hotrest
Goto Top

Android - iPhone und WLAN über Radius mit (hostapd, dnsmasq und freeradius) Problem.

Hallo zusammen,

ich habe folgende Konfiguration - Linuxrechner mit einem Wlan-Adapter ist als AP konfiguriert. Die User-Authentifizierung findet über Radius (802.1x) auf dem selben Rechner statt.

Ich habe Probleme mit einem Android 4.1.2 (Samsung Note 10.1) die wlan Verbindung aufzubauen - Note meldet "Authentifizierungsfehler aufgetreten".

Desweiteren habe ich mein W7 PC mit einem Wlan-Stik ausgestatten und die Drahtlosverbindung entsprechend eingerichtet. Wenn ich jetzt die Verbindung mit dem PC aufbaue, baut Note die Verbindung danach auch auf. Starte ich Linux-Rechner neu, dann kann ich mit dem Note die Verbindung erst aufbauen, wenn ich vorher diese mit dem PC aufgebaut habe. Sonst bekomme ich Fehlermeldung "Authentifizierungsfehler aufgetreten".

Ich gehe davon aus, dass meine Konfiguration im Grunde richtig ist und nur irgend ein Detail (vermutlich mit hostapd) fehlt.

Dann habe ich noch folgendes getestet:
- AP reboot
- Raduis stoppen service freeradius stop
- Radius im debug-modus starten freeradius -X (Ready to process requests.)
- Mit Note Verbindungsversuch
=> freeradius schweigt. Er bekommt von hostapd keine Authentifizierungsanforderung.

Dann gehe ein Schritt weiter und stecke USB-Wlan Adapter in mein PC ein.
=> freeradius authentifiziert mich und ich bin mit dem PC im WLAN. Ca. 5 Sekunden später kommt eine authentifizierung für Note und der Note ist im WLAN.

Danach funktioniert alles bis zum reboot.

Hat jemand ein Tipp für mich?

Edit: Gerade eben getestet. Das gleiche ist mit dem iPhone.

Content-ID: 247030

Url: https://administrator.de/forum/android-iphone-und-wlan-ueber-radius-mit-hostapd-dnsmasq-und-freeradius-problem-247030.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

hotrest
hotrest 21.08.2014 um 10:28:11 Uhr
Goto Top
Jetzt habe ich noch hostapd getestet:
- AP reboot
- hostapd stoppen service hostapd stop
- Hostapd im debug-modus starten hostapd -d /etc/hostapd/hostapd.conf
- Mit Note Verbindungsversuch
=> hostapd schweigt.

Dann stecke ich wieder USB-Wlan Adapter in mein PC.
=> hostapd haut die Ausgabe durch und ich bin mit dem PC im WLAN. Ca. 5 Sekunden später kommt die Ausgabe für Note und dann ist auch der Note im WLAN.
aqui
aqui 21.08.2014, aktualisiert am 15.05.2023 um 16:33:47 Uhr
Goto Top
WAS sagt der Freeradius wenn du ihn mal im Debug Mode mit -X startest und die Auth Prozedur dann wiederholst ??
Zu ""Authentifizierungsfehler aufgetreten" sollte er dann zusätzlich dediziert ausgeben WAS das ausgelöst hat.

Weitere Infos mit Troubleshooting Tips findest du hier:
Freeradius Management mit WebGUI
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und was den Radius Server angeht auch hier:
Netzwerk Management Server mit Raspberry Pi

Wichtig ist also das Radius Debug Log.
hotrest
hotrest 21.08.2014 um 15:15:56 Uhr
Goto Top
Danke für die Info, aqui. Alle deine Themen in Bezug auf Firewall/Radius/Raspberry/VLAN kenne ich bereits und natürlich nochmal durgeschaut.

Das ist das Problem - der Radius bekommt keine Authentifizierungsanfrage von hostapd... egal wie oft ich die Verbindungsversuche anstosse. Das habe ich mit dem Android-Tablet und dem iPhone ausprobiert. auch hostapd schweigt dabei. Ich habe beide dienste im Debug gestartet und die Ausgabe in die Textdateien geleitet. Es passiert wirklich nichts bis ich die Verbindung mit dem PC aufbaue. Das dumme ist - es funktioniert danach ja alles. Ich sehe alle Verbindungsversuche auf beiden diensten.

Irgendwie zündet mein Wlan-Stik das Ganze an.

Wenn ich mir die Prozesskette überlege: ich habe hostapd, danach kommt radius und erst dann dnsmasq. Was gibt es denn vor dem hostapd, was stören oder helfen könnte?
Iptables schließe ich aus. Ich habe iptables --flush ausgeführt und mit iptables -L geprüft, dass die Tabellen leer sind.
WIFI-Treiber? WIFI-Chipset(rtl8192cu)?

Gibt es eine möglichkeit die Clients zu debuggen?
aqui
Lösung aqui 21.08.2014, aktualisiert am 22.08.2014 um 13:07:24 Uhr
Goto Top
der Radius bekommt keine Authentifizierungsanfrage von hostapd
Dann ist das je eindeutig ! Entweder hast du dann ein internes IP Kommunikationsproblem (falsche IP, Maske usw.) oder der hostapd sendet gar keinen Radius Request raus.
Eine dieser beiden Ursachen muss das haben.
Hast du mal mit tcpdump nachgesehen ob vom hostapd überhaupt Radius Requests kommen ??
Die hostapd.conf muss was den Radius Teil anbetrifft ungefähr so aussehen:
auth_server_addr=127.0.0.1 # Radius server IP
auth_server_port=1812 # Auth port Radius
auth_server_shared_secret=Geheim # Radius Key
acct_server_addr=127.0.0.1 # Radius Server IP
acct_server_port=1813 # Accounting Port
acct_server_shared_secret=Geheim # Radius Key

Ist dem so bei dir ?
Wenn du dann den tcpdump mal auf der 127.0.0.1 lauschen lässt müsstest du da was sehen.
Achte auch darauf sofern du ne lokale Firewall aktiv hast das die den Zugriff zulässt. Besser zum erstmal deaktivieren !
hotrest
hotrest 21.08.2014 um 17:07:34 Uhr
Goto Top
Zitat von @aqui:
Dann ist das je eindeutig ! Entweder hast du dann ein internes IP Kommunikationsproblem (falsche IP, Maske usw.) oder der hostapd
sendet gar keinen Radius Request raus.
Hm.. Würde ich ausschließen. Denn nach dem Connect mit dem PC klappt ja alles bis zum reboot.

Hast du mal mit tcpdump nachgesehen ob vom hostapd überhaupt Radius Requests kommen ??
Das ist der Hund begraben. Da kommt nichts an.

Die hostapd.conf muss was den Radius Teil anbetrifft ungefähr so aussehen:
auth_server_addr=127.0.0.1 # Radius server IP
auth_server_port=1812 # Auth port Radius
auth_server_shared_secret=Geheim # Radius Key
acct_server_addr=127.0.0.1 # Radius Server IP
acct_server_port=1813 # Accounting Port
acct_server_shared_secret=Geheim # Radius Key

Ist dem so bei dir ?

Ja. Ist so. Wocher kennst du mein Password? ;)
Das habe ich zusätzlich im Config: own_ip_addr=127.0.0.1

Wenn du dann den tcpdump mal auf der 127.0.0.1 lauschen lässt müsstest du da was sehen.
Da kommt nix, bis ich mich mit dem PC verbinde.

Ich habe da was mit hostapd -dd entdeckt... das könnte Probleme bereiten, oder?
1408632489.946139: random: Got 17/20 bytes from /dev/random
1408632489.946284: random: Only 17/20 bytes of strong random data available from /dev/random
1408632489.946376: random: Not enough entropy pool available for secure operations
1408632489.946450: WPA: Not enough entropy in random pool for secure operations - update keys later when the first station connects
aqui
aqui 21.08.2014 um 19:22:35 Uhr
Goto Top
Da kommt nix, bis ich mich mit dem PC verbinde.
Dann schickt der hostapd aber de facto über die interne localhost IP auch kein einziges Radius Paket an den Server...sonst würde man das doch sehen !!
Es sei denn du hast ne Firewall an ?!
Kein Radius...keine Authentisierung...so einfach ist das. Kann natürlich auch sein das du in deinen WLAN Clients mit denen du versuchst kein 802.1x aktiviert hast...dann natürlich auch kein Radius...ist klar.
Die WPA Fehlermeldung klingt nicht gut...
https://bbs.archlinux.org/viewtopic.php?id=151342
und es gibt noch weitere zu dem Thema wenn man bei Tante Google sucht.
Das solltest du vermutlich eher zuerst fixen., denn wenn keine WPA Assoziierung des Clients am AP passiert dann wieder kein Radius.
hotrest
hotrest 22.08.2014 um 13:06:56 Uhr
Goto Top
Ich habe jetzt den AP zu mir ins Büro umgestellt und es geht alles einwandfrei. Dann nochmal in den Serverschrank... Geht wieder nicht (trotz 3 von 4 Antennenbalken)… Etwas näher ran (ca. 5 Meter) -> geht wieder. Zwischen meinem Büro und dem Serverraum ist ein Brandschutzmauer. Trotzdem hatte ich mit anderen Adaptern nie solche Probleme.
Die gesamte Geschichte ist irgendwie merkwürdig.

Danke für deine Hilfe aqui.
aqui
aqui 22.08.2014 aktualisiert um 13:26:44 Uhr
Goto Top
...in der Tat !!!
Die Feldstärke hat ja nun rein gar nichts mit der Radius Authentisierung zu tun ?! Evtl. eine falsche Kabel Patchung ?
Setz doch sonst mal eine größere Antenne mit mehr Gewinn auf die WLAN Komponente. Die sollte das doch sauber kompensieren !
http://www.wimo.de/uebersicht-wlan-antennen_2_d.html
hotrest
hotrest 22.08.2014 um 14:25:14 Uhr
Goto Top
Leider kann ich bei meinem Adapter keine externe Antenne einsetzen.

Ich habe einen tp-Link 822n USB Adapter.