samvanratt
Goto Top

Mikrotik cAP mit Captcha und RADIUS

Hallo zusammen
bei meinem letzten VorOrt Besuch bin ich in einem älteren Hotel untergebracht worden. Da hatte ich teilweise Probleme mit deren (Zyxel UAG) WLAN.
Auf Nachfrage wurde mir mitgeteilt das dies manchmal passiert, denen aber ein Admin zur Behebung fehlt. Kurzerhand wurde mir dann ein LTE Router hingestellt.
Letzte Woche wurde ich dann von dem Hotel angerufen da geschlossen und ich doch auch ein Computertechniker bin, ob ich da nicht evtl. heflen könne.
Die Woche habe ich nun durch Corona geringfügig weniger Arbeit, habe durch auch Ahnung von WLAN Steuerung, bin aber mit solchen Anforderungen die der Zyxel bietet sehr fremd. Da auch noch renoviert wird und weitere Reichweite angefragt wurde, würde ich gerne auf lange und kompatible Produkte zurückgreifen, da deren jetzige Serie (UAG4100) zu klein wird und die APs immer seltener werden, abgesehen von dem "mal geht's, mal nicht" Problem. Ich finde auch deren Zuverlässigkeit nicht berauschend und die Lizenz pro User dürften bei denen schnell erschöpft sein durch wechselndes Clientel pro Tag.
Mein Gedanke wäre Mikrotik gewesen. Gefordert wird ein Captcha Portal zur Eingabe von User/PW, den man bevorzugt an der Rezeption mit einem Drei-Tasten-Drucker erstellt und dem Gast mitgibt.
Dat is mir komplett fremd sowas mal simpel umzusetzen (mit meinem auch begrenzen Mikrotik Wissen). Mikrotik deswegen, weil der letzte Admin genau sowas Anfang des Jahres umsetzen wollte aber ersatzlos verstorben ist (?!). Vorhanden wäre also ein CCR1009; was ich lesen konnte ein recht potentes Teil.
Ich kann mir nur vorstellen ein RADIUS Gate als Webfrontend hinzustellen. Die Druckerlösung wird da aber schon seit Ewigkeiten benutzt und hat sich eingebürgert. Webfrontends und falsch geschriebene Passwörter sind da sicher unschön.

Frage: hat jemand sowas schon mal in der Richtung gemacht. Gegen meine dd-wrt Kenntnisse ist Mikrotik schon eine ganz andere Klasse.
Ist da ein Captcha, bzw. User/PW Generierung und Auslesevorgang implementierbar? Hat Mikrotik direkte/fertige Hotellösungen?

Gruß
Sam

Content-ID: 631613

Url: https://administrator.de/forum/mikrotik-cap-mit-captcha-und-radius-631613.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

tikayevent
Lösung tikayevent 14.12.2020 aktualisiert um 23:45:22 Uhr
Goto Top
Es heißt Captive Portal und Mikrotik hat sowas integriert.

Mit einem Drei-Tasten-Drucker wird man da nicht weiterkommen, weil das in die Kategorie Sonderlösungen fällt. Hier müsste man einfach mal mit dem Betreiber reden, ob man da nicht darauf verzichten kann.
Ich hatte sowas mal für unsere Verwaltung gebaut, aber auf LANCOM-Basis. Da fängt man dann halt an, zu Hardware zu basteln und Software zu programmieren.

Für die Hotspot-Einrichtung auf Mikrotik gibt es sogar einen Assistenten.

Nur wenn du keine Ahnung von Mikrotik hast, solltest du überlegen, ob du es wirklich tun willst. Ich weiß nicht, wie stark dein Interesse ist, diesen Auftrag zu übernehmen, aber hier wäre wohl das Beste, erstmal ein paar Euros zu investieren und einen Mikrotik hEX oder was ähnlich kleines für zuhause zu kaufen, um einfach mal in die Materie zu rutschen.

Wenn du dich wirklich mit der Druckerlösung auseinandersetzen willst, empfehle ich einen Raspi, einen Citizen-Bondrucker (dem Treiber wegen), einen Lötkolben, etwas Elektronikgrundwissen und handwerkliches Geschick.

So als Idee für eine alternative Lösung: Benutzer im Block anlegen, dass man von jeder Sorte erstmal 1000 im System hat, diese dann ausdrucken, zurechtschneiden und bereitlegen. Die Mitarbeiter sehen ja, wenn der Stapel sich leert und dann könnte man wieder neu anlegen.
aqui
Lösung aqui 15.12.2020 aktualisiert um 08:53:21 Uhr
Goto Top
Eine Beispiel Lösung zum Abtippen findest du hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Die dynamische VLAN Zuordnung kannst du dir wegdenken, das kannst du statisch machen.

Wegen der Einmaltickets für Gäste solltest du aber auf ggf. auf eine bequemere Lösung wechseln z.B. mit Ruckus APs (R320).
Dort gibt es ein einfaches aber effizientes Ticket System gleich im AP integriert was mit einem simplen Browser zu bedienen ist:
gast
Sprache ist natürlich selbstredend auch auf Deutsch umschaltbar ! face-wink
tikayevent
tikayevent 15.12.2020 um 09:41:41 Uhr
Goto Top
Wenn wir hier jetzt schon wieder mit den Fremdproduktempfehlungen anfangen: Man könnte auch einen LANCOM-Router mit der Public-Spot-Option nehmen, da kann man den Voucherdruck mit zwei Klicks machen, erster Klick einen Link öffnen, zweiter Klick den Druckdialog bestätigen. Gibt auch Vorlagen, damit man das ganze auf einem Bondrucker ausdrucken kann, der vom PC aus erreichbar ist (Epson TM88 z.B. aber am Ende muss der Bondrucker nur einen zum System passenden Treiber mitliefern).

Was an WLAN am Ende dahinter ist, ist dem Router egal, kann man auch kabelgebunden weitergeben.
Looser27
Lösung Looser27 15.12.2020 um 10:19:17 Uhr
Goto Top
Moin,

ich streu mal ein wenig Salz in die Wunden und werfe die Unifi-Lösung samt CP in den Raum. Die Vouchers kann man über eine Webseite generieren und dann, entsprechenden Drucker vorausgesetzt, als "Abriss-Blättchen" ausgeben.

Ansonsten auf A4 ausdrucken und mit der Schere auseinanderschneiden.... face-wink

Gruß

Looser
SamvanRatt
SamvanRatt 25.12.2020 um 17:39:08 Uhr
Goto Top
Hallo tikayevent
sorry für die lange Wartezeit.
Vielen Dank für den Hinweis mit dem vorgefertigten Usern (was ja Zyxel da mit dem Drucker auch kurzerhand macht) + Ausdrucken vorab; bin ich gar nicht auf die Möglichkeit gekommen....

Mikrotik hatte der Admin wohl damals schon vorgesehen+gekauft, daher (ist ja ein Riesen Budget Problem sowas dann Hotelweit auszurollen; gerade jetzt wo Hotels wohl rein Minus machen. Einen CAP fähigen AP von Mikrotik habe ich sicher auch dort, oder bekomme ihn gestellt.

Auftrag annehmen ist so eine Sache: ich habe es mir angesehen und das ist für mich fast ein Versprechen woran ich mich aus Prinzip halte. Ob meine Lösung aber für Hotelgewerbe gehbar sind, sehe ich dann wenn ich es mal vorstelle. Ich habe mir das Teil mal hersenden lassen. Den Drucker lassen wir eher fallen; da finde ich RADIUS und seine Möglichkeiten wesentlich besser. Deren Hotelsoftware nutzt eine Firebird DB und mein geliebtes "pfsense" (gemeint ist freeRADIUS3) kann pgsql oder mysql anbinden; da kann man sicher was automatisieren (PLZ, Geburtsdatum, Anreisetag), was ich evtl. als Feature verkaufen kann um notwendige Hardware (pfsense) zu finanzieren.

Danke für die Hinweise und Tips.

Gruß
Sam
SamvanRatt
SamvanRatt 25.12.2020 um 17:50:04 Uhr
Goto Top
Hallo aqui
danke für die Produkte; das jetzige System kommt mit Knopfdruck daher, was akzeptabel ist. WebGUIs wurden mir schon mitgeteilt das diese unerwünscht sind, auch wenn ich das eher als Feature sehe (User darf sein PW selbst wählen). Die VLANs habe ich zuerst eher als störend empfunden, finde aber den Gedanken an RADIUS assigned VLAN (opt. 82 afair) super: sicherheit in jedem Zimmer. Früher oder später kommt da bei jeder Steuereinheit die Frage nach Datenschutz dazu.
Daher dürfte dieAnleitung sicher ein guter Start sein; ich finde Mikrotik unglaublich potent (HArdware wie Software) aber die Bedienung/Philosophie ist mir teils so fremd das es fast abstoßend war (im vgl. zu wrt oder den Cisco CAPS die bei uns rumkurven).
Wie vorher erwähnt denke ich an einen SQL importer nach um das PW nach einem Feld der Hotelsoftware zu betanken; Da ich einen pfsense Supportkontrakt mitkaufen will (empfehle ich zumindest) gibt es da evtl auch jemanden mit SQL export/import Kenntnissen um das umzusetzen; die Firebird ist ja in Wartung und evtl. kann ich da auch auf die Firma zugehen. Einzig fraglich wie gerne die Wollen das denen jemand Fremdes (wenn auch nur lesend) deren DB antouched....

Mal sehen; danke der Anleitung!!!
Gruß
Sam
SamvanRatt
SamvanRatt 25.12.2020 um 18:04:50 Uhr
Goto Top
Hi tikayevent
deren WLAN und LAN ist streng getrennt (=getrennte Verkabelung und kein Zugriff aus den anderen Netzen), daher auch die Drei Button Lösung von Zyxel wie jetzt. Sowieso verwunderlich wieso das nur noch bedingt funktioniert. Wahrscheinlich ist jemand in den UAG eingedrungen und hat ein wenig rumgespielt. Ein weiterer Grund für VLANs=>am Backbone soll keiner rumspielen können.

Wie teuer ist denn LANCOM (WLC + je ein AP)? Haben die je USer/Zugriff/AccessPoint Lizenzgebühren? Die Zyxellösung wäre noch attraktiv, will mich aber nicht in ein sterbendes Konzept (neu ist die Nebular Cloud) einarbeiten wenn die Lizenzgebühren in Großlösung zu teuer sind (wie bei Zyxel). Von der Größe sind rund 25APs, ein WLC und ein zusammenfassender (pfsense) Router an mehrere DSL Anschlüsse geplant.
Schade um den dicken Mikrotik WLC, aber als Dankeschön kommt da höchstens ein wohlwollendes "wegen Unterbringung in der Gegend müssen sie sich keine Gedanken mehr machen" entgegen. Ich will denen also auch keine Enterpriselösung hinstellen/bauen die sicher an einigen punkten immer wieder kränkelt..
Dank dd-wrt bin ich mit WLAN Bridges und den vielen vielen Möglichkeiten eines APs durchaus vertraut. Ich hoffe mit dem PW ist eine Variable des Gastes die "gemeinsame" Schnittstelle zu minimieren=>Textexport auf einen ftp Server und ebenso import via ftp, kurz noch awk und fertig. (als nicht Programmierer schreibt sich das immer so schön)
Gruß
Sam
SamvanRatt
SamvanRatt 25.12.2020 um 18:13:36 Uhr
Goto Top
Hi Looser27
Ubiquiti ist mir da nicht viel lieber als Mikrotik (von denen ich immer wieder sagen muss das sie für das Geld richtig gute Hardware hinstellen); vor10 Jahren hatte ich mal ein Ubiquiti Projekt zwecks Parkhausvernetzung in Rostock und auch wenn ich nur für die Datenverschlüsselung der Backends (Server) zuständig war habe ich von den Softwarevernetzern nur unmut über unschöne Schnittstellen mitbekommen und die unzulänglichkeiten damals mit Ubiquiti.

Wie teuer ist denn eine ungefähre Lösung für 25APs und ein WLC (inkl rund 500 konk. Zugriffen und rund 100 Users + 25 APs)?`
Meine "Open source" Lösung bringt ja auch nichts wenn instabil oder zu teuer; daher sind integre Lösungen sicher lieber gesehen. Wie der Admin auf Mikrotik kam weiß ich natürlich nicht. Bloß wegen dicker Hardware pro Geld (und keine Lizenzkosten) ist ja noch keine Lösung erwachsen.

Gruß
Sam
tikayevent
Lösung tikayevent 25.12.2020 um 22:32:39 Uhr
Goto Top
Bei LANCOM kommt es darauf an, wsa man nimmt.

Wenn du die vorhandenen APs weiternutzen willst/kannst, bräuchtest du nur einen LANCOM-Router und die Public Spot-Option. Ein einfacher LANCOM 1790EF liegt bei unter 400€ im Netz, die Public Spot-Option dazu kostet keine 70€. Wenn du die volle Integration ins das PMS des Hotels haben willst, wäre auch dieses Möglich, dafür gibt es ne gesonderte Option. Da ist halt die Frage, welches PMS im Einsatz ist und ob es unterstützt wird.

In der eben beschriebenen Lösung können 128 Benutzer gleichzeitig angelegt sein. Es gibt die Möglichkeit, die Benutzertabelle regelmäßig leeren zu lassen.
Wenn du stattdessen einen anderen Router nimmst, können auch 256 Benutzer gleichzeitig in der Benutzertabelle liegen.
Wenn du den WLC-4006+ nimmst, hast du die Möglichkeit, auch die Access Points zu verwalten, wobei der kleine WLC das Maximum bei 25 APs hat und die ersten sechs sind inklusive. Beim WLC-4006+ ist bereits die Public Spot-Option für 256 Benutzer enthalten.

Wenn das nicht reicht, gibt es noch die große Lösung ohne Benutzerlimit, aber mit der Empfehlung für maximal 2500 gleichzeitig angelegte Benutzer (5000 sind aber auch kein Problem).

Die Hardware und die Optionen werden einmalig erworben, es gibt keine zwingenden Folgekosten.

Dann gibt es noch die Alternative vRouter. Für die benötigst du entweder VMWare oder Hyper-V, zahlst diese für einen Zeitraum von einem, drei oder fünf Jahren, hast aber dann Sachen wir Public Spot und auch die Public Spot PMS-Option bereits enthalten.

Bei den Access Points kommt es darauf an, was du brauchst. Die gibts von 200€ bis ich glaube 1800€. Unterschiede gibt es hier beim Einsatzort (Innen, Industrieumgebung und Außen), dem eingesetzten WiFi-Standard und der maximalen Gesamtbandbreite. Die günstigsten Geräte (LW-500 und LW-600) sind Zukaufprodukte, während alle anderen Geräte in Deutschland gefertigt werden.

Die Haltbarkeit von dem Zeug ist enorm. Ich tausche aktuell unsere Access Points aus, die seit 2013 im Einsatz sind und problemlos funktionieren. Der einzige Grund ist deren End of Life. Von 230 APs hab ich einen kaputt geflasht (gab ne Woche später Ersatz), zwei sind ausgefallen, einer wurde geklaut und zwei haben meine Wut zu spüren bekommen. Der Rest funktioniert noch wunderbar.

PS: Die Public Spot-Option kann man auch an eine eigene RADIUS-Lösung hängen, dann entfallen aber die Assistenten zur Benutzeranlage.
SamvanRatt
SamvanRatt 02.01.2021 um 13:38:20 Uhr
Goto Top
Hi Aqui
ich hänge gerade vor dem Konvertieren vom Datumsformat EU in "US" freeRADIUS: 13.01.2020 in Jan 13 2020 wie es radiusd gerne sieht.
Ursprung ist eine csv Datei, sprich schön wäre es den daemon auf EU verträglich umzustellen. Afaik geht das nicht?!
Gruß
Sam
aqui
aqui 03.01.2021 um 12:39:47 Uhr
Goto Top
Geht vermutlich in der Tat nur mit Scripting:
http://lists.freeradius.org/pipermail/freeradius-users/2009-December/04 ...
usw.
Wenn du nach "FreeRadius Europe date format" googelst gibt es einige Einträge dazu.
SamvanRatt
SamvanRatt 03.01.2021 um 13:02:24 Uhr
Goto Top
Hi Aqui
habe ich nun auch so gelöst (cat zu sed zu awk). Bin genau auf den Thread auch gekommen wobei der in der Ursache (Exportformat mySQL) gelöst wurde; wurde auch vom Chef Alan DeKok so vorgeschlagen, anstatt das Format mal in Richtung ISO zu schieben [ist sicher Amerikaner... face-smile ].

Gruß und Danke der schnellen Antwort; bin einfach nur einmal alle zwei Jahre an freeRADIUS dran.
Sam
SamvanRatt
SamvanRatt 03.01.2021 aktualisiert um 14:17:34 Uhr
Goto Top
Hier mein Zeile (kein Hexenwerk) mit meinem Ansatz von guter (links nach Rechts) Lesbarkeit:

cat ZIMMER01.csv 2>/dev/null | sed 's/\.01\./,Jan,/' | sed 's/\.02\./,Feb,/' | sed 's/\.03\./,Mar,/' | sed 's/\.04\./,Apr,/' | sed 's/\.05\./,May,/' | sed 's/\.06\./,Jun,/' | sed 's/\.07\./,Jul,/' | sed 's/\.08\./,Aug,/' | sed 's/\.09\./,Sep,/' | sed 's/\.10\./,Oct,/' | sed 's/\.11\./,Nov,/' | sed 's/\.12\./,Dec,/' | awk -F ',' '{print "\x22ZIMMER01\x22\tCleartext-Password := \x22"$1"\x22','\t""Expiration := \x22"$3" "$2" "$4""" ""12:00""\x22"}' > /EXPORT/ZIMMER01.rad


Mich wundert das es noch kein *nix Tool gibtwas die Zeitkonvertierung vornimmt gibt, sondern entweder date (+posixzeit) missbraucht wird oder man solche supiden Ansätze von oben gehen muss.
Naja vielleicht kann's ja einer brauchen.
Sam
aqui
aqui 03.01.2021 um 15:01:05 Uhr
Goto Top
👍
SamvanRatt
SamvanRatt 18.01.2021 um 13:39:12 Uhr
Goto Top
Hallo zusammen
ich bin nun den Weg des Exadmins gegangen und habe mich mit dem Mikrotik eingelassen.
Auch wenn ich Mikrotik von unserem Firmensystem her (als Client) kenne ist es Wahnsinn was da an Funktionen intus ist. Eigentlich von den Möglichkeiten eine Verschwendung wenn ich nur wegen meines Wissens eine pfsense davor schalte und einen weiteren Router verbrauche, da der CCR1009 mehr Leistung und I/Os hat als der 5100er den ich dafür angedacht habe (multiple WAN). Die Winbox ist die bei weitem schnellste GUI die ich dazu je gesehen habe!!!
Ohne Aquis verlinke Anleitungen wäre ich da aber sofort verloren gewesen: zig Möglichkeiten VLANs einzustellen (config+Datachannel); Kanalfrequenzen darf man sich selbst raussuchen und an einigen Orten dann eintragen... und so gings weiter.
Mit der Anleitung war das aber schön geführt und lief nach dem zigsten Anlauf und kleinen Umstellungen.
Die Anleitungen von mikrotik sind nett, allerdings dumm wenn man die Winbox vor sich hat und sehen möchte wo was eingestellt wird und man die Kommandoversion einzig hat. Aquis Bilder waren dann doch immer wieder ein Rettungsanker wenn man weiß wo die paar wichtigen Punkte sind.
Schade das ich die Box nicht voll ausnutzen kann aufgrund meiner limitierten Zeit und Wissens zu mikrotik.
Ich habe jetzt mal den Testaufbau abgehakt und mal sehen ob die Bestellung zu dem "Großsystem" dann losgetreten wird. Vor dem Ende des Lockdowns ist sowieso keine schnelle Testserie und dann Umsetzung möglich. Leider hat der Hotelsoftware den Autoexport eingeschränkt da er wohl mitbekommen hat, dass ich diese Dumpdaten weiterverwende. Zur Not muss ich mit dem Backupfile leben was mir auch nutzbar erscheint anstatt eines schönen Zimmer csv Exports.

Danke allen beteiligten!
Sam
aqui
aqui 18.01.2021 um 13:53:02 Uhr
Goto Top
kenne ist es Wahnsinn was da an Funktionen intus ist.
Klar ist der "Cisco des kleinen Mannes" wie jeder Netzwerker weiss ! face-wink
Mit der Anleitung war das aber schön geführt und lief nach dem zigsten Anlauf und kleinen Umstellungen.
Danke für die Blumen ! 🙂
Danke allen beteiligten!
Immer gerne...
SamvanRatt
SamvanRatt 28.01.2021 um 10:08:44 Uhr
Goto Top
Hi Aqui
wenn ich nun den Endaufbau (nur halt von jedem Teil nur die kleinste Version) im Testaufbau habe scheitere ich noch an der EAP Userabfrage.
PAP/CHAP laufen wie soll (Username wird zu uppercase) lt. ntradping, aber EAP will nicht:

"
(12) Received Access-Request Id 20 from 192.168.0.28:59212 to 192.168.0.17:1812 length 175
(12) Service-Type = Framed-User
(12) Framed-MTU = 1400
(12) User-Name = "Zimmer01"
(12) NAS-Port-Id = "cap1"
(12) NAS-Port-Type = Wireless-802.11
(12) Acct-Session-Id = "82c00004"
(12) Calling-Station-Id = "B8-8D-12-0B-02-0C"
(12) Called-Station-Id = "CC-2D-E0-3E-D9-DF:Hotel"
(12) EAP-Message = 0x020200110142696c6465727261686d656e
(12) Message-Authenticator = 0x86f5919d04ac287419317e6c49b88982
(12) NAS-Identifier = "WLC_HLR"
(12) NAS-IP-Address = 192.168.1.2
(12) # Executing section authorize from file /etc/raddb/sites-enabled/default
(12) authorize {
(12) policy filter_username {
(12) if (&User-Name) {
(12) if (&User-Name) -> TRUE
(12) if (&User-Name) {
(12) if (User-Name) {
(12) if (User-Name) -> TRUE
(12) if (User-Name) {
(12) update request {
(12) EXPAND %{toupper:%{User-Name}}
(12) --> ZIMMER01
(12) User-Name := ZIMMER01
(12) } # update request = noop
(12) } # if (User-Name) = noop
(12) if (&User-Name =~ / /) {
(12) if (&User-Name =~ / /) -> FALSE
(12) if (&User-Name =~ /@[^@]*@/ ) {
(12) if (&User-Name =~ /@[^@]*@/ ) -> FALSE
(12) if (&User-Name =~ /\.\./ ) {
(12) if (&User-Name =~ /\.\./ ) -> FALSE
(12) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) {
(12) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) -> FALSE
(12) if (&User-Name =~ /\.$/) {
(12) if (&User-Name =~ /\.$/) -> FALSE
(12) if (&User-Name =~ /@\./) {
(12) if (&User-Name =~ /@\./) -> FALSE
(12) } # if (&User-Name) = noop
(12) } # policy filter_username = noop
(12) [preprocess] = ok
(12) [chap] = noop
(12) [mschap] = noop
(12) [digest] = noop
(12) suffix: Checking for suffix after "@"
(12) suffix: No '@' in User-Name = "ZIMMER01", looking up realm NULL
(12) suffix: No such realm "NULL"
(12) [suffix] = noop
(12) eap: Peer sent EAP Response (code 2) ID 2 length 17
(12) eap: EAP-Identity reply, returning 'ok' so we can short-circuit the rest of authorize
(12) [eap] = ok
(12) } # authorize = ok
(12) Found Auth-Type = eap
(12) # Executing group from file /etc/raddb/sites-enabled/default
(12) authenticate {
(12) eap: Identity does not match User-Name, setting from EAP Identity
(12) eap: Failed in handler
(12) [eap] = invalid
(12) } # authenticate = invalid
(12) Failed to authenticate the user
(12) Using Post-Auth-Type Reject
(12) # Executing group from file /etc/raddb/sites-enabled/default
(12) Post-Auth-Type REJECT {
(12) attr_filter.access_reject: EXPAND %{User-Name}
(12) attr_filter.access_reject: --> ZIMMER01
(12) attr_filter.access_reject: Matched entry DEFAULT at line 11
(12) [attr_filter.access_reject] = updated
(12) eap: Identity does not match User-Name, setting from EAP Identity
(12) eap: Failed to get handler, probably already removed, not inserting EAP-Failure
(12) [eap] = noop
(12) policy remove_reply_message_if_eap {
(12) if (&reply:EAP-Message && &reply:Reply-Message) {
(12) if (&reply:EAP-Message && &reply:Reply-Message) -> FALSE
(12) else {
(12) [noop] = noop
(12) } # else = noop
(12) } # policy remove_reply_message_if_eap = noop
(12) } # Post-Auth-Type REJECT = updated
(12) Delaying response for 1.000000 seconds
(12) (12) Discarding duplicate request from client WLC port 59212 - ID: 20 due to delayed response
Waking up in 0.6 seconds.
(12) (12) Discarding duplicate request from client WLC port 59212 - ID: 20 due to delayed response
Waking up in 0.3 seconds.
(12) Sending delayed response
(12) Sent Access-Reject Id 20 from 192.168.0.17:1812 to 192.168.0.28:59212 length 20
Waking up in 2.1 seconds.
(12) Cleaning up request packet ID 20 with timestamp +268
Ready to process requests
"
Mit dem Uppercase will ich Fehler in der Schreibweise minimieren. Hast du einen Ansatz wie ich das lösen kann?

Gruß
Sam
aqui
aqui 28.01.2021 um 10:15:11 Uhr
Goto Top
Den Mac Adress Passthrough Filter hast du aktiviert wenn du .1x machst ?
/caps-man access-list
add mac-address=00:00:00:00:00:00 action=accept

Sofern du mit CapsMan arbeitest ?!
SamvanRatt
SamvanRatt 28.01.2021 um 11:17:22 Uhr
Goto Top
Hi Aqui
danke für die schnelle Antwort.
Nein habe ich nicht aktiv gehabt (ich habe auch User Auth nicht mit MAC verbunden);ich nutze es auch nur zum wireless auth
Leider ändert das auch nichts am Verhalten im EAP (ident. Fehlermeldung wie vorher):

eap: Identity does not match User-Name, setting from EAP Identity

Abbruch.

Meine Filtereinstellung im radiusd macht aus dem "Zimmer01" dann ZIMMER01; während PAP/CHAP damit wunderbar den Zeile11 Eintrag findet, beklagt EAP sich über den case sensitiven Vergleich Zimmer01 ungleich ZIMMER01 und bricht ab.

PAP/CHAP haben das brav akzeptiert und ich war froh (ntradping) den wichtigen Meilenstein (case insensitive) hinter mir zu haben.

EAP selbst arbeitet sobald ich den Filtereintrag:
"
if (User-Name) {
update request {
User-Name := "%{toupper:%{User-Name}}"
}
}
"
rausnehme und passend dazu den case sensitiven Usernamed drinnen habe.

Problem dürfte damit rein in dem Unterschied PAP/CHAP und EAP mit dem Username Handling sein. Kann man da was setzen? Seit FR1.x wurde das ja oft diskutiert....
Gruß
Sam
aqui
aqui 28.01.2021 um 13:30:53 Uhr
Goto Top
eap: Identity does not match User-Name, setting from EAP Identity
Das zeigt das es den User nicht gibt oder er falsch oder anders geschrieben ist. Alle Usernamen sind Case sensitive ! "Willi" und "willi" sind für den Radius unterschiedliche User.
SamvanRatt
SamvanRatt 28.01.2021, aktualisiert am 30.01.2021 um 20:27:18 Uhr
Goto Top
Hi
daher nutze ich auch die Filter um vorher umzuschreiben (alles wird uppercase); in PAP/CHAP geht das auch wunderbar und liefertin jeder Schreibweise eben den Uppercase Namen und der ist eingetragen unter users.

Wenn du das Originallog ansiehst findest du auch die Erkenntnis das er den User in Zeile 11 findet, dann aber im EAP Teil bemerkt das Anforderer anders ist als sein Ergebnis.
Ich dachte das machen einige so, da es vom Mitentwickler (Alan Dekok oder so) als Ausweichlösung für die case sensitivity von FR2.x genannt wurde. Ich bin wie den ntlm, ldap, pgsql Anbindungen davon ausgegangen das eine Hack gibt um die Groß/Kleinschreibung im Usernamen auszugleichen.

WPA2 ENT nutzt EAP natürlich als Kernversion, sprich da mal kurz auf PAP/CHAP umschalten wird nicht so gehen.... schwierig, schwierig.

Du hast case sensitivity nie als Problem?

Gruß
Sam
aqui
aqui 28.01.2021 um 16:51:54 Uhr
Goto Top
Nee, nie so ein Problem gehabt. Egal ob man den Interactive Mode nutzt der ein kleine Popup Window hochbringt beim ersten Login in das Netz. Dort gibt man dann username und Passwort Credentials ein, stimmen die überein mit dem Radius...login approved und dann wird alles im Profil gesichert. Auch wenn man den Haken setzt im .1x Client das der Clientname Rechner verwendet werden soll klappt das auf Anhieb.
SamvanRatt
SamvanRatt 28.01.2021 um 17:23:46 Uhr
Goto Top
Hi Aqui
Bei Firmen Netzwerk wird das gehen; ich habe ja nur WLAN und Hotelgäste ohne jegliche IT Ahnung; die Rezeption ist da auch sehr dürftig. Mit den typ. Smartphones wird dann beim User der erste Buchstabe typ. groß geschrieben; ich sehe da viele Reklamationen. Da ich auch keine Welcome Broschüre machen kann mit den "Willkommen in der Firma und so funktioniert der Arbeitsplatz", war das falsch geschrieben immer in lower oder uppercase schon wichtig.
Naja dann geht es halt nicht mit EAP zumindest nicht ohne viel umschreiben (von dem ich per se keine Ahnung habe).

Dann schlage ich mal eine Raum IT Anleitung vor oder muss mir was anderes als Username ausdenken.
Danke für die schnelle Klärung (kostet ja alles privatstrom die Anlage mal kurz durchprobieren.

Gruß
Sam