PfSense FreeRadius Login incorrect
Hallo,
habe hier eine pfSense und seit neustem einen Ruckus Unleashed Verbund aus R310. WLAN funktioniert ohne Probleme. Kurzfristig hatte ich es ohne weitere Sicherheitsvorkehrungen laufen. WPA2 und starkes Passwort, das war es.
Nun möchte ich es weiter absichern. Dazu habe ich auf der pfSense den FreeRadius installiert. Mein Ziel: Ganz einfaches MAC-Auth, PAP und VLAN-Zuweisung (Dynamic VLAN). Soweit so gut. Jetzt ist mir dabei ein Kuriosum aufgefallen:
Config im Ruckus Webinterface...
Wie man sieht kann man hier eindeutig das Abfrage-Format der MAC bestimmen. Aber jetzt passiert folgendes im pfSense-Log:
Egal was ich nun im Ruckus Webinterface ausgewählt habe, es war immer inkorrekt. Selbst als ich mich beim Format an der authorized_macs orientiert habe...
Erst als ich dann den Haken unter Package > FreeRADIUS Settings > Settings "Plain MAC Auth" gesetzt habe, hat es funktioniert. Man beachte im Vergleich zum ersten Fehlgeschlagenen Login (diesmal ein anderes Gerät):
Die zweite MAC ist nun kleingeschrieben. Warum ist das so? Warum sollte man sich die Mühe machen einen Schalter einzubauen, wo man das Format bestimmen kann, aber dies völlig vom Radius scheinbar ignoriert wird? Ist das so ein generell FreeRadius-Problem, also ein Bug, oder kommt das tatsächlich vom Gerät?
Gruß
habe hier eine pfSense und seit neustem einen Ruckus Unleashed Verbund aus R310. WLAN funktioniert ohne Probleme. Kurzfristig hatte ich es ohne weitere Sicherheitsvorkehrungen laufen. WPA2 und starkes Passwort, das war es.
Nun möchte ich es weiter absichern. Dazu habe ich auf der pfSense den FreeRadius installiert. Mein Ziel: Ganz einfaches MAC-Auth, PAP und VLAN-Zuweisung (Dynamic VLAN). Soweit so gut. Jetzt ist mir dabei ein Kuriosum aufgefallen:
Config im Ruckus Webinterface...
Wie man sieht kann man hier eindeutig das Abfrage-Format der MAC bestimmen. Aber jetzt passiert folgendes im pfSense-Log:
(0) Login incorrect (Failed retrieving values required to evaluate condition): [ac:ed:5c:d5:ed:b8] (from client Ruckus port 0 cli AC-ED-5C-D5-ED-B8)
Egal was ich nun im Ruckus Webinterface ausgewählt habe, es war immer inkorrekt. Selbst als ich mich beim Format an der authorized_macs orientiert habe...
ac-ed-5c-d5-ed-b8 Cleartext-Password := "ac-ed-5c-d5-ed-b8"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-ID = "22"
Erst als ich dann den Haken unter Package > FreeRADIUS Settings > Settings "Plain MAC Auth" gesetzt habe, hat es funktioniert. Man beachte im Vergleich zum ersten Fehlgeschlagenen Login (diesmal ein anderes Gerät):
(1) Login incorrect (Failed retrieving values required to evaluate condition): [E6-56-2B-15-48-82] (from client Ruckus port 0 cli e6-56-2b-15-48-82)
Die zweite MAC ist nun kleingeschrieben. Warum ist das so? Warum sollte man sich die Mühe machen einen Schalter einzubauen, wo man das Format bestimmen kann, aber dies völlig vom Radius scheinbar ignoriert wird? Ist das so ein generell FreeRadius-Problem, also ein Bug, oder kommt das tatsächlich vom Gerät?
Gruß
Please also mark the comments that contributed to the solution of the article
Content-Key: 665091
Url: https://administrator.de/contentid/665091
Printed on: April 25, 2024 at 07:04 o'clock
3 Comments
Latest comment
Es wird auch zw. Groß- und Kleinschrift unterschieden hast du das beachtet ?
Wie man den FreeRadius auf der pfSense nutzen kann erklärt übrigens dieses Tutorial:
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
bzw. auch
PFSense 2.3.2 Freeradius
Das ist erheblich sinnvoller das dann über eine separat editierbare Users Datei zu lösen zumal man die weitaus besser editieren und updaten kann als über das GUI der pfSense. Mit dieser Datei rennt die Authentisierung dann auch fehlerfrei in Bezug auf das Format.
Wie man den FreeRadius auf der pfSense nutzen kann erklärt übrigens dieses Tutorial:
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
bzw. auch
PFSense 2.3.2 Freeradius
Das ist erheblich sinnvoller das dann über eine separat editierbare Users Datei zu lösen zumal man die weitaus besser editieren und updaten kann als über das GUI der pfSense. Mit dieser Datei rennt die Authentisierung dann auch fehlerfrei in Bezug auf das Format.
das bedeutet das ich die EIntragungen also für die MAC-Adressen eher gleich in user.conf hinterlegen sollte.
Ja, würde ich so machen, da du da auch bessere Optionen hast was über das GUI nicht oder nur schwer möglich ist. Login Zeiten, User ACLs usw.Einfach im Reiter User in der Pfsense GUI als einen neuen Eintrag erzeugen.
Jepp, genau... 00123a104123 Cleartext-Password := "00123a104123"
00231a104123 Cleartext-Password := "00231a104123", Login-Time := "Wk0800-1800"
00321a104123 Cleartext-Password := "00321a104123"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
2 ist ein Beispiel mit einer Login Zeit
3 mit dynamischer VLAN Zuordnung (VLAN 10).
Man könnte z.B. das Verzeichnis mit der Users Datei von der FW wie SMB freigeben um ihn so schnell und einfach zu administrieren. Ob man so ein (SMB) Risiko auf einer FW eingehen will muss jeder selber entscheiden.
Besser ist einen mini USB Stick an der FW wo die Datei drauf ist. So kann man sie auch bequem managen und hat gleichzeitig immer eine Sicherung bei Ausfall.