machello
Goto Top

Problem mit Captive Portal und PfSense und FreeRadius

Hallo Zusammen,

mich plagt noch ein Fehler bei meiner PfSense in Verbindung mit FreeRadius und Captive Portal.

Zum System:
PfSense 2.4.3
FreeRadius3 0.15.5

Folgendes habe ich konfiguriert:

- FreeRadius auf der PfSense installiert,
- NAS Client angelegt (ist ein mit Kabel angeschlossener Wlan AP mit der IP 192.168.2.253 am Interface 192.168.2.254 der PfSense )
- Interfaces definiert (Port 1813)
- Benutzer in der FreeRadius Verwaltung angelegt

Login getestet indem ich mich mit einem Laptop mit dem WLAN verbunden habe.
Abfrage nach Benutzername und PW kam, eingegeben und Internetverbindung steht.
Funktioniert also alles wunderbar.

Nun habe ich Captive Portal aktiviert und in der Einstellung für FreeRadius weitere Interfaces (Port 1812 / 1816) definiert.
Wenn ich mich nun mit dem WLan verbinde kommt keine Abfrage nach Benutzer und PW mehr und ich werde direkt auf die Landing Page geleitet, passt ja soweit.
Aber nun bekomme ich mit dem gleichen Benutzer der vorher funktionierte einen Fehler:
Error sending request: No valid RADIUS responses received

Meine Einstellung im CP und Raduis ist folgende:
unbenannt
unbenannt1
unbenannt2

Weiterhin habe ich alles soweit auf default gelassen.

An dieser Stelle komme ich nicht weiter.
Was habe ich vergessen ?

Vielen Dank schon mal für eure Hilfe

Content-ID: 373226

Url: https://administrator.de/forum/problem-mit-captive-portal-und-pfsense-und-freeradius-373226.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

Pjordorf
Lösung Pjordorf 06.05.2018 um 20:05:07 Uhr
Goto Top
Hallo,

Zitat von @Machello:
Was habe ich vergessen ?
Was sagen deine Logs der PFSense und deines Radius?
Schon mal durchgearbeitet? https://wiki.freeradius.org/guide/Basic-configuration-HOWTO

Gruß,
Peter
Machello
Machello 06.05.2018 aktualisiert um 20:45:12 Uhr
Goto Top
Hallo Pjordorf,

die Logs habe ich schon durchgesehen aber ich kann mir nicht so recht einen Reim drauf machen.

SYSLOG: (Direkt nach dem Verbinden mit dem WLAN, IP habe ich bekommen und ich werde auf die LandingPage geleitet)
May 6 20:33:08 radiusd 2184 (10) Login OK: [Markus] (from client INTELLINET1 port 0 cli 80-19-34-08-XX-XX)
May 6 20:33:08 radiusd 2184 (9) Login OK: [Markus] (from client INTELLINET1 port 0 via TLS tunnel)
(Anscheinend wird anhand der MAC Adresse die Auth. beim Verbinden gemacht weil keine Abfrage kommt. Die Option ist auch aktiviert)
Das ist mir am Anfang gar nicht bewusst gewesen.

(Bei der Eingabe von Benutzername / PW auf der LandingPage kommt dann der Fehler, NO Valide Radius response received)
Captive_Log:
May 6 20:34:55 logportalauth 97421 Zone: 123_captive_portal - ERROR: Markus, 80:19:34:08:XX:XX, 192.168.2.103, Error sending request: No valid RADIUS responses received

Schaut für mich nach einer doppelten Auth. aus.
Aber wieso, die Abfrage auf der LandingPage sollte doch eigentlich reichen.
Pjordorf
Lösung Pjordorf 06.05.2018 um 22:04:36 Uhr
Goto Top
Hallo,

Zitat von @Machello:
(Anscheinend wird anhand der MAC Adresse die Auth. beim Verbinden gemacht weil keine Abfrage kommt. Die Option ist auch aktiviert)
Was immer du am Radius eigestellt hast.

Das ist mir am Anfang gar nicht bewusst gewesen.
Scheint dein erster Radius mit PFSense zu sein,oder?

(Bei der Eingabe von Benutzername / PW auf der LandingPage kommt dann der Fehler, NO Valide Radius response received)
Wo wir das denn eingegeben, einfach so auf der Webseite oder gibt es eine Aufforderung und Fenster/Maske?

May 6 20:34:55 logportalauth 97421 Zone: 123_captive_portal - ERROR: Markus, 80:19:34:08:XX:XX, 192.168.2.103, Error sending request: No valid RADIUS responses received
Und von wem und woher stammt dieser Log Eintrag?
Wir haben deine IPs und wer hat welche nicht gerade im Kopf. Wir sind hier sozusagen Blind und Taub.

Gruß,
Peter
Machello
Machello 06.05.2018 um 22:25:41 Uhr
Goto Top
Jetzt habe ich es hin bekommen.

Aber ganz verstanden habe ich die Sache noch nicht.
Hier noch einmal mein Aufbau (aus einem vorherigen Post als mir Aqui auf die Sprünge geholfen hat)
Vielleicht hat jemand anders das gleiche Problem und kann hier einige Anregungen finden.

e3950924500d698190775d4d182ea846

Ich hatte am Anfang als RadiusClient nur den AP .253 eingetragen.
Damit lief es ohne Probleme.
(Nun vermute ichface-smile
Durch das Aktivieren des Captive_Portal war aber dann die Schnittstelle .254 an der PfSense der anfragende "RadiusClient".
Als ich diesen als Client in der Radius Konfiguration hinzugefügt hatte lief alles wie gewünscht.

Sehe ich das richtig ?

Danke für eure Hilfe, der Link zum freeRadius HowTo war sehr hilfreich für das Verständnis, obwohl ich die Konfiguration bereits so hatte.
Machello
Machello 06.05.2018 um 22:41:16 Uhr
Goto Top
Ja mein erster Radius face-smile leider war meine Anfrage etwas durcheinander ich hab das ganze Durcheinander zwar im Kopf aber es ist sicherlich schwer nachzuvollziehen wenn man nicht vor dem System sitzt.
Sorry aber es ist gar nicht so einfach alle relevanten Fakten zu transportieren.

Die Eingabe für Benutzername und PW wird nach dem wählen des WLANs im Browser abgefragt der automatisch geöffnet wird.

Der Log Eintrag stammt aus dem Syslog der PfSense, die IP .103 wurde per DHCP an den Laptop vergeben mit dem ich mich in das Wlan einzuwählen versucht hatte.

Aber nun läuft es, und ich kann weiter vorgehen.

Ich schreibe eine Studienarbeit darüber und versuche nun ein echtes System aufzustellen um nicht nur den theoretische Anteil zu kennen.
Die Praxis fehlt echt in nahezu allen Informatik Studiengängen, daher versuche ich immer alles was so möglich ist in "real" nachzubauen.
Ich bin sehr froh, dass es Foren wie diese gibt, wo man Leute findet mit sehr viel Erfahrung die weiter Helfen wenn's klemmt.

Vielen lieben Dank
Pjordorf
Pjordorf 06.05.2018 um 22:54:15 Uhr
Goto Top
Hallo,

Zitat von @Machello:
das ganze Durcheinander zwar im Kopf aber es ist sicherlich schwer nachzuvollziehen wenn man nicht vor dem System sitzt.
Ja, das ist mitunter schweisstreibende als das ganze irgendwie aufzubauen face-smile

Die Eingabe für Benutzername und PW wird nach dem wählen des WLANs im Browser abgefragt der automatisch geöffnet wird.
Hört sich für mich jetzt so an das ein Browser jetz ohne zutun einfach Daten engegennimmt und an einen Radius sendet, ohne mich zu fragen oder zu Informieren face-smile

Aber nun läuft es, und ich kann weiter vorgehen.
Dann mach aber bitte noch einen grünen Balken dran Wie kann ich einen Beitrag als gelöst markieren?

Ich schreibe eine Studienarbeit darüber
Aber nicht mit deinen geposteten Kauderwelsch von hier, oder?

Die Praxis fehlt echt in nahezu allen Informatik Studiengängen, daher versuche ich immer alles was so möglich ist in "real" nachzubauen.
Das ist löblich, aber weit von der Realität entfernt, leider. Aber gutes gelingen.

Gruß,
Peter
Machello
Machello 06.05.2018 aktualisiert um 23:21:52 Uhr
Goto Top
Der Browser tut meiner Meinung nach, dass was er soll wenn ich Captive_Portal konfiguriere. Das Verhalten ist analog zu vielen anderen Radius Servern in einem Hotel oder einer Bar.

Nun ja das mit dem Kauderwelsch finde ich jetzt nicht so nett. Was genau davon ist den so schlecht geschrieben ?

Es geht um WLAN und Authentifizierungen. Und um darüber zu schreiben, bin ich der Meinung, dass es besser ist, das mal Konfiguriert zu haben.
Klar kann ich mir Lektüre suchen und mit ewig vielen Quellenangaben Bücher zitieren. Damit komme ich auch ans Ziel, aber wenn ich dann sowas mal konfigurieren muss stehe ich recht allein auf weiter Flur wenn man das noch nie gemacht hat. So kann ich Theorie und Praxis verbinden.

Im Studium lern man schon was Radius ist und welche Protokolle es gibt, wie die IP Pakete auf das Bit genau aussehen aber sowas Konfigurieren lernt im Studium keiner. Das muss man, wenn man das möchte, selbst lernen.

Du sagst, dass es weit weg von der Realität ist. Kannst du das näher erläutern?
Ich finde wenn es ordentlich gemacht ist, und die Firewallregeln dementsprechend angepasst sind, kann das System durchaus eingesetzt werden.
Wenn du da anderer Meinung bist würde ich gerne wissen warum.

Danke
aqui
aqui 07.05.2018, aktualisiert am 15.05.2023 um 16:33:03 Uhr
Goto Top
Die hiesigen Tutorials erklären eigentlich alle Schritte:
Freeradius Management mit WebGUI
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Management Server mit Raspberry Pi

Sinnvoller ist es erstmal mit einem Test Tool wie NTRadPing den FreeRadius auf der pfSense zu testen das der richtig konfiguriert ist und Radius Pakete da auch ankommen.
https://www.novell.com/coolsolutions/tools/14377.html

Da du richtigerweise nicht das LAN Default Netzwerk nutzt mit der Default alles erlaubt Regel ist es gut möglich das deine Radius Pakete vom AP an den Server 8pfSense) gar nicht durchkommen.
Das passiert oft und bedenken FW Anfänger häufig nicht wenn sie einen WPA2 Enterprise AP hinter einem Cative Portal istallieren.
Hier hast du ja 2 Fallen die diese Radius Pakete an die pfSense blockieren können:
  • Einmal das Firewall Regelset
  • und zum zweiten das Captive Portal

Was das FW Regelset anbetrifft geht das hiesige Tutorial genau darauf ein. Lesen hilft also...!
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Außer Port TCP/UDP 53 (DNS), TCP 80 (HTTP) und TCP 8000 (Portalseite) musst du zwingend auch noch TCP/UDP 1812 und 1813 die Radius Ports freigeben.
Das wäre der erste Schritt aber dann bleiben diese Pakete auch noch am Captive Portal hängen, denn das blockiert ja alles was nicht authentisiert ist.
Da der AP ja aber der Absender ist der im gleichen Gastnetz liegt hängt der auch am CP fest, logisch.
Hier muss man also erst unter Services --> Captive Portal --> <CP_Name> --> MACs Eine Ausnameregel aktivieren für die Hardware Mac Adresse des APs ! Damit bleiben dann Pakete die der AP selber sendet nicht mehr am CP hängen weil sie nicht authentisiert werden durch diese Ausnahmeregel.
Erst dann können die Radius Pakete das Netzwerk Gast Segment vollständig passieren und die pfSense Firewall bzw. den dortigen Radius Server erreichen.
Mit dem Menü Diagnostics --> Packet Capture hättest du das auch ganz leicht selber rausfinden und fixen können !