3
PfSense FreeRadius Login incorrect
Hallo,
habe hier eine pfSense und seit neustem einen Ruckus Unleashed Verbund aus R310. WLAN funktioniert ohne Probleme. Kurzfristig hatte ich es ohne weitere Sicherheitsvorkehrungen laufen. WPA2 und starkes Passwort, das war es.
Nun möchte ich es weiter absichern. Dazu habe ich auf der pfSense den FreeRadius installiert. Mein Ziel: Ganz einfaches MAC-Auth, PAP und VLAN-Zuweisung (Dynamic VLAN). Soweit so gut. Jetzt ist mir dabei ein Kuriosum aufgefallen:
Config im Ruckus Webinterface...
Wie man sieht kann man hier eindeutig das Abfrage-Format der MAC bestimmen. Aber jetzt passiert folgendes im pfSense-Log:
Egal was ich nun im Ruckus Webinterface ausgewählt habe, es war immer inkorrekt. Selbst als ich mich beim Format an der authorized_macs orientiert habe...
Erst als ich dann den Haken unter Package > FreeRADIUS Settings > Settings "Plain MAC Auth" gesetzt habe, hat es funktioniert. Man beachte im Vergleich zum ersten Fehlgeschlagenen Login (diesmal ein anderes Gerät):
Die zweite MAC ist nun kleingeschrieben. Warum ist das so? Warum sollte man sich die Mühe machen einen Schalter einzubauen, wo man das Format bestimmen kann, aber dies völlig vom Radius scheinbar ignoriert wird? Ist das so ein generell FreeRadius-Problem, also ein Bug, oder kommt das tatsächlich vom Gerät?
Gruß
habe hier eine pfSense und seit neustem einen Ruckus Unleashed Verbund aus R310. WLAN funktioniert ohne Probleme. Kurzfristig hatte ich es ohne weitere Sicherheitsvorkehrungen laufen. WPA2 und starkes Passwort, das war es.
Nun möchte ich es weiter absichern. Dazu habe ich auf der pfSense den FreeRadius installiert. Mein Ziel: Ganz einfaches MAC-Auth, PAP und VLAN-Zuweisung (Dynamic VLAN). Soweit so gut. Jetzt ist mir dabei ein Kuriosum aufgefallen:
Config im Ruckus Webinterface...
Wie man sieht kann man hier eindeutig das Abfrage-Format der MAC bestimmen. Aber jetzt passiert folgendes im pfSense-Log:
(0) Login incorrect (Failed retrieving values required to evaluate condition): [ac:ed:5c:d5:ed:b8] (from client Ruckus port 0 cli AC-ED-5C-D5-ED-B8) Egal was ich nun im Ruckus Webinterface ausgewählt habe, es war immer inkorrekt. Selbst als ich mich beim Format an der authorized_macs orientiert habe...
ac-ed-5c-d5-ed-b8 Cleartext-Password := "ac-ed-5c-d5-ed-b8"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-ID = "22" Erst als ich dann den Haken unter Package > FreeRADIUS Settings > Settings "Plain MAC Auth" gesetzt habe, hat es funktioniert. Man beachte im Vergleich zum ersten Fehlgeschlagenen Login (diesmal ein anderes Gerät):
(1) Login incorrect (Failed retrieving values required to evaluate condition): [E6-56-2B-15-48-82] (from client Ruckus port 0 cli e6-56-2b-15-48-82) Die zweite MAC ist nun kleingeschrieben. Warum ist das so? Warum sollte man sich die Mühe machen einen Schalter einzubauen, wo man das Format bestimmen kann, aber dies völlig vom Radius scheinbar ignoriert wird? Ist das so ein generell FreeRadius-Problem, also ein Bug, oder kommt das tatsächlich vom Gerät?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665091
Url: https://administrator.de/contentid/665091
Printed on: April 25, 2024 at 07:04 o'clock
3 Comments
Latest comment
Es wird auch zw. Groß- und Kleinschrift unterschieden hast du das beachtet ?
Wie man den FreeRadius auf der pfSense nutzen kann erklärt übrigens dieses Tutorial:
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
bzw. auch
PFSense 2.3.2 Freeradius
Das ist erheblich sinnvoller das dann über eine separat editierbare Users Datei zu lösen zumal man die weitaus besser editieren und updaten kann als über das GUI der pfSense. Mit dieser Datei rennt die Authentisierung dann auch fehlerfrei in Bezug auf das Format.
Wie man den FreeRadius auf der pfSense nutzen kann erklärt übrigens dieses Tutorial:
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
bzw. auch
PFSense 2.3.2 Freeradius
Das ist erheblich sinnvoller das dann über eine separat editierbare Users Datei zu lösen zumal man die weitaus besser editieren und updaten kann als über das GUI der pfSense. Mit dieser Datei rennt die Authentisierung dann auch fehlerfrei in Bezug auf das Format.
Ja, das habe ich beachtet. Das Ruckus Webinterface gibt ja auch die Möglichkeiten mit Groß-/Kleinschreibung vor oder mit Doppelpunkt oder Strich getrennt usw. usw.
Habe dann wie gesagt mich bei der Format-Auswahl auf die Datei authorized_macs orientiert. Dort stand es klein mit Doppelpunkt getrennt. So ebenfalls im Webinterface des Ruckus Managements eingestellt, funktionierte nicht. Erst als ich wie gesagt den Haken bei "Plain MAC Auth" gesetzt habe.
Wenn ich das richtig verstanden habe, bewirkt diese Funktion das als erstes in authorized_macs geschaut wird und dann erst in users.conf... das bedeutet das ich die EIntragungen also für die MAC-Adressen eher gleich in user.conf hinterlegen sollte. Lustigerweise kann man das auch in der pfSense GUI einfach machen, bloß das es dort keinen Hinweis dazu gibt. Interessant.
Edit: Einfach im Reiter User in der Pfsense GUI als einen neuen Eintrag erzeugen. Bei Username und Password jeweils die MAC eintragen, weiter unten kann man dann ebenfalls die VLAN ID bestimmen. Fertig. Funktioniert.
Habe dann wie gesagt mich bei der Format-Auswahl auf die Datei authorized_macs orientiert. Dort stand es klein mit Doppelpunkt getrennt. So ebenfalls im Webinterface des Ruckus Managements eingestellt, funktionierte nicht. Erst als ich wie gesagt den Haken bei "Plain MAC Auth" gesetzt habe.
Wenn ich das richtig verstanden habe, bewirkt diese Funktion das als erstes in authorized_macs geschaut wird und dann erst in users.conf... das bedeutet das ich die EIntragungen also für die MAC-Adressen eher gleich in user.conf hinterlegen sollte. Lustigerweise kann man das auch in der pfSense GUI einfach machen, bloß das es dort keinen Hinweis dazu gibt. Interessant.
Edit: Einfach im Reiter User in der Pfsense GUI als einen neuen Eintrag erzeugen. Bei Username und Password jeweils die MAC eintragen, weiter unten kann man dann ebenfalls die VLAN ID bestimmen. Fertig. Funktioniert.
das bedeutet das ich die EIntragungen also für die MAC-Adressen eher gleich in user.conf hinterlegen sollte.
Ja, würde ich so machen, da du da auch bessere Optionen hast was über das GUI nicht oder nur schwer möglich ist. Login Zeiten, User ACLs usw.Einfach im Reiter User in der Pfsense GUI als einen neuen Eintrag erzeugen.
Jepp, genau... 00123a104123 Cleartext-Password := "00123a104123"
00231a104123 Cleartext-Password := "00231a104123", Login-Time := "Wk0800-1800"
00321a104123 Cleartext-Password := "00321a104123"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
2 ist ein Beispiel mit einer Login Zeit
3 mit dynamischer VLAN Zuordnung (VLAN 10).
Man könnte z.B. das Verzeichnis mit der Users Datei von der FW wie SMB freigeben um ihn so schnell und einfach zu administrieren. Ob man so ein (SMB) Risiko auf einer FW eingehen will muss jeder selber entscheiden.
Besser ist einen mini USB Stick an der FW wo die Datei drauf ist. So kann man sie auch bequem managen und hat gleichzeitig immer eine Sicherung bei Ausfall.
