8
Problem mit Captive Portal und PfSense und FreeRadius
Hallo Zusammen,
mich plagt noch ein Fehler bei meiner PfSense in Verbindung mit FreeRadius und Captive Portal.
Zum System:
PfSense 2.4.3
FreeRadius3 0.15.5
Folgendes habe ich konfiguriert:
- FreeRadius auf der PfSense installiert,
- NAS Client angelegt (ist ein mit Kabel angeschlossener Wlan AP mit der IP 192.168.2.253 am Interface 192.168.2.254 der PfSense )
- Interfaces definiert (Port 1813)
- Benutzer in der FreeRadius Verwaltung angelegt
Login getestet indem ich mich mit einem Laptop mit dem WLAN verbunden habe.
Abfrage nach Benutzername und PW kam, eingegeben und Internetverbindung steht.
Funktioniert also alles wunderbar.
Nun habe ich Captive Portal aktiviert und in der Einstellung für FreeRadius weitere Interfaces (Port 1812 / 1816) definiert.
Wenn ich mich nun mit dem WLan verbinde kommt keine Abfrage nach Benutzer und PW mehr und ich werde direkt auf die Landing Page geleitet, passt ja soweit.
Aber nun bekomme ich mit dem gleichen Benutzer der vorher funktionierte einen Fehler:
Error sending request: No valid RADIUS responses received
Meine Einstellung im CP und Raduis ist folgende:
Weiterhin habe ich alles soweit auf default gelassen.
An dieser Stelle komme ich nicht weiter.
Was habe ich vergessen ?
Vielen Dank schon mal für eure Hilfe
mich plagt noch ein Fehler bei meiner PfSense in Verbindung mit FreeRadius und Captive Portal.
Zum System:
PfSense 2.4.3
FreeRadius3 0.15.5
Folgendes habe ich konfiguriert:
- FreeRadius auf der PfSense installiert,
- NAS Client angelegt (ist ein mit Kabel angeschlossener Wlan AP mit der IP 192.168.2.253 am Interface 192.168.2.254 der PfSense )
- Interfaces definiert (Port 1813)
- Benutzer in der FreeRadius Verwaltung angelegt
Login getestet indem ich mich mit einem Laptop mit dem WLAN verbunden habe.
Abfrage nach Benutzername und PW kam, eingegeben und Internetverbindung steht.
Funktioniert also alles wunderbar.
Nun habe ich Captive Portal aktiviert und in der Einstellung für FreeRadius weitere Interfaces (Port 1812 / 1816) definiert.
Wenn ich mich nun mit dem WLan verbinde kommt keine Abfrage nach Benutzer und PW mehr und ich werde direkt auf die Landing Page geleitet, passt ja soweit.
Aber nun bekomme ich mit dem gleichen Benutzer der vorher funktionierte einen Fehler:
Error sending request: No valid RADIUS responses received
Meine Einstellung im CP und Raduis ist folgende:
Weiterhin habe ich alles soweit auf default gelassen.
An dieser Stelle komme ich nicht weiter.
Was habe ich vergessen ?
Vielen Dank schon mal für eure Hilfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 373226
Url: https://administrator.de/contentid/373226
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
Was sagen deine Logs der PFSense und deines Radius?
Schon mal durchgearbeitet? https://wiki.freeradius.org/guide/Basic-configuration-HOWTO
Gruß,
Peter
Was sagen deine Logs der PFSense und deines Radius?
Schon mal durchgearbeitet? https://wiki.freeradius.org/guide/Basic-configuration-HOWTO
Gruß,
Peter
Hallo Pjordorf,
die Logs habe ich schon durchgesehen aber ich kann mir nicht so recht einen Reim drauf machen.
SYSLOG: (Direkt nach dem Verbinden mit dem WLAN, IP habe ich bekommen und ich werde auf die LandingPage geleitet)
May 6 20:33:08 radiusd 2184 (10) Login OK: [Markus] (from client INTELLINET1 port 0 cli 80-19-34-08-XX-XX)
May 6 20:33:08 radiusd 2184 (9) Login OK: [Markus] (from client INTELLINET1 port 0 via TLS tunnel)
(Anscheinend wird anhand der MAC Adresse die Auth. beim Verbinden gemacht weil keine Abfrage kommt. Die Option ist auch aktiviert)
Das ist mir am Anfang gar nicht bewusst gewesen.
(Bei der Eingabe von Benutzername / PW auf der LandingPage kommt dann der Fehler, NO Valide Radius response received)
Captive_Log:
May 6 20:34:55 logportalauth 97421 Zone: 123_captive_portal - ERROR: Markus, 80:19:34:08:XX:XX, 192.168.2.103, Error sending request: No valid RADIUS responses received
Schaut für mich nach einer doppelten Auth. aus.
Aber wieso, die Abfrage auf der LandingPage sollte doch eigentlich reichen.
die Logs habe ich schon durchgesehen aber ich kann mir nicht so recht einen Reim drauf machen.
SYSLOG: (Direkt nach dem Verbinden mit dem WLAN, IP habe ich bekommen und ich werde auf die LandingPage geleitet)
May 6 20:33:08 radiusd 2184 (10) Login OK: [Markus] (from client INTELLINET1 port 0 cli 80-19-34-08-XX-XX)
May 6 20:33:08 radiusd 2184 (9) Login OK: [Markus] (from client INTELLINET1 port 0 via TLS tunnel)
(Anscheinend wird anhand der MAC Adresse die Auth. beim Verbinden gemacht weil keine Abfrage kommt. Die Option ist auch aktiviert)
Das ist mir am Anfang gar nicht bewusst gewesen.
(Bei der Eingabe von Benutzername / PW auf der LandingPage kommt dann der Fehler, NO Valide Radius response received)
Captive_Log:
May 6 20:34:55 logportalauth 97421 Zone: 123_captive_portal - ERROR: Markus, 80:19:34:08:XX:XX, 192.168.2.103, Error sending request: No valid RADIUS responses received
Schaut für mich nach einer doppelten Auth. aus.
Aber wieso, die Abfrage auf der LandingPage sollte doch eigentlich reichen.
Hallo,
Wir haben deine IPs und wer hat welche nicht gerade im Kopf. Wir sind hier sozusagen Blind und Taub.
Gruß,
Peter
Zitat von @Machello:
(Anscheinend wird anhand der MAC Adresse die Auth. beim Verbinden gemacht weil keine Abfrage kommt. Die Option ist auch aktiviert)
Was immer du am Radius eigestellt hast.(Anscheinend wird anhand der MAC Adresse die Auth. beim Verbinden gemacht weil keine Abfrage kommt. Die Option ist auch aktiviert)
Das ist mir am Anfang gar nicht bewusst gewesen.
Scheint dein erster Radius mit PFSense zu sein,oder?(Bei der Eingabe von Benutzername / PW auf der LandingPage kommt dann der Fehler, NO Valide Radius response received)
Wo wir das denn eingegeben, einfach so auf der Webseite oder gibt es eine Aufforderung und Fenster/Maske?May 6 20:34:55 logportalauth 97421 Zone: 123_captive_portal - ERROR: Markus, 80:19:34:08:XX:XX, 192.168.2.103, Error sending request: No valid RADIUS responses received
Und von wem und woher stammt dieser Log Eintrag?Wir haben deine IPs und wer hat welche nicht gerade im Kopf. Wir sind hier sozusagen Blind und Taub.
Gruß,
Peter
Jetzt habe ich es hin bekommen.
Aber ganz verstanden habe ich die Sache noch nicht.
Hier noch einmal mein Aufbau (aus einem vorherigen Post als mir Aqui auf die Sprünge geholfen hat)
Vielleicht hat jemand anders das gleiche Problem und kann hier einige Anregungen finden.
Ich hatte am Anfang als RadiusClient nur den AP .253 eingetragen.
Damit lief es ohne Probleme.
(Nun vermute ich
Durch das Aktivieren des Captive_Portal war aber dann die Schnittstelle .254 an der PfSense der anfragende "RadiusClient".
Als ich diesen als Client in der Radius Konfiguration hinzugefügt hatte lief alles wie gewünscht.
Sehe ich das richtig ?
Danke für eure Hilfe, der Link zum freeRadius HowTo war sehr hilfreich für das Verständnis, obwohl ich die Konfiguration bereits so hatte.
Aber ganz verstanden habe ich die Sache noch nicht.
Hier noch einmal mein Aufbau (aus einem vorherigen Post als mir Aqui auf die Sprünge geholfen hat)
Vielleicht hat jemand anders das gleiche Problem und kann hier einige Anregungen finden.
Ich hatte am Anfang als RadiusClient nur den AP .253 eingetragen.
Damit lief es ohne Probleme.
(Nun vermute ich
Durch das Aktivieren des Captive_Portal war aber dann die Schnittstelle .254 an der PfSense der anfragende "RadiusClient".
Als ich diesen als Client in der Radius Konfiguration hinzugefügt hatte lief alles wie gewünscht.
Sehe ich das richtig ?
Danke für eure Hilfe, der Link zum freeRadius HowTo war sehr hilfreich für das Verständnis, obwohl ich die Konfiguration bereits so hatte.
Ja mein erster Radius leider war meine Anfrage etwas durcheinander ich hab das ganze Durcheinander zwar im Kopf aber es ist sicherlich schwer nachzuvollziehen wenn man nicht vor dem System sitzt.
Sorry aber es ist gar nicht so einfach alle relevanten Fakten zu transportieren.
Die Eingabe für Benutzername und PW wird nach dem wählen des WLANs im Browser abgefragt der automatisch geöffnet wird.
Der Log Eintrag stammt aus dem Syslog der PfSense, die IP .103 wurde per DHCP an den Laptop vergeben mit dem ich mich in das Wlan einzuwählen versucht hatte.
Aber nun läuft es, und ich kann weiter vorgehen.
Ich schreibe eine Studienarbeit darüber und versuche nun ein echtes System aufzustellen um nicht nur den theoretische Anteil zu kennen.
Die Praxis fehlt echt in nahezu allen Informatik Studiengängen, daher versuche ich immer alles was so möglich ist in "real" nachzubauen.
Ich bin sehr froh, dass es Foren wie diese gibt, wo man Leute findet mit sehr viel Erfahrung die weiter Helfen wenn's klemmt.
Vielen lieben Dank
leider war meine Anfrage etwas durcheinander ich hab das ganze Durcheinander zwar im Kopf aber es ist sicherlich schwer nachzuvollziehen wenn man nicht vor dem System sitzt.Sorry aber es ist gar nicht so einfach alle relevanten Fakten zu transportieren.
Die Eingabe für Benutzername und PW wird nach dem wählen des WLANs im Browser abgefragt der automatisch geöffnet wird.
Der Log Eintrag stammt aus dem Syslog der PfSense, die IP .103 wurde per DHCP an den Laptop vergeben mit dem ich mich in das Wlan einzuwählen versucht hatte.
Aber nun läuft es, und ich kann weiter vorgehen.
Ich schreibe eine Studienarbeit darüber und versuche nun ein echtes System aufzustellen um nicht nur den theoretische Anteil zu kennen.
Die Praxis fehlt echt in nahezu allen Informatik Studiengängen, daher versuche ich immer alles was so möglich ist in "real" nachzubauen.
Ich bin sehr froh, dass es Foren wie diese gibt, wo man Leute findet mit sehr viel Erfahrung die weiter Helfen wenn's klemmt.
Vielen lieben Dank
Hallo,
Gruß,
Peter
Zitat von @Machello:
das ganze Durcheinander zwar im Kopf aber es ist sicherlich schwer nachzuvollziehen wenn man nicht vor dem System sitzt.
Ja, das ist mitunter schweisstreibende als das ganze irgendwie aufzubauen das ganze Durcheinander zwar im Kopf aber es ist sicherlich schwer nachzuvollziehen wenn man nicht vor dem System sitzt.
Die Eingabe für Benutzername und PW wird nach dem wählen des WLANs im Browser abgefragt der automatisch geöffnet wird.
Hört sich für mich jetzt so an das ein Browser jetz ohne zutun einfach Daten engegennimmt und an einen Radius sendet, ohne mich zu fragen oder zu Informieren Aber nun läuft es, und ich kann weiter vorgehen.
Dann mach aber bitte noch einen grünen Balken dran Wie kann ich einen Beitrag als gelöst markieren?Ich schreibe eine Studienarbeit darüber
Aber nicht mit deinen geposteten Kauderwelsch von hier, oder?Die Praxis fehlt echt in nahezu allen Informatik Studiengängen, daher versuche ich immer alles was so möglich ist in "real" nachzubauen.
Das ist löblich, aber weit von der Realität entfernt, leider. Aber gutes gelingen.Gruß,
Peter
Der Browser tut meiner Meinung nach, dass was er soll wenn ich Captive_Portal konfiguriere. Das Verhalten ist analog zu vielen anderen Radius Servern in einem Hotel oder einer Bar.
Nun ja das mit dem Kauderwelsch finde ich jetzt nicht so nett. Was genau davon ist den so schlecht geschrieben ?
Es geht um WLAN und Authentifizierungen. Und um darüber zu schreiben, bin ich der Meinung, dass es besser ist, das mal Konfiguriert zu haben.
Klar kann ich mir Lektüre suchen und mit ewig vielen Quellenangaben Bücher zitieren. Damit komme ich auch ans Ziel, aber wenn ich dann sowas mal konfigurieren muss stehe ich recht allein auf weiter Flur wenn man das noch nie gemacht hat. So kann ich Theorie und Praxis verbinden.
Im Studium lern man schon was Radius ist und welche Protokolle es gibt, wie die IP Pakete auf das Bit genau aussehen aber sowas Konfigurieren lernt im Studium keiner. Das muss man, wenn man das möchte, selbst lernen.
Du sagst, dass es weit weg von der Realität ist. Kannst du das näher erläutern?
Ich finde wenn es ordentlich gemacht ist, und die Firewallregeln dementsprechend angepasst sind, kann das System durchaus eingesetzt werden.
Wenn du da anderer Meinung bist würde ich gerne wissen warum.
Danke
Nun ja das mit dem Kauderwelsch finde ich jetzt nicht so nett. Was genau davon ist den so schlecht geschrieben ?
Es geht um WLAN und Authentifizierungen. Und um darüber zu schreiben, bin ich der Meinung, dass es besser ist, das mal Konfiguriert zu haben.
Klar kann ich mir Lektüre suchen und mit ewig vielen Quellenangaben Bücher zitieren. Damit komme ich auch ans Ziel, aber wenn ich dann sowas mal konfigurieren muss stehe ich recht allein auf weiter Flur wenn man das noch nie gemacht hat. So kann ich Theorie und Praxis verbinden.
Im Studium lern man schon was Radius ist und welche Protokolle es gibt, wie die IP Pakete auf das Bit genau aussehen aber sowas Konfigurieren lernt im Studium keiner. Das muss man, wenn man das möchte, selbst lernen.
Du sagst, dass es weit weg von der Realität ist. Kannst du das näher erläutern?
Ich finde wenn es ordentlich gemacht ist, und die Firewallregeln dementsprechend angepasst sind, kann das System durchaus eingesetzt werden.
Wenn du da anderer Meinung bist würde ich gerne wissen warum.
Danke
Die hiesigen Tutorials erklären eigentlich alle Schritte:
Freeradius Management mit WebGUI
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Management Server mit Raspberry Pi
Sinnvoller ist es erstmal mit einem Test Tool wie NTRadPing den FreeRadius auf der pfSense zu testen das der richtig konfiguriert ist und Radius Pakete da auch ankommen.
https://www.novell.com/coolsolutions/tools/14377.html
Da du richtigerweise nicht das LAN Default Netzwerk nutzt mit der Default alles erlaubt Regel ist es gut möglich das deine Radius Pakete vom AP an den Server 8pfSense) gar nicht durchkommen.
Das passiert oft und bedenken FW Anfänger häufig nicht wenn sie einen WPA2 Enterprise AP hinter einem Cative Portal istallieren.
Hier hast du ja 2 Fallen die diese Radius Pakete an die pfSense blockieren können:
Was das FW Regelset anbetrifft geht das hiesige Tutorial genau darauf ein. Lesen hilft also...!
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Außer Port TCP/UDP 53 (DNS), TCP 80 (HTTP) und TCP 8000 (Portalseite) musst du zwingend auch noch TCP/UDP 1812 und 1813 die Radius Ports freigeben.
Das wäre der erste Schritt aber dann bleiben diese Pakete auch noch am Captive Portal hängen, denn das blockiert ja alles was nicht authentisiert ist.
Da der AP ja aber der Absender ist der im gleichen Gastnetz liegt hängt der auch am CP fest, logisch.
Hier muss man also erst unter Services --> Captive Portal --> <CP_Name> --> MACs Eine Ausnameregel aktivieren für die Hardware Mac Adresse des APs ! Damit bleiben dann Pakete die der AP selber sendet nicht mehr am CP hängen weil sie nicht authentisiert werden durch diese Ausnahmeregel.
Erst dann können die Radius Pakete das Netzwerk Gast Segment vollständig passieren und die pfSense Firewall bzw. den dortigen Radius Server erreichen.
Mit dem Menü Diagnostics --> Packet Capture hättest du das auch ganz leicht selber rausfinden und fixen können !
Freeradius Management mit WebGUI
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Management Server mit Raspberry Pi
Sinnvoller ist es erstmal mit einem Test Tool wie NTRadPing den FreeRadius auf der pfSense zu testen das der richtig konfiguriert ist und Radius Pakete da auch ankommen.
https://www.novell.com/coolsolutions/tools/14377.html
Da du richtigerweise nicht das LAN Default Netzwerk nutzt mit der Default alles erlaubt Regel ist es gut möglich das deine Radius Pakete vom AP an den Server 8pfSense) gar nicht durchkommen.
Das passiert oft und bedenken FW Anfänger häufig nicht wenn sie einen WPA2 Enterprise AP hinter einem Cative Portal istallieren.
Hier hast du ja 2 Fallen die diese Radius Pakete an die pfSense blockieren können:
- Einmal das Firewall Regelset
- und zum zweiten das Captive Portal
Was das FW Regelset anbetrifft geht das hiesige Tutorial genau darauf ein. Lesen hilft also...!
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Außer Port TCP/UDP 53 (DNS), TCP 80 (HTTP) und TCP 8000 (Portalseite) musst du zwingend auch noch TCP/UDP 1812 und 1813 die Radius Ports freigeben.
Das wäre der erste Schritt aber dann bleiben diese Pakete auch noch am Captive Portal hängen, denn das blockiert ja alles was nicht authentisiert ist.
Da der AP ja aber der Absender ist der im gleichen Gastnetz liegt hängt der auch am CP fest, logisch.
Hier muss man also erst unter Services --> Captive Portal --> <CP_Name> --> MACs Eine Ausnameregel aktivieren für die Hardware Mac Adresse des APs ! Damit bleiben dann Pakete die der AP selber sendet nicht mehr am CP hängen weil sie nicht authentisiert werden durch diese Ausnahmeregel.
Erst dann können die Radius Pakete das Netzwerk Gast Segment vollständig passieren und die pfSense Firewall bzw. den dortigen Radius Server erreichen.
Mit dem Menü Diagnostics --> Packet Capture hättest du das auch ganz leicht selber rausfinden und fixen können !
