Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung

Mitglied: mrserious73

mrserious73 (Level 1) - Jetzt verbinden

26.12.2016 um 11:50 Uhr, 1689 Aufrufe, 5 Kommentare

Hallo zusammen,

ich verwende nun Freeradius auf pfSense, um ein EAP-TLS für's WLAN zu stellen.
In Zukunft möchte ich den Radius-Server auch nutzen, um dem AP mitzuteilen, in welches VLAN ein User geschubst werden soll.
Problem ist im Moment: Ich habe zwar pfSense-User angelegt, aber man kann sich auch problemlos mit einem Phantasie-Usernamen einloggen, solange man auf dem Clientgerät das korrekt Zertifikat nutzt.
Kann man das verhindern? Quasi Username+PW+Zertifikat verwenden?
Oder die VLAN-ID an das Zertifikat binden, statt an den Usernamen?
Mitglied: aqui
26.12.2016 um 12:24 Uhr
aber man kann sich auch problemlos mit einem Phantasie-Usernamen einloggen, solange man auf dem Clientgerät das korrekt Zertifikat nutzt.
Das ist natürlich Quatsch und zeigt das du gar kein WPA Enterprise machst, bzw. der Radius oder aber auch der AP falsch konfiguriert ist !
Die hiesigen Tutorials zu dem Thema beschreiben das entsprechend:
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentisierun ...
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-fre ...
Letzteres beschreibt auch die dynamische Zuordnung von VLANs auf die Clients.
Ohne eine entsprechende Userkonfig ist es unmöglich sich in das WLAN einzubuchen eine korrekt Radius Konfig vorausgesetzt.
Bei dir stimmt also ganz grundsätzlich was nicht.
Auch hier findest du noch ein paar Grundlagen zu dem Thema:
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...
Bitte warten ..
Mitglied: mrserious73
26.12.2016, aktualisiert um 14:26 Uhr
Nun, der Radius entspricht der Standard-Konfiguration von pfSense (mit der Ausnahme, dass ich eigene Zertifikate über den Cert-Manager von pfSense importiert habe). Der AP ist momentan noch ein schlichter TP-Link, da gibt's nicht viel zu konfigurieren, dem trägt man den Radius-Server, sowie das zugehörige Passwort ein und fertig.

Edit: Die Tutorials behandeln Dinge, die pfSense schon von selbst übernimmt (Anpassen der eap.conf etc.) und drehen sich auch nur um EAP-TTLS/PEAP, oder? Ich sehe jedenfalls auf den ersten Blick nichts für reines EAP-TLS.

Vielleicht siehst du ja etwas, das ich übersehe:

Edit: Ich habe einen Menüpunkt "Check Client Certificate CN" gefunden.
Wenn ich diesen aktiviere wird überprüft, ob das User-Zertifikat den selben CN-Namen hat wie ein angelegter Benutzer.
Heißt das Zertifikat also "wlanuser", muss es auch einen "wlanuser" unter den Benutzern im Freeradius geben.
Mehr wir damit allerdings auch nicht überprüft.

Edit2: Ich lasse nun zusätzlich "Check Cert Issuer" machen. Dies führt zu dem unten aufgeführten Fehler im Radius-Log.
Was mich verwundert: Die Werte sind doch identisch? Außerdem sind die Zertifikate definitiv korrekt...

01.
Mon Dec 26 13:50:51 2016 : Auth: rlm_eap_tls: Certificate issuer (/C=AB/ST=CD/L=EF/O=GH/CN=GH CA/name=MN/emailAddress=I@J) does not match specified value (/C=AB/ST=CD/L=EF/O=GH/emailAddress=I@J/CN=GH CA)!
02.
Mon Dec 26 13:50:51 2016 : Error: TLS Alert write:fatal:certificate unknown
03.
Mon Dec 26 13:50:51 2016 : Error:     TLS_accept: error in error
04.
Mon Dec 26 13:50:51 2016 : Error: rlm_eap: SSL error error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
05.
Mon Dec 26 13:50:51 2016 : Error: SSL: SSL_read failed in a system call (-1), TLS session fails.
06.
Mon Dec 26 13:50:51 2016 : Auth: Login incorrect (TLS Alert write:fatal:certificate unknown): [username/<via Auth-Type = EAP>] (from client AP port 0 cli xx-xx-xx-xx-xx-xx)
Edit3: Absolut idiotisch... passe ich die Zeile händisch in der eap.conf an, funktioniert alles. Und das, obwohl die übergebenen Werte ja absolut identisch sind... Hat das einen tieferen Sinn?

01.
check_cert_issuer = "/C=AB/ST=CD/L=EF/O=GH/CN=GH CA/name=MN/emailAddress=I@J"
Hier außerdem meine eap.conf:

01.
/usr/local/etc/raddb/eap.conf
02.
Array	### EAP
03.
	eap {
04.
		default_eap_type = tls
05.
		timer_expire     = 60
06.
		ignore_unknown_eap_types = no
07.
		cisco_accounting_username_bug = no
08.
		max_sessions = 4096
09.
		
10.
		### DISABLED WEAK EAP TYPES MD5, GTC, LEAP ###
11.

12.

13.
		### EAP-TLS and EAP-TLS with OCSP support
14.
		tls {
15.
			certdir = ${confdir}/certs
16.
			cadir = ${confdir}/certs
17.
			private_key_password = whatever
18.
			private_key_file = ${certdir}/server_key.pem
19.
			certificate_file = ${certdir}/server_cert.pem
20.
			CA_file = ${cadir}/ca_cert.pem
21.
			dh_file = ${certdir}/dh
22.
			random_file = ${certdir}/random
23.
			fragment_size = 1024
24.
			include_length = yes
25.
			check_crl = no
26.
			CA_path = ${cadir}
27.
			check_cert_issuer = "/C=US/ST=CD/L=EF/O=GH/OU=KL/CN=GH CA/name=MN/emailAddress=I@J"
28.
			check_cert_cn = %{User-Name}
29.
			cipher_list = "DEFAULT"
30.
			ecdh_curve = "prime256v1"
31.
			cache {
32.
			      enable = no
33.
			      lifetime = 24
34.
			      max_entries = 255
35.
			}
36.
			verify {
37.
		#     		tmpdir = /tmp/radiusd
38.
		#    		client = "/path/to/openssl verify -CApath  %{TLS-Client-Cert-Filename}"
39.
			}
40.
			ocsp {
41.
			      enable = no
42.
			      override_cert_url = no
43.
			      url = "http://127.0.0.1/ocsp/"
44.
			}
45.
		}
46.
	
47.
	}

Bin ich denn grundsätzlich auf dem richtigen Wege? Also die CN des User-Certs gegenzuchecken mit einem User aus dem Radius und außerdem das Zertifikat des Users gegen meine CA zu prüfen?
Dem letzten Wege traue ich noch nicht so recht, weil mich diese händische Anpassung irritiert...
Bitte warten ..
Mitglied: aqui
26.12.2016 um 21:48 Uhr
Nun, der Radius entspricht der Standard-Konfiguration von pfSense
Das tut wie immer nix zur Sache...ist ja ein Freeradius der da werkelt.
Hier zählt das Zertifikat und wie die users.conf, clients, con und die lap.conf eingestellt ist und noch ein paar andere Konf Dateien.
Siehe Raspeberry Pi Tutorial oben was die Details dazu hat.
Es ist auf alle Fälle unmöglich in einem solchen Setaup das man sich mit x-beliebigen User Credentials da einloggen kann.
Wäre ja auch Schwachsinn, denn genau DAS will man ja mit einer wasserdichten Radius Authentisierung genau verhindern....
Die oben zitierten Tutorials beschreiben ja genau die Zertifikats Generierung.
Bedneke das da nur die Radius Server Zertifizierung ist und KEIN Client Zertifikats Generierung !
Das ist ne andere Baustelle...
Bitte warten ..
Mitglied: mrserious73
26.12.2016 um 23:39 Uhr
Nabend!

Habe die Zertifikate zum Testen einfach mal mit easy-RSA erstellt, was man ja sonst eher für z.B. openVPN nutzt.
Funktioniert auch ansonsten wunderbar aber ich hab's gerade mal getestet: Sofern ich den Client-CN nicht gegenchecken lasse, kann ich einen beliebigen Nutzernamen wählen und der Radius lässt mich durch:


01.
Mon Dec 26 23:36:00 2016 : Auth: Login OK: [yksbbkv] (from client AP port 0 cli xx-xx-xx-xx-xx-xx)
Leider finde ich aber nirgendwo ein vernünftiges Tutorial für "echtes" EAP-TLS. Höchstens was aus dem Jahre 2002 für Windows XP...
Gibt's da irgendwo etwas vernünftiges, das ich mir anschauen kann?
Bitte warten ..
Ähnliche Inhalte
Firewall
PfSense: Freeradius, NUR EAP-TLS
Frage von mrserious73Firewall

Hallo zusammen, gibt's eine Möglichkeit, den Radiusserver in pfSense wirklich NUR EAP-TLS machen zu lassen? Man kann die restlichen ...

LAN, WAN, Wireless

WLAN EAP-TLS mit FreeRadius unsupported certificate

Frage von Phill93LAN, WAN, Wireless6 Kommentare

Hallo, bin hier am verzweifeln. Bekomme von meinem FreeRadius immer die Fehlermeldung "TLS Alert write:fatal:unsupported certificate ". Beide (Radius ...

LAN, WAN, Wireless

WLan-Authentifizierung über NPS mit EAP-TLS

Frage von KopeckLAN, WAN, Wireless1 Kommentar

Hallo, ich habe folgendes Problem: Ich würde gerne mein WLan mit Hilfe von (Benutzer)Zertifikaten absichern. Habe nun in einer ...

LAN, WAN, Wireless

Umsetzung von EAP-TLS im Heimnetzwerk mit Winodws Server oder Linux

Frage von 128298LAN, WAN, Wireless7 Kommentare

Hallo Zusammen, mir ist durchaus bewusst, dass das Thema Radius Server hier und da mehrfach im Forum erklärt und ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von Frank vor 12 StundenOff Topic9 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Off Topic
Europawahl 2019
Information von Frank vor 1 TagOff Topic38 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 2 TagenHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Heiß diskutierte Inhalte
Off Topic
Europawahl 2019
Information von FrankOff Topic37 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing16 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Virtualisierung
VServer (Linux): Absichern, verschlüsseln usw
Frage von mrserious73Virtualisierung11 Kommentare

Hallo zusammen, ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, ...

Server-Hardware
Server Umbau
Frage von cyberworm83Server-Hardware10 Kommentare

Hallo zusammen, ich habe einen 19" Server (HP ProLiant DL160 G6) dieser ist auch super. ABER jetzt meine Frage: ...