat 5 Jahre gültig ist. Die Default Settings mit 60 Tagen sind recht kurz

Dann zuerst die CA erstellen mit make ca.pem und dananch mit make ca.der
Dann das Server Zertifikat mit make server.pem und danach make server.csr
Das sollte es gewesen sein.
Lies dir immer nochmal mit less README die ReadMe Datei durch !! Da steht auch alles drin.
Für PEAP wie oben mit User und Passwort reicht das so. Client Zertifikate brauchst du einzig nur wenn du die WLAN Clients Zertifikatsbasierend behandeln willst was ja erstmal nicht der Fall ist.

Für das Zertifikat ebenfalls wichtig:
Achte darauf das die Uhren im Linux, deinem AP und im Client richtig gehen !! Wenn einer eine falsche Uhrzeit hat kann er die Gültigkeit nicht oder falsch verifizieren. Auch dann scheitert eine Authentisierung.
Du kannst auch sehen das die o.a. Armbian Distro keinerlei generierte Zertifikate hat und die Authentisierung trotzdem fehlerlos rennt.
Das ./bootstrap Script führt der Server beim ersten Start oder Start mit freeradius -X automatisch aus und nutzt dann die Default Test Zertifikate oder eben die erstellten. Deshalb funktionert es auch ganz ohne jegliche Konfig.
Vielleicht versuchst du es auch auch mal ganz ohne mit den Default Test Zertifikaten nachdem du mit rm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt* alle alten Keys und Zerts gelöscht hast und den Server neu gestartet hast.
Bitte warten ..
Mitglied: Jannik2018
22.10.2019, aktualisiert um 02:13 Uhr
hab jetzt rm Gemacht und den Server neugestartet und jetzt befinden sich folgende dateien in dem certs Ordner ist das so korrekt ??
bei mir ist das client setup komplett auskommentiert (siehe Bild) villeicht ist das schon der fehler mein AP hat die IP 192.168.178.100
radius2 - Klicke auf das Bild, um es zu vergrößern
rslient - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
22.10.2019, aktualisiert um 12:24 Uhr
ist das so korrekt ??
Das sieht gut aus !
bei mir ist das client setup komplett auskommentiert
Das kann dann logischerweise nicht gehen, denn dann ignoriert der Radius Server komplett alle eingehenden Requests !
Du gibst ihm in der client.conf das IP Netz oder die Hostadresse frei von denen du überhaupt Radius Requests annehmen willst. Ist diese Datei leer ignoriert er alles.
Das musst du natürlich freigeben ! Das steht aber auch mehrfach in ALLEN Tutorials hier und im Internet. Wie kann man sowas übersehen ?!
villeicht ist das schon der fehler mein AP hat die IP 192.168.178.100
Zu 100% ist er das !
Dort muss dann stehen bei dir:
#  You can now specify one secret for a network of clients.
#  When a client request comes in, the BEST match is chosen.
#  i.e. The entry from the smallest possible network.
#
client server-network {
        ipaddr          = 192.168.178.0/24
        secret          = geheim123
} 
"Secret" ist das Passwort für den Serverzugriff was du individuell setzen solltest.
Danach musst du mit systemctl restart freeradius den Radius neu starten damit der die Settings neu einliest.
Bitte warten ..
Mitglied: Jannik2018
22.10.2019 um 13:22 Uhr
die Anfrage des AP scheint nun zu klappen siehe Screenshot allerdings wenn ich mich Anmelden möchte wird der Zugriff noch Rejektet
screenshot_4 - Klicke auf das Bild, um es zu vergrößern
screenshot_5 - Klicke auf das Bild, um es zu vergrößern
screenshot_6 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
22.10.2019, aktualisiert um 13:36 Uhr
Das sieht fürs erste schon mal gut aus !
  • Wie sieht deine users.conf aus ?? Hast du den User und PW mit dem du dich ins WLAN einloggst dort auch definiert ?
  • Was sagt der Check mit NTRadPing ? Klappt der ?
Bedenklich ist irgendwie das da kein EAP Start kommt.
  • Kann man an deinem TP-Link noch irgendwas einstellen in puncto EAP, PEAP ?
  • Ist die aktuellste Firmware auf dem AP ??
Bitte warten ..
Mitglied: Jannik2018
22.10.2019, aktualisiert um 13:52 Uhr
User ist definiert
der NTRadPing klappt auch
Firmware ist auch aktuell
Kann man an deinem TP-Link noch irgendwas einstellen in puncto EAP, PEAP ?
Hab nichts gefunden
Villeicht liegt es da dran das auf dem AP die Group key Update Period auf 0 steht und bei dir auf 30 ?
Bitte warten ..
Mitglied: aqui
22.10.2019 um 15:27 Uhr
Kann man an deinem TP-Link noch irgendwas einstellen in puncto EAP, PEAP ?
An meinem oben nicht. Siehe Screenshot !
Lediglich die Radius IP, Radius Port und das Passwort was unter clients.conf definiert ist. Das wars...
Mehr muss es eigentlich auch nicht sein. Ist auch überall gleich bei allen APs.
Sniffer den Request bitte mal mit und schicke mal den Content, dann kannst du das mit dem obigen vergleichen !
Dort sollte in jedem Falle Desired Auth Type PEAP (25) drin zu sehen sein !!
Was für ein AP Modell ist das ?
Bitte warten ..
Mitglied: Jannik2018
22.10.2019 um 15:51 Uhr
wie haste das denn gesnifft
Bitte warten ..
Mitglied: Jannik2018
22.10.2019 um 16:13 Uhr
hab ich ja aber wenn ich nach radíus suche tauchen keine pakete auf
Bitte warten ..
Mitglied: aqui
22.10.2019, aktualisiert um 16:33 Uhr
WO misst du denn ???
Bedenke das du den Sniffer logischerweise im Datenstrom drinhaben musst. Entweder über einen Mirror Port am Switch oder mit einer passiven Probe
https://www.amazon.de/Great-Scott-Gadgets-Throwing-Star/dp/B07GYWZPXG/re ...
oder als Bridge:
https://www.heise.de/ct/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22148 ...

Wenn du den Radius auf einem headless Server hast (RasPi und Co) kannst du das aber auch mit tcpdump machen
tcpdump host 192.168.178.100 -i eth0 -vvv
Zeigt dir die eingehenden Pakete auf deinem Radius Server vom AP mit der .100
Bitte warten ..
Mitglied: Jannik2018
22.10.2019 um 16:24 Uhr
tcpdump syntax error in filter expression sagt er mir
Bitte warten ..
Mitglied: aqui
22.10.2019 um 16:32 Uhr
Ooops... Ahhrgg, Mist war auch ein Dreckfuhler oben in der Syntax, sorry ! (Blank zw. - und i)
Ist korrigiert...
Übrigens... Ein man tcpdump hätte dich das selber erkennen lassen !
Bitte warten ..
Mitglied: Jannik2018
22.10.2019, aktualisiert um 16:39 Uhr
hab den fehler
tcpdump -i eth0 -vvv host 192.168.178.100
da war ein leerzeichen deswegen ging es nicht
allerdings taucht immoment noch nichts auf da
Bitte warten ..
Mitglied: aqui
22.10.2019 um 16:41 Uhr
taucht immoment noch nichts auf da
Logisch, denn du musst natürlich erst einen Request triggern indem du dich am WLAN anzumelden versuchst !
Das Kommando geht davon aus das die 192.168.178.100 der WLAN AP ist.
Näheres zur tcpdump Syntax auch hier:
https://danielmiessler.com/study/tcpdump/
Bitte warten ..
Mitglied: Jannik2018
22.10.2019 um 16:43 Uhr
ja ist auch der AP dann mache ich jetzt nochmal per client einen Authentifizierungs versuch
Bitte warten ..
Mitglied: aqui
22.10.2019 um 16:44 Uhr
Die Spannung steigt...
Bitte warten ..
Mitglied: Jannik2018
22.10.2019, aktualisiert um 16:59 Uhr
habs was brauchste davon ?
screenshot_10 - Klicke auf das Bild, um es zu vergrößern
screenshot_9 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
22.10.2019, aktualisiert um 18:46 Uhr
Soweit sieht das nicht falsch aus. Die EAP Attribute 79 und 80 sind auch richtig: Siehe hier:
https://freeradius.org/rfc/rfc2869.html
Kapitel EAP.

Du müsstest mal deine eap.conf checken und vergleichen was dort in der Sektion "EAP" und PEAP" konfiguriert ist.
Dieser PAP Error gehört da definitiv nicht hin bei dir.
So sieht der PEAP Abschnitt in der hiesigen eap Konfig Datei aus:
        #
        peap {
                #  Which tls-config section the TLS negotiation parameters
                #  are in - see EAP-TLS above for an explanation.
                #
                #  In the case that an old configuration from FreeRADIUS
                #  v2.x is being used, all the options of the tls-config
                #  section may also appear instead in the 'tls' section
                #  above. If that is done, the tls= option here (and in
                #  tls above) MUST be commented out.
                #
                tls = tls-common

                #  The tunneled EAP session needs a default
                #  EAP type which is separate from the one for
                #  the non-tunneled EAP module.  Inside of the
                #  PEAP tunnel, we recommend using MS-CHAPv2,
                #  as that is the default type supported by
                #  Windows clients.
                #
                default_eap_type = mschapv2

                #  The PEAP module also has these configuration
                #  items, which are the same as for TTLS.
                #
                copy_request_to_tunnel = no

                #
                #  As of version 3.0.5, this configuration item
                #  is deprecated.  Instead, you should use
                #
                #       update outer.session-state {
                #               ...
                #
                #       }
                #
                #  This will cache attributes for the final Access-Accept.
                #
                use_tunneled_reply = no

                #  When the tunneled session is proxied, the
                #  home server may not understand EAP-MSCHAP-V2.
                #  Set this entry to "no" to proxy the tunneled
                #  EAP-MSCHAP-V2 as normal MSCHAPv2.
                #
        #       proxy_tunneled_request_as_eap = yes

                #
                #  The inner tunneled request can be sent
                #  through a virtual server constructed
                #  specifically for this purpose.
                #
                #  If this entry is commented out, the inner
                #  tunneled request will be sent through
                #  the virtual server that processed the
                #  outer requests.
                #
                virtual_server = "inner-tunnel"

                # This option enables support for MS-SoH
                # see doc/SoH.txt for more info.
                # It is disabled by default.
                #
        #       soh = yes

                #
                # The SoH reply will be turned into a request which
                # can be sent to a specific virtual server:
                #
        #       soh_virtual_server = "soh-server"

                #
                # Unlike EAP-TLS, PEAP does not require a client certificate.
                # However, you can require one by setting the following
                # option. You can also override this option by setting
                #
                #       EAP-TLS-Require-Client-Cert = Yes
                #
                # in the control items for a request.
                #
        #       require_client_cert = yes
        }

        #
        #  This takes no configuration.
        #
        #  Note that it is the EAP MS-CHAPv2 sub-module, not
        #  the main 'mschap' module.
        #
        #  Note also that in order for this sub-module to work,
        #  the main 'mschap' module MUST ALSO be configured.
        #
        #  This module is the *Microsoft* implementation of MS-CHAPv2
        #  in EAP.  There is another (incompatible) implementation
        #  of MS-CHAPv2 in EAP by Cisco, which FreeRADIUS does not
        #  currently support.
        #
        mschapv2 {
                #  Prior to version 2.1.11, the module never
                #  sent the MS-CHAP-Error message to the
                #  client.  This worked, but it had issues
                #  when the cached password was wrong.  The
                #  server *should* send "E=691 R=0" to the
                #  client, which tells it to prompt the user
                #  for a new password.
                #
                #  The default is to behave as in 2.1.10 and
                #  earlier, which is known to work.  If you
                #  set "send_error = yes", then the error
                #  message will be sent back to the client.
                #  This *may* help some clients work better,
                #  but *may* also cause other clients to stop
                #  working.
                #
#               send_error = no

                #  Server identifier to send back in the challenge.
                #  This should generally be the host name of the
                #  RADIUS server.  Or, some information to uniquely
                #  identify it.
#               identity = "FreeRADIUS"
        } 
Bitte warten ..
Mitglied: Jannik2018
22.10.2019, aktualisiert 24.10.2019
Meine EAP Conf
01.
# -*- text -*-
02.
##
03.
##  eap.conf -- Configuration for EAP types (PEAP, TTLS, etc.)
04.
##
05.
##      $Id: 36849e10f284fa34d43fd0d31358dd2699758625 $
06.

07.
#######################################################################
08.
#
09.
#  Whatever you do, do NOT set 'Auth-Type := EAP'.  The server
10.
#  is smart enough
11.
#
12.
eap {
13.
        #  Invoke the default supported EAP type when
14.
        #  EAP-Identity response is received.
15.
        #
16.
        #  The incoming EAP messages DO NOT specify which EAP
17.
        #  type they will be using, so it MUST be set here.
18.
        #
19.
        #  For now, only one default EAP type may be used at a time.
20.
        #
21.
        #  If the EAP-Type attribute is set by another module,
22.
        #  then that EAP type takes precedence over the
23.
        #  default type configured here.
24.
        #
25.
        default_eap_type = md5
26.

27.
        #  A list is maintained to correlate EAP-Response
28.
        #  packets with EAP-Request packets.  After a
29.
        #  configurable length of time, entries in the list
30.
        #  expire, and are deleted.
31.
        #
32.
        timer_expire = 60
33.

34.
        #  There are many EAP types, but the server has support
35.
        #  for only a limited subset.  If the server receives
36.
        #  a request for an EAP type it does not support, then
37.
        #  it normally rejects the request.  By setting this
38.
        #  configuration to "yes", you can tell the server to
39.
        #  instead keep processing the request.  Another module
40.
        #  MUST then be configured to proxy the request to
41.
        #  another RADIUS server which supports that EAP type.
42.
        #
43.
        #  If another module is NOT configured to handle the
44.
        #  request, then the request will still end up being
45.
        #  rejected.
46.
        #
47.
        ignore_unknown_eap_types = no
48.

49.
        # Cisco AP1230B firmware 12.2(13)JA1 has a bug.  When given
50.
        # a User-Name attribute in an Access-Accept, it copies one
51.
        # more byte than it should.
52.
        #
53.
        # We can work around it by configurably adding an extra
54.
        # zero byte.
55.
        #
56.
        cisco_accounting_username_bug = no
57.

58.
        #  Help prevent DoS attacks by limiting the number of
59.
        #  sessions that the server is tracking.  For simplicity,
60.
        #  this is taken from the "max_requests" directive in
61.
        #  radiusd.conf.
62.
        #
63.
        max_sessions = ${max_requests}
64.

65.

66.
        ############################################################
67.
        #
68.
        #  Supported EAP-types
69.
        #
70.

71.

72.
        #  EAP-MD5
73.
        #
74.
        #  We do NOT recommend using EAP-MD5 authentication
75.
        #  for wireless connections.  It is insecure, and does
76.
        #  not provide for dynamic WEP keys.
77.
        #
78.
        md5 {
79.
        }
80.

81.

82.
        #  EAP-pwd -- secure password-based authentication
83.
        #
84.
        #pwd {
85.
        #       group = 19
86.

87.
        #       server_id = theserver@example.com
88.

89.
                #  This has the same meaning as for TLS.
90.
                #
91.
        #       fragment_size = 1020
92.

93.
                # The virtual server which determines the
94.
                # "known good" password for the user.
95.
                # Note that unlike TLS, only the "authorize"
96.
                # section is processed.  EAP-PWD requests can be
97.
                # distinguished by having a User-Name, but
98.
                # no User-Password, CHAP-Password, EAP-Message, etc.
99.
                #
100.
        #       virtual_server = "inner-tunnel"
101.
        #}
102.

103.

104.
        #  Cisco LEAP
105.
        #
106.
        #  We do not recommend using LEAP in new deployments.  See:
107.
        #  http://www.securiteam.com/tools/5TP012ACKE.html
108.
        #
109.
        #  Cisco LEAP uses the MS-CHAP algorithm (but not
110.
        #  the MS-CHAP attributes) to perform it's authentication.
111.
        #
112.
        #  As a result, LEAP *requires* access to the plain-text
113.
        #  User-Password, or the NT-Password attributes.
114.
        #  'System' authentication is impossible with LEAP.
115.
        #
116.
        leap {
117.
        }
118.

119.

120.
        #  EAP-GTC -- Generic Token Card
121.
        #
122.
        #  Currently, this is only permitted inside of EAP-TTLS,
123.
        #  or EAP-PEAP.  The module "challenges" the user with
124.
        #  text, and the response from the user is taken to be
125.
        #  the User-Password.
126.
        #
127.
        #  Proxying the tunneled EAP-GTC session is a bad idea,
128.
        #  the users password will go over the wire in plain-text,
129.
        #  for anyone to see.
130.
        #
131.
        gtc {
132.
                #  The default challenge, which many clients
133.
                #  ignore..
134.
                #
135.
        #       challenge = "Password: "
136.

137.
                #  The plain-text response which comes back
138.
                #  is put into a User-Password attribute,
139.
                #  and passed to another module for
140.
                #  authentication.  This allows the EAP-GTC
141.
                #  response to be checked against plain-text,
142.
                #  or crypt'd passwords.
143.
                #
144.
                #  If you say "Local" instead of "PAP", then
145.
                #  the module will look for a User-Password
146.
                #  configured for the request, and do the
147.
                #  authentication itself.
148.
                #
149.
                auth_type = PAP
150.
        }
151.

152.

153.
        #  Common TLS configuration for TLS-based EAP types
154.
        #  ------------------------------------------------
155.
        #
156.
        #  See raddb/certs/README for additional comments
157.
        #  on certificates.
158.
        #
159.
        #  If OpenSSL was not found at the time the server was
160.
        #  built, the "tls", "ttls", and "peap" sections will
161.
        #  be ignored.
162.
        #
163.
        #  If you do not currently have certificates signed by
164.
        #  a trusted CA you may use the 'snakeoil' certificates.
165.
        #  Included with the server in raddb/certs.
166.
        #
167.
        #  If these certificates have not been auto-generated:
168.
        #    cd raddb/certs
169.
        #    make
170.
        #
171.
        #  These test certificates SHOULD NOT be used in a normal
172.
        #  deployment.  They are created only to make it easier
173.
        #  to install the server, and to perform some simple
174.
        #  tests with EAP-TLS, TTLS, or PEAP.
175.
        #
176.
        #  Note that you should NOT use a globally known CA here!
177.
        #  e.g. using a Verisign cert as a "known CA" means that
178.
        #  ANYONE who has a certificate signed by them can
179.
        #  authenticate via EAP-TLS!  This is likely not what you want.
180.
        #
181.
        tls-config tls-common {
182.
                private_key_password = whatever
183.
                private_key_file = ${certdir}/server.pem
184.

185.
                #  If Private key & Certificate are located in
186.
                #  the same file, then private_key_file &
187.
                #  certificate_file must contain the same file
188.
                #  name.
189.
                #
190.
                #  If ca_file (below) is not used, then the
191.
                #  certificate_file below SHOULD also include all of
192.
                #  the intermediate CA certificates used to sign the
193.
                #  server certificate, but NOT the root CA.
194.
                #
195.
                #  Including the ROOT CA certificate is not useful and
196.
                #  merely inflates the exchanged data volume during
197.
                #  the TLS negotiation.
198.
                #
199.
                #  This file should contain the server certificate,
200.
                #  followed by intermediate certificates, in order.
201.
                #  i.e. If we have a server certificate signed by CA1,
202.
                #  which is signed by CA2, which is signed by a root
203.
                #  CA, then the "certificate_file" should contain
204.
                #  server.pem, followed by CA1.pem, followed by
205.
                #  CA2.pem.
206.
                #
207.
                #  When using "ca_file" or "ca_dir", the
208.
                #  "certificate_file" should contain only
209.
                #  "server.pem".  And then you may (or may not) need
210.
                #  to set "auto_chain", depending on your version of
211.
                #  OpenSSL.
212.
                #
213.
                #  In short, SSL / TLS certificates are complex.
214.
                #  There are many versions of software, each of which
215.
                #  behave slightly differently.  It is impossible to
216.
                #  give advice which will work everywhere.  Instead,
217.
                #  we give general guidelines.
218.
                #
219.
                certificate_file = ${certdir}/server.pem
220.

221.
                #  Trusted Root CA list
222.
                #
223.
                #  This file can contain multiple CA certificates.
224.
                #  ALL of the CA's in this list will be trusted to
225.
                #  issue client certificates for authentication.
226.
                #
227.
                #  In general, you should use self-signed
228.
                #  certificates for 802.1x (EAP) authentication.
229.
                #  In that case, this CA file should contain
230.
                #  *one* CA certificate.
231.
                #
232.
                ca_file = ${cadir}/ca.pem
233.

234.
                #  OpenSSL will automatically create certificate chains,
235.
                #  unless we tell it to not do that.  The problem is that
236.
                #  it sometimes gets the chains right from a certificate
237.
                #  signature view, but wrong from the clients view.
238.
                #
239.
                #  When setting "auto_chain = no", the server certificate
240.
                #  file MUST include the full certificate chain.
241.
                #
242.
        #       auto_chain = yes
243.

244.
                #  If OpenSSL supports TLS-PSK, then we can use a
245.
                #  fixed PSK identity and (hex) password.  As of
246.
                #  3.0.18, these can be used at the same time as the
247.
                #  certificate configuration, but only for TLS 1.0
248.
                #  through 1.2.
249.
                #
250.
                #  If PSK and certificates are configured at the same
251.
                #  time for TLS 1.3, then the server will warn you,
252.
                #  and will disable TLS 1.3, as it will not work.
253.
                #
254.
                #  The work around is to have two modules (or for
255.
                #  RadSec, two listen sections).  One will have PSK
256.
                #  configured, and the other will have certificates
257.
                #  configured.
258.
                #
259.
        #       psk_identity = "test"
260.
        #       psk_hexphrase = "036363823"
261.

262.
                #  Dynamic queries for the PSK.  If TLS-PSK is used,
263.
                #  and psk_query is set, then you MUST NOT use
264.
                #  psk_identity or psk_hexphrase.
265.
                #
266.
                #  Instead, use a dynamic expansion similar to the one
267.
                #  below.  It keys off of TLS-PSK-Identity.  It should
268.
                #  return a of string no more than 512 hex characters.
269.
                #  That string will be converted to binary, and will
270.
                #  be used as the dynamic PSK hexphrase.
271.
                #
272.
                #  Note that this query is just an example.  You will
273.
                #  need to customize it for your installation.
274.
                #
275.
        #       psk_query = "%{sql:select hex(key) from psk_keys where keyid = '                                                                                                                                                             %{TLS-PSK-Identity}'}"
276.

277.
                #  For DH cipher suites to work, you have to
278.
                #  run OpenSSL to create the DH file first:
279.
                #
280.
                #    openssl dhparam -out certs/dh 2048
281.
                #
282.
                dh_file = ${certdir}/dh
283.

284.
                #  If your system doesn't have /dev/urandom,
285.
                #  you will need to create this file, and
286.
                #  periodically change its contents.
287.
                #
288.
                #  For security reasons, FreeRADIUS doesn't
289.
                #  write to files in its configuration
290.
                #  directory.
291.
                #
292.
        #       random_file = /dev/urandom
293.

294.
                #  This can never exceed the size of a RADIUS
295.
                #  packet (4096 bytes), and is preferably half
296.
                #  that, to accommodate other attributes in
297.
                #  RADIUS packet.  On most APs the MAX packet
298.
                #  length is configured between 1500 - 1600
299.
                #  In these cases, fragment size should be
300.
                #  1024 or less.
301.
                #
302.
        #       fragment_size = 1024
303.

304.
                #  include_length is a flag which is
305.
                #  by default set to yes If set to
306.
                #  yes, Total Length of the message is
307.
                #  included in EVERY packet we send.
308.
                #  If set to no, Total Length of the
309.
                #  message is included ONLY in the
310.
                #  First packet of a fragment series.
311.
                #
312.
        #       include_length = yes
313.

314.

315.
                #  Check the Certificate Revocation List
316.
                #
317.
                #  1) Copy CA certificates and CRLs to same directory.
318.
                #  2) Execute 'c_rehash <CA certs&CRLs Directory>'.
319.
                #     'c_rehash' is OpenSSL's command.
320.
                #  3) uncomment the lines below.
321.
                #  5) Restart radiusd
322.
        #       check_crl = yes
323.

324.
                # Check if intermediate CAs have been revoked.
325.
        #       check_all_crl = yes
326.

327.
                ca_path = ${cadir}
328.

329.
                # Accept an expired Certificate Revocation List
330.
                #
331.
        #       allow_expired_crl = no
332.

333.
                #  If check_cert_issuer is set, the value will
334.
                #  be checked against the DN of the issuer in
335.
                #  the client certificate.  If the values do not
336.
                #  match, the certificate verification will fail,
337.
                #  rejecting the user.
338.
                #
339.
                #  This check can be done more generally by checking
340.
                #  the value of the TLS-Client-Cert-Issuer attribute.
341.
                #  This check can be done via any mechanism you
342.
                #  choose.
343.
                #
344.
        #       check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company L                                                                                                                                                             td"
345.

346.
                #  If check_cert_cn is set, the value will
347.
                #  be xlat'ed and checked against the CN
348.
                #  in the client certificate.  If the values
349.
                #  do not match, the certificate verification
350.
                #  will fail rejecting the user.
351.
                #
352.
                #  This check is done only if the previous
353.
                #  "check_cert_issuer" is not set, or if
354.
                #  the check succeeds.
355.
                #
356.
                #  In 2.1.10 and later, this check can be done
357.
                #  more generally by checking the value of the
358.
                #  TLS-Client-Cert-Common-Name attribute.  This check
359.
                #  can be done via any mechanism you choose.
360.
                #
361.
        #       check_cert_cn = %{User-Name}
362.

363.
                #  Set this option to specify the allowed
364.
                #  TLS cipher suites.  The format is listed
365.
                #  in "man 1 ciphers".
366.
                #
367.
                #  For EAP-FAST, use "ALL:!EXPORT:!eNULL:!SSLv2"
368.
                #
369.
                cipher_list = "DEFAULT"
370.

371.
                #  If enabled, OpenSSL will use server cipher list
372.
                #  (possibly defined by cipher_list option above)
373.
                #  for choosing right cipher suite rather than
374.
                #  using client-specified list which is OpenSSl default
375.
                #  behavior.  Setting this to "yes" means that OpenSSL
376.
                #  will choose the servers ciphers, even if they do not
377.
                #  best match what the client sends.
378.
                #
379.
                #  TLS negotiation is usually good, but can be imperfect.
380.
                #  This setting allows administrators to "fine tune" it
381.
                #  if necessary.
382.
                #
383.
                cipher_server_preference = no
384.

385.
                #  You can selectively disable TLS versions for
386.
                #  compatability with old client devices.
387.
                #
388.
                #  If your system has OpenSSL 1.1.0 or greater, do NOT
389.
                #  use these.  Instead, set tls_min_version and
390.
                #  tls_max_version.
391.
                #
392.
        #       disable_tlsv1_2 = no
393.
        #       disable_tlsv1_1 = no
394.
        #       disable_tlsv1 = no
395.

396.
                #  Set min / max TLS version.  Mainly for Debian
397.
                #  "trusty", which disables older versions of TLS, and
398.
                #  requires the application to manually enable them.
399.
                #
400.
                #  If you are running Debian trusty, you should set
401.
                #  these options, otherwise older clients will not be
402.
                #  able to connect.
403.
                #
404.
                #  Allowed values are "1.0", "1.1", and "1.2".
405.
                #
406.
                #  The values must be in quotes.
407.
                #
408.
        #       tls_min_version = "1.0"
409.
        #       tls_max_version = "1.2"
410.

411.
                #  Elliptical cryptography configuration
412.
                #
413.
                #  Only for OpenSSL >= 0.9.8.f
414.
                #
415.
                ecdh_curve = "prime256v1"
416.

417.
                #  Session resumption / fast reauthentication
418.
                #  cache.
419.
                #
420.
                #  The cache contains the following information:
421.
                #
422.
                #   session Id - unique identifier, managed by SSL
423.
                #   User-Name  - from the Access-Accept
424.
                #   Stripped-User-Name - from the Access-Request
425.
                #   Cached-Session-Policy - from the Access-Accept
426.
                #
427.
                #  The "Cached-Session-Policy" is the name of a
428.
                #  policy which should be applied to the cached
429.
                #  session.  This policy can be used to assign
430.
                #  VLANs, IP addresses, etc.  It serves as a useful
431.
                #  way to re-apply the policy from the original
432.
                #  Access-Accept to the subsequent Access-Accept
433.
                #  for the cached session.
434.
                #
435.
                #  On session resumption, these attributes are
436.
                #  copied from the cache, and placed into the
437.
                #  reply list.
438.
                #
439.
                #  You probably also want "use_tunneled_reply = yes"
440.
                #  when using fast session resumption.
441.
                #
442.
                cache {
443.
                        #  Enable it.  The default is "no". Deleting the entire                                                                                                                                                              "cache"
444.
                        #  subsection also disables caching.
445.
                        #
446.
                        #  As of version 3.0.14, the session cache requires the                                                                                                                                                              use
447.
                        #  of the "name" and "persist_dir" configuration items,                                                                                                                                                              below.
448.
                        #
449.
                        #  The internal OpenSSL session cache has been permanent                                                                                                                                                             ly
450.
                        #  disabled.
451.
                        #
452.
                        #  You can disallow resumption for a particular user by                                                                                                                                                              adding the
453.
                        #  following attribute to the control item list:
454.
                        #
455.
                        #    Allow-Session-Resumption = No
456.
                        #
457.
                        #  If "enable = no" below, you CANNOT enable resumption                                                                                                                                                              for just one
458.
                        #  user by setting the above attribute to "yes".
459.
                        #
460.
                        enable = no
461.

462.
                        #  Lifetime of the cached entries, in hours. The session                                                                                                                                                             s will be
463.
                        #  deleted/invalidated after this time.
464.
                        #
465.
                        lifetime = 24 # hours
466.

467.
                        #  Internal "name" of the session cache. Used to
468.
                        #  distinguish which TLS context sessions belong to.
469.
                        #
470.
                        #  The server will generate a random value if unset.
471.
                        #  This will change across server restart so you MUST
472.
                        #  set the "name" if you want to persist sessions (see
473.
                        #  below).
474.
                        #
475.
                #       name = "EAP module"
476.

477.
                        #  Simple directory-based storage of sessions.
478.
                        #  Two files per session will be written, the SSL
479.
                        #  state and the cached VPs. This will persist session
480.
                        #  across server restarts.
481.
                        #
482.
                        #  The default directory is ${logdir}, for historical
483.
                        #  reasons.  You should ${db_dir} instead.  And check
484.
                        #  the value of db_dir in the main radiusd.conf file.
485.
                        #  It should not point to ${raddb}
486.
                        #
487.
                        #  The server will need write perms, and the directory
488.
                        #  should be secured from anyone else. You might want
489.
                        #  a script to remove old files from here periodically:
490.
                        #
491.
                        #    find ${logdir}/tlscache -mtime +2 -exec rm -f {} \;
492.
                        #
493.
                        #  This feature REQUIRES "name" option be set above.
494.
                        #
495.
                #       persist_dir = "${logdir}/tlscache"
496.
                }
497.

498.
                #  As of version 2.1.10, client certificates can be
499.
                #  validated via an external command.  This allows
500.
                #  dynamic CRLs or OCSP to be used.
501.
                #
502.
                #  This configuration is commented out in the
503.
                #  default configuration.  Uncomment it, and configure
504.
                #  the correct paths below to enable it.
505.
                #
506.
                #  If OCSP checking is enabled, and the OCSP checks fail,
507.
                #  the verify section is not run.
508.
                #
509.
                #  If OCSP checking is disabled, the verify section is
510.
                #  run on successful certificate validation.
511.
                #
512.
                verify {
513.
                        #  If the OCSP checks succeed, the verify section
514.
                        #  is run to allow additional checks.
515.
                        #
516.
                        #  If you want to skip verify on OCSP success,
517.
                        #  uncomment this configuration item, and set it
518.
                        #  to "yes".
519.
                        #
520.
                #       skip_if_ocsp_ok = no
521.

522.
                        #  A temporary directory where the client
523.
                        #  certificates are stored.  This directory
524.
                        #  MUST be owned by the UID of the server,
525.
                        #  and MUST not be accessible by any other
526.
                        #  users.  When the server starts, it will do
527.
                        #  "chmod go-rwx" on the directory, for
528.
                        #  security reasons.  The directory MUST
529.
                        #  exist when the server starts.
530.
                        #
531.
                        #  You should also delete all of the files
532.
                        #  in the directory when the server starts.
533.
                        #
534.
                #       tmpdir = /tmp/radiusd
535.

536.
                        #  The command used to verify the client cert.
537.
                        #  We recommend using the OpenSSL command-line
538.
                        #  tool.
539.
                        #
540.
                        #  The ${..ca_path} text is a reference to
541.
                        #  the ca_path variable defined above.
542.
                        #
543.
                        #  The %{TLS-Client-Cert-Filename} is the name
544.
                        #  of the temporary file containing the cert
545.
                        #  in PEM format.  This file is automatically
546.
                        #  deleted by the server when the command
547.
                        #  returns.
548.
                        #
549.
                #       client = "/path/to/openssl verify -CApath ${..ca_path} %                                                                                                                                                             {TLS-Client-Cert-Filename}"
550.
                }
551.

552.
                #  OCSP Configuration
553.
                #
554.
                #  Certificates can be verified against an OCSP
555.
                #  Responder. This makes it possible to immediately
556.
                #  revoke certificates without the distribution of
557.
                #  new Certificate Revocation Lists (CRLs).
558.
                #
559.
                ocsp {
560.
                        #  Enable it.  The default is "no".
561.
                        #  Deleting the entire "ocsp" subsection
562.
                        #  also disables ocsp checking
563.
                        #
564.
                        enable = no
565.

566.
                        #  The OCSP Responder URL can be automatically
567.
                        #  extracted from the certificate in question.
568.
                        #  To override the OCSP Responder URL set
569.
                        #  "override_cert_url = yes".
570.
                        #
571.
                        override_cert_url = yes
572.

573.
                        #  If the OCSP Responder address is not extracted from
574.
                        #  the certificate, the URL can be defined here.
575.
                        #
576.
                        url = "http://127.0.0.1/ocsp/"
577.

578.
                        # If the OCSP Responder can not cope with nonce
579.
                        # in the request, then it can be disabled here.
580.
                        #
581.
                        # For security reasons, disabling this option
582.
                        # is not recommended as nonce protects against
583.
                        # replay attacks.
584.
                        #
585.
                        # Note that Microsoft AD Certificate Services OCSP
586.
                        # Responder does not enable nonce by default. It is
587.
                        # more secure to enable nonce on the responder than
588.
                        # to disable it in the query here.
589.
                        # See http://technet.microsoft.com/en-us/library/cc77041                                                                                                                                                             3%28WS.10%29.aspx
590.
                        #
591.
                #       use_nonce = yes
592.

593.
                        # Number of seconds before giving up waiting
594.
                        # for OCSP response. 0 uses system default.
595.
                        #
596.
                #       timeout = 0
597.

598.
                        # Normally an error in querying the OCSP
599.
                        # responder (no response from server, server did
600.
                        # not understand the request, etc) will result in
601.
                        # a validation failure.
602.
                        #
603.
                        # To treat these errors as 'soft' failures and
604.
                        # still accept the certificate, enable this
605.
                        # option.
606.
                        #
607.
                        # Warning: this may enable clients with revoked
608.
                        # certificates to connect if the OCSP responder
609.
                        # is not available. Use with caution.
610.
                        #
611.
                #       softfail = no
612.
                }
613.
        }
614.

615.

616.
        #  EAP-TLS
617.
        #
618.
        #  As of Version 3.0, the TLS configuration for TLS-based
619.
        #  EAP types is above in the "tls-config" section.
620.
        #
621.
        tls {
622.
                #  Point to the common TLS configuration
623.
                #
624.
                tls = tls-common
625.

626.
                #  As part of checking a client certificate, the EAP-TLS
627.
                #  sets some attributes such as TLS-Client-Cert-Common-Name. Thi                                                                                                                                                             s
628.
                #  virtual server has access to these attributes, and can
629.
                #  be used to accept or reject the request.
630.
                #
631.
        #       virtual_server = check-eap-tls
632.
        }
633.

634.

635.
        #  EAP-TTLS -- Tunneled TLS
636.
        #
637.
        #  The TTLS module implements the EAP-TTLS protocol,
638.
        #  which can be described as EAP inside of Diameter,
639.
        #  inside of TLS, inside of EAP, inside of RADIUS...
640.
        #
641.
        #  Surprisingly, it works quite well.
642.
        #
643.
        ttls {
644.
                #  Which tls-config section the TLS negotiation parameters
645.
                #  are in - see EAP-TLS above for an explanation.
646.
                #
647.
                #  In the case that an old configuration from FreeRADIUS
648.
                #  v2.x is being used, all the options of the tls-config
649.
                #  section may also appear instead in the 'tls' section
650.
                #  above. If that is done, the tls= option here (and in
651.
                #  tls above) MUST be commented out.
652.
                #
653.
                tls = tls-common
654.

655.
                #  The tunneled EAP session needs a default EAP type
656.
                #  which is separate from the one for the non-tunneled
657.
                #  EAP module.  Inside of the TTLS tunnel, we recommend
658.
                #  using EAP-MD5.  If the request does not contain an
659.
                #  EAP conversation, then this configuration entry is
660.
                #  ignored.
661.
                #
662.
                default_eap_type = md5
663.

664.
                #  The tunneled authentication request does not usually
665.
                #  contain useful attributes like 'Calling-Station-Id',
666.
                #  etc.  These attributes are outside of the tunnel,
667.
                #  and normally unavailable to the tunneled
668.
                #  authentication request.
669.
                #
670.
                #  By setting this configuration entry to 'yes',
671.
                #  any attribute which is NOT in the tunneled
672.
                #  authentication request, but which IS available
673.
                #  outside of the tunnel, is copied to the tunneled
674.
                #  request.
675.
                #
676.
                #  allowed values: {no, yes}
677.
                #
678.
                copy_request_to_tunnel = no
679.

680.
                #  As of version 3.0.5, this configuration item
681.
                #  is deprecated.  Instead, you should use
682.
                #
683.
                #    update outer.session-state {
684.
                #      ...
685.
                #    }
686.
                #
687.
                #  This will cache attributes for the final Access-Accept.
688.
                #
689.
                #  The reply attributes sent to the NAS are usually
690.
                #  based on the name of the user 'outside' of the
691.
                #  tunnel (usually 'anonymous').  If you want to send
692.
                #  the reply attributes based on the user name inside
693.
                #  of the tunnel, then set this configuration entry to
694.
                #  'yes', and the reply to the NAS will be taken from
695.
                #  the reply to the tunneled request.
696.
                #
697.
                #  allowed values: {no, yes}
698.
                #
699.
                use_tunneled_reply = no
700.

701.
                #  The inner tunneled request can be sent
702.
                #  through a virtual server constructed
703.
                #  specifically for this purpose.
704.
                #
705.
                #  A virtual server MUST be specified.
706.
                #
707.
                virtual_server = "inner-tunnel"
708.

709.
                #  This has the same meaning, and overwrites, the
710.
                #  same field in the "tls" configuration, above.
711.
                #  The default value here is "yes".
712.
                #
713.
        #       include_length = yes
714.

715.
                #  Unlike EAP-TLS, EAP-TTLS does not require a client
716.
                #  certificate. However, you can require one by setting the
717.
                #  following option. You can also override this option by
718.
                #  setting
719.
                #
720.
                #    EAP-TLS-Require-Client-Cert = Yes
721.
                #
722.
                #  in the control items for a request.
723.
                #
724.
                #  Note that the majority of supplicants do not support using a
725.
                #  client certificate with EAP-TTLS, so this option is unlikely
726.
                #  to be usable for most people.
727.
                #
728.
        #       require_client_cert = yes
729.
        }
730.

731.

732.
        #  EAP-PEAP
733.
        #
734.

735.
        ##################################################
736.
        #
737.
        #  !!!!! WARNINGS for Windows compatibility  !!!!!
738.
        #
739.
        ##################################################
740.
        #
741.
        #  If you see the server send an Access-Challenge,
742.
        #  and the client never sends another Access-Request,
743.
        #  then
744.
        #
745.
        #               STOP!
746.
        #
747.
        #  The server certificate has to have special OID's
748.
        #  in it, or else the Microsoft clients will silently
749.
        #  fail.  See the "scripts/xpextensions" file for
750.
        #  details, and the following page:
751.
        #
752.
        #       https://support.microsoft.com/en-us/help/814394/
753.
        #
754.
        #  If is still doesn't work, and you're using Samba,
755.
        #  you may be encountering a Samba bug.  See:
756.
        #
757.
        #       https://bugzilla.samba.org/show_bug.cgi?id=6563
758.
        #
759.
        #  Note that we do not necessarily agree with their
760.
        #  explanation... but the fix does appear to work.
761.
        #
762.
        ##################################################
763.

764.
        #  The tunneled EAP session needs a default EAP type
765.
        #  which is separate from the one for the non-tunneled
766.
        #  EAP module.  Inside of the TLS/PEAP tunnel, we
767.
        #  recommend using EAP-MS-CHAPv2.
768.
        #
769.
        peap {
770.
                #  Which tls-config section the TLS negotiation parameters
771.
                #  are in - see EAP-TLS above for an explanation.
772.
                #
773.
                #  In the case that an old configuration from FreeRADIUS
774.
                #  v2.x is being used, all the options of the tls-config
775.
                #  section may also appear instead in the 'tls' section
776.
                #  above. If that is done, the tls= option here (and in
777.
                #  tls above) MUST be commented out.
778.
                #
779.
                tls = tls-common
780.

781.
                #  The tunneled EAP session needs a default
782.
                #  EAP type which is separate from the one for
783.
                #  the non-tunneled EAP module.  Inside of the
784.
                #  PEAP tunnel, we recommend using MS-CHAPv2,
785.
                #  as that is the default type supported by
786.
                #  Windows clients.
787.
                #
788.
                default_eap_type = mschapv2
789.

790.
                #  The PEAP module also has these configuration
791.
                #  items, which are the same as for TTLS.
792.
                #
793.
                copy_request_to_tunnel = no
794.

795.
                #  As of version 3.0.5, this configuration item
796.
                #  is deprecated.  Instead, you should use
797.
                #
798.
                #    update outer.session-state {
799.
                #      ...
800.
                #    }
801.
                #
802.
                #  This will cache attributes for the final Access-Accept.
803.
                #
804.
                use_tunneled_reply = no
805.

806.
                #  When the tunneled session is proxied, the
807.
                #  home server may not understand EAP-MSCHAP-V2.
808.
                #  Set this entry to "no" to proxy the tunneled
809.
                #  EAP-MSCHAP-V2 as normal MSCHAPv2.
810.
                #
811.
        #       proxy_tunneled_request_as_eap = yes
812.

813.
                #  The inner tunneled request can be sent
814.
                #  through a virtual server constructed
815.
                #  specifically for this purpose.
816.
                #
817.
                #  A virtual server MUST be specified.
818.
                #
819.
                virtual_server = "inner-tunnel"
820.

821.
                #  This option enables support for MS-SoH
822.
                #  see doc/SoH.txt for more info.
823.
                #  It is disabled by default.
824.
                #
825.
        #       soh = yes
826.

827.
                #  The SoH reply will be turned into a request which
828.
                #  can be sent to a specific virtual server:
829.
                #
830.
        #       soh_virtual_server = "soh-server"
831.

832.
                #  Unlike EAP-TLS, PEAP does not require a client certificate.
833.
                #  However, you can require one by setting the following
834.
                #  option. You can also override this option by setting
835.
                #
836.
                #    EAP-TLS-Require-Client-Cert = Yes
837.
                #
838.
                #  in the control items for a request.
839.
                #
840.
                #  Note that the majority of supplicants do not support using a
841.
                #  client certificate with PEAP, so this option is unlikely to
842.
                #  be usable for most people.
843.
                #
844.
        #       require_client_cert = yes
845.
        }
846.

847.

848.
        #  EAP-MSCHAPv2
849.
        #
850.
        #  Note that it is the EAP MS-CHAPv2 sub-module, not
851.
        #  the main 'mschap' module.
852.
        #
853.
        #  Note also that in order for this sub-module to work,
854.
        #  the main 'mschap' module MUST ALSO be configured.
855.
        #
856.
        #  This module is the *Microsoft* implementation of MS-CHAPv2
857.
        #  in EAP.  There is another (incompatible) implementation
858.
        #  of MS-CHAPv2 in EAP by Cisco, which FreeRADIUS does not
859.
        #  currently support.
860.
        #
861.
        mschapv2 {
862.
                #  Prior to version 2.1.11, the module never
863.
                #  sent the MS-CHAP-Error message to the
864.
                #  client.  This worked, but it had issues
865.
                #  when the cached password was wrong.  The
866.
                #  server *should* send "E=691 R=0" to the
867.
                #  client, which tells it to prompt the user
868.
                #  for a new password.
869.
                #
870.
                #  The default is to behave as in 2.1.10 and
871.
                #  earlier, which is known to work.  If you
872.
                #  set "send_error = yes", then the error
873.
                #  message will be sent back to the client.
874.
                #  This *may* help some clients work better,
875.
                #  but *may* also cause other clients to stop
876.
                #  working.
877.
                #
878.
        #       send_error = no
879.

880.
                #  Server identifier to send back in the challenge.
881.
                #  This should generally be the host name of the
882.
                #  RADIUS server.  Or, some information to uniquely
883.
                #  identify it.
884.
                #
885.
        #       identity = "FreeRADIUS"
886.
        }
887.

888.

889.
        #  EAP-FAST
890.
        #
891.
        #  The FAST module implements the EAP-FAST protocol
892.
        #
893.
        #fast {
894.
                #  Point to the common TLS configuration
895.
                #
896.
        #       tls = tls-common
897.

898.
                #  If 'cipher_list' is set here, it will over-ride the
899.
                #  'cipher_list' configuration from the 'tls-common'
900.
                #  configuration.  The EAP-FAST module has it's own
901.
                #  over-ride for 'cipher_list' because the
902.
                #  specifications mandata a different set of ciphers
903.
                #  than are used by the other EAP methods.
904.
                #
905.
                #  cipher_list though must include "ADH" for anonymous provision                                                                                                                                                             ing.
906.
                #  This is not as straight forward as appending "ADH" alongside
907.
                #  "DEFAULT" as "DEFAULT" contains "!aNULL" so instead it is
908.
                #  recommended "ALL:!EXPORT:!eNULL:!SSLv2" is used
909.
                #
910.
                #  Note - for OpenSSL 1.1.0 and above you may need
911.
                #  to add ":@SECLEVEL=0"
912.
                #
913.
        #       cipher_list = "ALL:!EXPORT:!eNULL:!SSLv2"
914.

915.
                #  PAC lifetime in seconds (default: seven days)
916.
                #
917.
        #       pac_lifetime = 604800
918.

919.
                #  Authority ID of the server
920.
                #
921.
                #  If you are running a cluster of RADIUS servers, you should ma                                                                                                                                                             ke
922.
                #  the value chosen here (and for "pac_opaque_key") the same on                                                                                                                                                              all
923.
                #  your RADIUS servers.  This value should be unique to your
924.
                #  installation.  We suggest using a domain name.
925.
                #
926.
        #       authority_identity = "1234"
927.

928.
                #  PAC Opaque encryption key (must be exactly 32 bytes in size)
929.
                #
930.
                #  This value MUST be secret, and MUST be generated using
931.
                #  a secure method, such as via 'openssl rand -hex 32'
932.
                #
933.
        #       pac_opaque_key = "0123456789abcdef0123456789ABCDEF"
934.

935.
                #  Same as for TTLS, PEAP, etc.
936.
                #
937.
        #       virtual_server = inner-tunnel
938.
        #}
939.
}
Bitte warten ..
Mitglied: aqui
22.10.2019 um 19:04 Uhr
Wer soll das bitte lesen
Bitte dringenst Code Tags verwenden !!!
https://administrator.de/faq/20#toc-27
Bitte warten ..
Mitglied: Jannik2018
22.10.2019 um 19:13 Uhr
hab screens gemacht damit es einfacher ist
Bitte warten ..
Mitglied: aqui
24.10.2019, aktualisiert um 11:02 Uhr
BITTE setze ZUSÄTZLICH den obigen Text DRINGENST auch in Code Tags !!!!
Mehr als 3mal sagen plus PM kann man das ja nicht.
Du kannst das doch selber sehen im Browser das kein Mensch das lesen kann von der unnötigen Platzverschwendung hier mal gar nicht zu reden. Das muss doch nicht sein...
So kannst du diese Gruselformatierung hier im Forum nicht lassen !
Nebenbei sind dein 3 quasi leeren Screenshots doch Schwachsinn. Sorry aber das steht doch gar nichts drin. Was bringt das also ??
Räume also DRINGENST dein Posting hier mal auf damit wir hier strukturiert weitermachen können. So ist das unmöglich...
https://administrator.de/faq/20#toc-30
Bitte warten ..
Mitglied: Jannik2018
24.10.2019, aktualisiert um 12:59 Uhr
code tags wurden gesetzt
Bitte warten ..
Mitglied: aqui
24.10.2019 um 13:51 Uhr
Röchel...
Aber wie du ja selber sehen kannst sind die Konfig Einstellungen völlig identisch...mmmhhh.
Was ist das für ein AP Modell ?
Bitte warten ..
Mitglied: Jannik2018
24.10.2019, aktualisiert um 22:23 Uhr
Tplink 300M Wireless N Acces Point
also mit Meinem Samsung handy klappt der auth per Win 7 client nicht
Bitte warten ..
Mitglied: aqui
25.10.2019, aktualisiert um 10:22 Uhr
mit Meinem Samsung handy klappt der auth per Win 7 client nicht
Bahnhof, Ägypten ???
Wie meinst du das ?? Du kannst doch nur entweder mit dem Samsung Client oder dem Win 7 Client testen ?!
Beides sind 2 komplett getrennte Geräte die ganz eigene Authentisierungen machen. Das eine hat gar nix mit dem anderen zu tun, der eine macht seine Authentsierung und der andere macht seine. Niemals macht ein Smartphone Client eine Auth "über" einen Rechner Client oder vice versa. Ginge technisch ja auch gar nicht.
Oder wie meinst du den obigen verschwurbelten Satz genau ??
Einen "Tplink 300M" kennt das gesamte Produkt Portfolio von TP-Link übrigens nirgendwo ! Bist du sicher das das, das richtige Modell ist ??
Bitte warten ..
Mitglied: Jannik2018
25.10.2019 um 18:57 Uhr
du hats mich Falsch verstanden ich meinte
das wenn ich mich über mein Samsung am AP authentifizieren möchte funktioniert die authentifizierung
teste ich es mit einem WIn 7 Client wird die Auth Anfrage rejekted
Bitte warten ..
Mitglied: aqui
25.10.2019, aktualisiert um 20:44 Uhr
Poste mal deine User.conf settings !
Ich habe hier im Test setup gesehen das bei Mac Authentisierung die Mac Adressen case sensitive sind. (Groß- Kleinschreibung) Damit bekam ich die gleiche PAP Fehlermeldung wie du.
Wenn du Mac Auth machst ist das möglich das es daran liegt.
002185dab65c    Cleartext-Password := "002185dab65c"
#               Tunnel-Type = 13,
#               Tunnel-Medium-Type = 6,
#               Tunnel-Private-Group-Id = 10
#
vlan10          Cleartext-Password := "vlan10"
#                   Tunnel-Type = 13,
#                   Tunnel-Medium-Type = 6,
#                   Tunnel-Private-Group-Id = 10
# 
#       Notebook Wifi
0027857E8250    Cleartext-Password := "0027857E8250"
#
0023FA7BD9A6  Cleartext-Password := "0023FA7BD9A6"
   User-Name = user1,
   Tunnel-Type = VLAN,
   Tunnel-Medium-Type = IEEE-802,
   Tunnel-Private-Group-ID = 0010
# 
Mit den 2 unteren Einträgen scheiterte die Auth (PAP Error), weil diese Großbuchstaben in der Mac verwendeten.
Bitte warten ..
Mitglied: Jannik2018
25.10.2019 um 20:42 Uhr
ich mache ja kein Mac Auth ich will ja user Pass auth
Bitte warten ..
Mitglied: aqui
25.10.2019, aktualisiert um 20:44 Uhr
Sieht deine Konfig so aus wie oben (vlan10 Beispiel) ?
Bitte warten ..
Mitglied: Jannik2018
25.10.2019, aktualisiert um 22:36 Uhr
Meine User Config testen mache ich mit bob also JA
users.cong_raius - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
26.10.2019, aktualisiert um 12:21 Uhr
Deine Error Meldung kommt vom User tester mit dem Auth Type PAP !!
Den solltest du besser erstmal komplett mit "#" auskommentieren !!

Tip:
Nutze nicht die Default User Datei authorize !
Kommentiere dort alles was an Testusern da ist aus. Einzig solltest du die drei DEFAULT Settings unten für PPP, SLIP und CSLIP lassen. Alles andere auskommentieren.
Unter dem Header Text der Datei fügst du dann direkt als ersten Befehl ein: $INCLUDE users.test
Dann erzeugst du dir eine separate Datei mit:
  • touch users.test
  • Änderst mit chown freerad:freerad users.test den Owner
  • und setzt mit chmod 640 users.test die Rechte
So sieht das dann aus in dem Verzeichnis:
root@raspi:/etc/freeradius/3.0/mods-config/files# ls -la
total 28
drwxr-xr-x 2 freerad freerad 4096 Oct 26 12:10 .
drwxr-xr-x 9 freerad freerad 4096 Apr 19  2019 ..
-rw-r----- 1 freerad freerad  717 Aug 10  2017 accounting
-rw-r----- 1 freerad freerad 7150 Oct 26 12:10 authorize
-rw-r----- 1 freerad freerad 1030 Aug 10  2017 pre-proxy
-rw-r----- 1 freerad freerad 3171 Oct 25 18:40 users.test 
Damit hast du dann eine eigene kleine Users Datei ohne das du immer in der User Beispieldatei fummeln musst.
Ist zum Testen und Troubleshooten einfacher zu handhaben.
Bitte warten ..
Mitglied: Jannik2018
26.10.2019 um 18:54 Uhr
hab ich nun allerdings funktioniert die Anmeldung via win 7 Client am AP immernoch nicht
Bitte warten ..
Mitglied: aqui
26.10.2019 um 20:24 Uhr
Ich habs jetzt mal mit Mikrotik, Cisco, Ruckus probiert rennt fehlerlos am Switch, Accesspoint usw.:
https://administrator.de/forum/wlan-vlan-zuordnung-radius-eigenschaften- ...
Bitte warten ..
Mitglied: Jannik2018
26.10.2019 um 20:45 Uhr
inwiefern hilft mir dass ??
Bitte warten ..
Mitglied: aqui
27.10.2019 um 10:40 Uhr
Nur mal als Beispiel wie es auf dem FreeRadius aussieht....
Bitte warten ..
Mitglied: Jannik2018
27.10.2019, aktualisiert 30.11.2019
achso und wie bekomm ich mein win 7 jetzt verbunden auf dem Screen hab ich mal den error gepostet wenn ich mich versuche mit win 7 zu verbinden
rejekt_win7 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Ähnliche Inhalte
Windows Server
RADIUS Authentifizierung in WLAN
Frage von osze90Windows Server7 Kommentare

Hallo Ich bin bald sicher 1 Jahr a üben aber bringe es einfach nicht hin. Da das ursprüngliche Thema ...

LAN, WAN, Wireless
Wlan radius computer authentifizierung
Frage von q16marvinLAN, WAN, Wireless4 Kommentare

Hallo, ich habe nun sehr lange nach einer Lösung gesucht, leider nichts gefunden. Ziel: ich habe nun 12 Laptops ...

Netzwerkgrundlagen

Experte für RADIUS-Authentifizierung

gelöst Frage von osze90Netzwerkgrundlagen16 Kommentare

Guten Tag Ich möchte mich gerne über meinen Laptop mit einem WLAN verbinden ohne angabe von PSK sondern über ...

Windows Netzwerk

RADIUS 802.1x Geräte Authentifizierung

gelöst Frage von CloudyWindows Netzwerk3 Kommentare

Hallo, Ich habe hier ein kleines Problem bei der Konfiguration meines neuen RADIUS Servers. Ich möchte, dass sich alle ...

Neue Wissensbeiträge
Sicherheit
Böser Bug in Domänenkennwortrichtlinie!
Information von DerWoWusste vor 3 StundenSicherheit

Ich spiege mal Borncity: In Kürze: Nutzt Ihr eine Domänen-Kennwortrichtlinie der herkömmlichen Art (keine PSO-Richtlinie)? Ja? Und plant Ihr, ...

Windows Tools
7-Zip v19.0 MSI silent uninstall
Tipp von Dirmhirn vor 1 TagWindows Tools5 Kommentare

Hi, ich versuchte grade 7-Zip v19.0 MSI silent zu deinstallieren. mit msiexec /x stürzt mir immer der Explorer ab. ...

Windows 10

Theoretisches dauerhaftes Abschalten von Windows-Updates (Windows 10)

Tipp von beidermachtvongreyscull vor 1 TagWindows 105 Kommentare

Moin Kollegen, ich weiß, ich weiß, nur ein Wahnsinniger sperrt Windows-Updates, aber dennoch gibt es Gründe, Windows 10 auf ...

Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 6 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Ca. 120 Ubiquiti Unifi AP-AC Pro in einem Netz
Frage von aditzLAN, WAN, Wireless20 Kommentare

Hallo Ubiquiti-Spezialisten, geplant ist ein flächendeckendes WLAN für ein Altenheim mit den oben genannten APs. Ich habe mal auf ...

Windows 10
Win10 Build Nummer auslesen
Frage von MotoMicWindows 1017 Kommentare

Hallo, ich habe hier einen Windows 10 Pro installierten Rechner. Leider ist mir nicht bekannt, welche Build Nummer installiert ...

Sicherheitsgrundlagen
Sperrung der IMAP Aktivierung: GMail für Apple Mail - in einer Schul-Google-Suite
Frage von lazylandSicherheitsgrundlagen15 Kommentare

Hallo, ich würde mich sehr über Eure Einschätzung und Rat freuen: Der Administrator einer Google Suite (Schule) löscht aus ...

Server-Hardware
Anschaffung neuer Server
Frage von tschip1801Server-Hardware14 Kommentare

unsere Firma bekommt einen neuen Server, ich bin schon sehr lange nicht mehr so tief im geschehen um hier ...