16
WLAN Authentifizierung über Freeradius Server (Pfsense auf ALIX-Box) mit DD-WRT als Radius-Client
Hallo zusammen,
ich habe leider ein Problem, was mich so langsam zum Verzweifeln bringt und bin für jede Hilfe sehr sehr dankbar !
So sieht der Aufbau aus:
[Pfsense-ALIXBox]<Freeradius-Server> ----- [DD-WRT]<WLAn> ---- WLAN-Clients
Auf ALIXBox ist Pfsense2.0.2 und Freeradius installiert.
DD-WRT fungiert als Radius-Client/NAS-Server und ist mit OPT-Interface von ALIX (Pfsense/Freeradius) verbunden.
Clients sind XP und Win7.
In radius.log lautet die Fehlermeldung beim Verbinden von Clients:
Error: TLS Alert read:fatal:unknown CA
Error: TLS_accept: failed in SSLv3 read client certificate A
Error: rlm_eap: SSL error error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
Error: SSL: SSL_read failed inside of TLS (-1), TLS session fails.
Auth: Login incorrect (TLS Alert read:fatal:unknown CA): [host/Beta/<via Auth-Type = EAP>] (from client DD-WRT port 48 cli 00-21-5d-62-a0-72)
Auth: Login incorrect: [00:21:5d:62:a0:72/abcdefgh] (from client DD-WRT port 1)
Pfsense / Freeradius :
Ich habe Freeradius so wie im Tutorail "Sichere WLAN-Benutzer Authentifizierung über Radius" beschrieben konfiguriert.
Die Zertifikate habe ich direkt in Freeradius erstellen lassen und "ca.der" auf Clients kopiert.
Die Passwörter in "Certificates" und "EAP" sind identisch.
Als EAP-Type habe ich "PEAP" mit "MSCHAPv2" für innere Authentifizierung gewählt.
Unter "NAS/Clients" ist das "Client Shared Secret" : abcdefgh ( dieses Passwort wurde ebenfalls in DD-WRT unter "Radius Auth Shared Secret" eingetragen).
Unter "Interfaces" habe ich 2 Interfaces eingerichtet einmal Ip-OPt mit dem Port 1812 und einmal Ip-Opt mit dem Port 1813
Auf Pfsense Firewall habe ich UDP 1812 und UDP 1813 von OPT-Netz auf die OPT-Ipadresse freigegeben.
DD-WRT :
Wireless Mode : AccessPoint
Radius : die IP-Adresse von AlixBox-OPT eingetragen und als "Shared Secret" : abcdefgh.
Der Test mit radtest war Ok.
Ich hoffe, dass mir jemand helfen kann.
Vielen Dank!
ich habe leider ein Problem, was mich so langsam zum Verzweifeln bringt und bin für jede Hilfe sehr sehr dankbar !
So sieht der Aufbau aus:
[Pfsense-ALIXBox]<Freeradius-Server> ----- [DD-WRT]<WLAn> ---- WLAN-Clients
Auf ALIXBox ist Pfsense2.0.2 und Freeradius installiert.
DD-WRT fungiert als Radius-Client/NAS-Server und ist mit OPT-Interface von ALIX (Pfsense/Freeradius) verbunden.
Clients sind XP und Win7.
In radius.log lautet die Fehlermeldung beim Verbinden von Clients:
Error: TLS Alert read:fatal:unknown CA
Error: TLS_accept: failed in SSLv3 read client certificate A
Error: rlm_eap: SSL error error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
Error: SSL: SSL_read failed inside of TLS (-1), TLS session fails.
Auth: Login incorrect (TLS Alert read:fatal:unknown CA): [host/Beta/<via Auth-Type = EAP>] (from client DD-WRT port 48 cli 00-21-5d-62-a0-72)
Auth: Login incorrect: [00:21:5d:62:a0:72/abcdefgh] (from client DD-WRT port 1)
Pfsense / Freeradius :
Ich habe Freeradius so wie im Tutorail "Sichere WLAN-Benutzer Authentifizierung über Radius" beschrieben konfiguriert.
Die Zertifikate habe ich direkt in Freeradius erstellen lassen und "ca.der" auf Clients kopiert.
Die Passwörter in "Certificates" und "EAP" sind identisch.
Als EAP-Type habe ich "PEAP" mit "MSCHAPv2" für innere Authentifizierung gewählt.
Unter "NAS/Clients" ist das "Client Shared Secret" : abcdefgh ( dieses Passwort wurde ebenfalls in DD-WRT unter "Radius Auth Shared Secret" eingetragen).
Unter "Interfaces" habe ich 2 Interfaces eingerichtet einmal Ip-OPt mit dem Port 1812 und einmal Ip-Opt mit dem Port 1813
Auf Pfsense Firewall habe ich UDP 1812 und UDP 1813 von OPT-Netz auf die OPT-Ipadresse freigegeben.
DD-WRT :
Wireless Mode : AccessPoint
Radius : die IP-Adresse von AlixBox-OPT eingetragen und als "Shared Secret" : abcdefgh.
Der Test mit radtest war Ok.
Ich hoffe, dass mir jemand helfen kann.
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 197289
Url: https://administrator.de/contentid/197289
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
16 Kommentare
Neuester Kommentar
Mmmhhh, sieht so aus als ob du das CA Root Zertifikat nicht auf die Clients portiert hast, kann das sein ?
Der FreeRadius meckert ja an das die CA nicht stimmt ! Hast du also das Root Zertifikat auf die Clients kopiert ?
Ansonsten schalte im Client mal testweise die Zertifikatsprüfung ab ob es dann funktioniert.
Wenn ja fehlt das Root CA !
Der FreeRadius meckert ja an das die CA nicht stimmt ! Hast du also das Root Zertifikat auf die Clients kopiert ?
Ansonsten schalte im Client mal testweise die Zertifikatsprüfung ab ob es dann funktioniert.
Wenn ja fehlt das Root CA !
Hallo aqui,
danke für deine Antwort.
Das CA-Zerifikat ist unter "vertraunswürdige Stammzertifizierungsstellen" sowohl beim User als auch beim Computer importiert. Die Zertifikatsprüfung habe ich auch abgeschaltet aber leider ohne erfolg.
Ich habe anstatt "ca.der" mit PEM-Format "ca.pem" versucht, aber es leider auch nichts gebracht...
Keine Ahnung warum TLS das CA nicht kennt ?
danke für deine Antwort.
Das CA-Zerifikat ist unter "vertraunswürdige Stammzertifizierungsstellen" sowohl beim User als auch beim Computer importiert. Die Zertifikatsprüfung habe ich auch abgeschaltet aber leider ohne erfolg.
Ich habe anstatt "ca.der" mit PEM-Format "ca.pem" versucht, aber es leider auch nichts gebracht...
Keine Ahnung warum TLS das CA nicht kennt ?
Kannst du den FreeRadius mal stoppen und im Debug Modus mit "freeradius -X" oder "radiusd -X" starten ?
Das ergibt noch einen detalierteren Output zu dem Fehler und erleichtert die weitere Suche.
Irgendwas ist an deinen Zertifikaten mau...
Wenn du Shellzugang auf dem Radiusserver hast kannst du auch mal ein
radtest user password localhost 0 radiustest
eingeben, wobei "radiustest" das Radius Passwort aus der clients.conf ist.
Das ergibt noch einen detalierteren Output zu dem Fehler und erleichtert die weitere Suche.
Irgendwas ist an deinen Zertifikaten mau...
Wenn du Shellzugang auf dem Radiusserver hast kannst du auch mal ein
radtest user password localhost 0 radiustest
eingeben, wobei "radiustest" das Radius Passwort aus der clients.conf ist.
Hallo aqui,
DD-WRT war als Gateway(NAT) eingestellt und nicht als Router. Nun kann sich ein Client Authentifizieren aber nur für eine kurze Zeit, weil dann die Verbindung nach ein paar Minuten abbricht bis ich den Win-Client abmelde und wieder neu anmelde, ansonsten versucht der Win-Client alle paar Minuten sich zu verbinden aber dann auch nur für eine kurze Zeit ...
Beim Win-Client erscheint auf der Symbolleiste :
Klicken Sie hier, um ein Zertifikat oder andere Anmeldeinformationen für die Verbindung mit dem folgenden. Netzwerk zu verwenden ....
Auth: Login OK: [client1/<via Auth-Type = EAP>] (from client DD-WRT port 0 via TLS tunnel)
Auth: Login OK: [client1/<via Auth-Type = EAP>] (from client DD-WRT port 48 cli 00-21-5d-62-a0-72)
Auth: Login incorrect: [00:21:5d:62:a0:72/abcdefgh] (from client DD-WRT port 1)
00:21:5d:62:a0:72 --> die Mac eines Win-Clients
"radtest user password localhost 0 radiustest" funktioniert nur dann, wenn ich unter "Interfaces" und "NAS/Client" die IP auf localhost einstelle.
radiusd -X :
Listening on authentication address 172.17.17.1 port 1812
Listening on accounting address 172.17.17.1 port 1813
Listening on proxy address 172.17.17.1 port 1814
Ready to process requests.
rad_recv: Access-Request packet from host 172.17.17.2 port 2049, id=3, length=69
User-Name = "00:21:5d:62:a0:72"
NAS-Port = 1
NAS-Port-Type = Wireless-802.11
User-Password = "abcdefgh"
++[preprocess] returns ok
++- entering policy rewrite_calling_station_id {...}
+++? if (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i)
(Attribute Calling-Station-Id was not found)
? Evaluating (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i) -> FALSE
+++? if (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i) -> FALSE
+++- entering else else {...}
[noop] returns noop
+++- else else returns noop
++- policy rewrite_calling_station_id returns noop
[authorized_macs] expand: %{Calling-Station-ID} ->
++[authorized_macs] returns noop
++? if (ok)
? Evaluating (ok) -> FALSE
++? if (ok) -> FALSE
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "00:21:5d:62:a0:72", skipping NULL due to config.
++[suffix] returns noop
[ntdomain] No '\' in User-Name = "00:21:5d:62:a0:72", skipping NULL due to config.
++[ntdomain] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[files] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[daily] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[weekly] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[monthly] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[forever] returns noop
rlm_checkval: Could not find item named Calling-Station-Id in request
rlm_checkval: Could not find attribute named Calling-Station-Id in check pairs
++[checkval] returns notfound
++[expiration] returns noop
++[logintime] returns noop
[pap] WARNING! No "known good" password found for the user. Authentication may fail because of this.
++[pap] returns noop
ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user
Failed to authenticate the user.
expand: ->
Login incorrect: [00:21:5d:62:a0:72/abcdefgh] (from client DD-WRT port 1)
Using Post-Auth-Type Reject
[attr_filter.access_reject] expand: %{User-Name} -> 00:21:5d:62:a0:72
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 3 to 172.17.17.2 port 2049
Waking up in 4.9 seconds.
Cleaning up request 0 ID 3 with timestamp +95
DD-WRT war als Gateway(NAT) eingestellt und nicht als Router. Nun kann sich ein Client Authentifizieren aber nur für eine kurze Zeit, weil dann die Verbindung nach ein paar Minuten abbricht bis ich den Win-Client abmelde und wieder neu anmelde, ansonsten versucht der Win-Client alle paar Minuten sich zu verbinden aber dann auch nur für eine kurze Zeit ...
Beim Win-Client erscheint auf der Symbolleiste :
Klicken Sie hier, um ein Zertifikat oder andere Anmeldeinformationen für die Verbindung mit dem folgenden. Netzwerk zu verwenden ....
Auth: Login OK: [client1/<via Auth-Type = EAP>] (from client DD-WRT port 0 via TLS tunnel)
Auth: Login OK: [client1/<via Auth-Type = EAP>] (from client DD-WRT port 48 cli 00-21-5d-62-a0-72)
Auth: Login incorrect: [00:21:5d:62:a0:72/abcdefgh] (from client DD-WRT port 1)
00:21:5d:62:a0:72 --> die Mac eines Win-Clients
"radtest user password localhost 0 radiustest" funktioniert nur dann, wenn ich unter "Interfaces" und "NAS/Client" die IP auf localhost einstelle.
radiusd -X :
Listening on authentication address 172.17.17.1 port 1812
Listening on accounting address 172.17.17.1 port 1813
Listening on proxy address 172.17.17.1 port 1814
Ready to process requests.
rad_recv: Access-Request packet from host 172.17.17.2 port 2049, id=3, length=69
User-Name = "00:21:5d:62:a0:72"
NAS-Port = 1
NAS-Port-Type = Wireless-802.11
User-Password = "abcdefgh"
- Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
++[preprocess] returns ok
++- entering policy rewrite_calling_station_id {...}
+++? if (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i)
(Attribute Calling-Station-Id was not found)
? Evaluating (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i) -> FALSE
+++? if (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i) -> FALSE
+++- entering else else {...}
[noop] returns noop
+++- else else returns noop
++- policy rewrite_calling_station_id returns noop
[authorized_macs] expand: %{Calling-Station-ID} ->
++[authorized_macs] returns noop
++? if (ok)
? Evaluating (ok) -> FALSE
++? if (ok) -> FALSE
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "00:21:5d:62:a0:72", skipping NULL due to config.
++[suffix] returns noop
[ntdomain] No '\' in User-Name = "00:21:5d:62:a0:72", skipping NULL due to config.
++[ntdomain] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[files] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[daily] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[weekly] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[monthly] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[forever] returns noop
rlm_checkval: Could not find item named Calling-Station-Id in request
rlm_checkval: Could not find attribute named Calling-Station-Id in check pairs
++[checkval] returns notfound
++[expiration] returns noop
++[logintime] returns noop
[pap] WARNING! No "known good" password found for the user. Authentication may fail because of this.
++[pap] returns noop
ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user
Failed to authenticate the user.
expand: ->
Login incorrect: [00:21:5d:62:a0:72/abcdefgh] (from client DD-WRT port 1)
Using Post-Auth-Type Reject
- Executing group from file /usr/local/etc/raddb/sites-enabled/default
[attr_filter.access_reject] expand: %{User-Name} -> 00:21:5d:62:a0:72
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 3 to 172.17.17.2 port 2049
Waking up in 4.9 seconds.
Cleaning up request 0 ID 3 with timestamp +95
Machst du eine MAC Adress Authentisierung ?? Dein Username ist "00:21:5d:62:a0:72" und das Passwort "abcdefgh" wofür kein passender User in der Datei users gefunden wird ! Deshalb schlägt die Authentisierung fehl !
In der users Datei sollte also minimal sowas stehen wie:
"00:21:5d:62:a0:72" Cleartext-Password := "abcdefgh"
In der users Datei sollte also minimal sowas stehen wie:
"00:21:5d:62:a0:72" Cleartext-Password := "abcdefgh"
Danke !
Aber im DD_WRT unter Wireless --> Radius ist "MAC Radius" auf enable und "MAC Format" aa:bb:cc:dd:ee:ff und "Password Format" auf shared Key eingestellt.
Bei den Clients wüsste ich nicht wo man das einstellen könnte !
Aber im DD_WRT unter Wireless --> Radius ist "MAC Radius" auf enable und "MAC Format" aa:bb:cc:dd:ee:ff und "Password Format" auf shared Key eingestellt.
Bei den Clients wüsste ich nicht wo man das einstellen könnte !
In der users steht :
"client1" Cleartext-Password := "abcdefgh"
was natürlich nicht passt !!!
sehr eigenartig ....
"client1" Cleartext-Password := "abcdefgh"
was natürlich nicht passt !!!
sehr eigenartig ....
Ich habe nun in der Datei "users" als Benutzername die Mac-Adresse eingetragen, /var/log/radius.log :
Auth: Login OK: [00:21:5d:62:a0:72/abcdefgh] (from client DD-WRT port 1)
Der Win-Client sendet einige hundert Pakete kann aber nichts empfangen und nach ein paar Minuten bricht ab, die Route ist im Pfsense vom OPT auf DD-WRT-Lan/WLan-Netz gesetzt.
Auth: Login OK: [00:21:5d:62:a0:72/abcdefgh] (from client DD-WRT port 1)
Der Win-Client sendet einige hundert Pakete kann aber nichts empfangen und nach ein paar Minuten bricht ab, die Route ist im Pfsense vom OPT auf DD-WRT-Lan/WLan-Netz gesetzt.
Na ja ist ja klar das es nicht klappte. Du kannst ja im Debug ganz klar sehen das der DD-WRT als Usernamen die Mac Adresse "00:21:5d:62:a0:72" sendet and den Radius mit dem Passwort "abcdefgh".
Das der Radius den dann nicht authentisieren kann wenn der NICHT in der users Datei drinsteht ist ja logisch !
Da ist ja nun wahrlich nichts eigenartig. Der FreeRadius macht genau das was er soll !
Wenn du den User nun so mit der Mac eingetragen hast wäre da mal interessant was der -X Debug sagt ?
Ggf. solltest du also mal die Mac Authentisierung im DD-WRT ausschalten, das der mit der normalen Client ID kommt.
Auch der Satz "...die Route ist im Pfsense vom OPT auf DD-WRT-Lan/WLan-Netz gesetzt." ist irgendwie unverständlich und technisch eigentlich überflüssig ?!
Der DD-WRT rennt doch nur als normaler WLAN Accesspoint wie es HIER in der "Alternative-3" beschrieben ist in deinem OPT Segment, oder ?
Da muss man rein gar nix routen, denn ein Accesspoint arbeitet immer als simple Bridge...routen is da nich also wäre auch eine Router völlig überflüssig und kontraproduktiv !
Oder...lässt du den DD-WRT als transparenten Router laufen um das WLAN zu routen (Router Modus) ?? Das Warum wäre dann mal interessant
Dann macht eine Routein der FW natürlich wieder Sinn, keine Frage. Das das Routing dann sauber funktioniert solltest du erstmal ohne Radius Authentisierung wasserdicht testen, nicht das da noch eine 2te Baustelle lauert...!
Das der Radius den dann nicht authentisieren kann wenn der NICHT in der users Datei drinsteht ist ja logisch !
Da ist ja nun wahrlich nichts eigenartig. Der FreeRadius macht genau das was er soll !
Wenn du den User nun so mit der Mac eingetragen hast wäre da mal interessant was der -X Debug sagt ?
Ggf. solltest du also mal die Mac Authentisierung im DD-WRT ausschalten, das der mit der normalen Client ID kommt.
Auch der Satz "...die Route ist im Pfsense vom OPT auf DD-WRT-Lan/WLan-Netz gesetzt." ist irgendwie unverständlich und technisch eigentlich überflüssig ?!
Der DD-WRT rennt doch nur als normaler WLAN Accesspoint wie es HIER in der "Alternative-3" beschrieben ist in deinem OPT Segment, oder ?
Da muss man rein gar nix routen, denn ein Accesspoint arbeitet immer als simple Bridge...routen is da nich also wäre auch eine Router völlig überflüssig und kontraproduktiv !
Oder...lässt du den DD-WRT als transparenten Router laufen um das WLAN zu routen (Router Modus) ?? Das Warum wäre dann mal interessant
Dann macht eine Routein der FW natürlich wieder Sinn, keine Frage. Das das Routing dann sauber funktioniert solltest du erstmal ohne Radius Authentisierung wasserdicht testen, nicht das da noch eine 2te Baustelle lauert...!
Das ist richtig, was du sagst, die TLS-Authentifizierung erfolgt auf Layer 2 und so sieht etwa das Frame aus:
[{(<TLS>EAP)EAPoL}MAC] , der DD-WRT kann nur die MAC als Benutzername übermitteln.
Die MAC habe ich in der Datei users eingetragen, wenn ich das rausnehme, dann scheitert die TLS Authentifizierung ...
Mit dem Satz "die Route ist im Pfsense vom OPT auf DD-WRT-Lan/WLan-Netz gesetzt" meinte ich, wenn man den DD-WRT als transparenter WLAN-ROUTER einrichtet, dann muss das LAN/Wlan hinter dem DD-WRT dem Pfsense bekannt sein, DD-WRT ist direkt mit dem OPT verbunden. Ist der DD-WRT als Gateway eingerichtet, dann macht er NAT und Pfsense sieht nur die WAN-Adresse des DD-WRT und das LAN/Wlan Netz hinter DD-WRT ist unwichtig.
Ich habe das soweit zum Laufen gebracht, allerdings solange der Win-Xp/7 nicht neu gestartet ist, weil nach dem Neustart, sieht man im Log eine erfolgreiche Authentifizierung :
Auth: Login OK: [00:21:5d:62:a0:72/abcdefgh] (from client DDWRT port 1)
Aber dann kann der Windows-Client keine Pakete mehr empfangen ???
Dann deaktiviere ich im DD-WRT den RADUIS und setze wieder auf WPA-PSK zurück, und bei dem Win-Client stelle ich ebenfalls auf WPA-PSK und schon gibt es eine Wlan Verbindung und ich komme mit dem Client auch ins Internet also die Routing stimmt, dann stelle ich DD-WRT wieder auf RADIUS ein bzw. WPA-Enterprise auch beim Win-Client und der Client authentifiziert sich ohne Probleme und das läuft auch sehr stabil... allerdings nur bis zum nächsten Neustart ...
Ob der DD-WRT als Gateway oder als transparenter Router eingerichtet ist, spielt dabei keine Rolle.
Ist der Radius normal gestartet mit eingetragener MAC in users und Windows-Client fährt hoch ,dann steht im LOG:
Auth: Login OK: [00:21:5d:62:a0:72/abcdefgh] (from client DDWRT port 1)
Aber wie gesagt der Client kann keine Pakete empfangen.
Wenn ich Radius im Debug-Modus starte mit eingetragener MAC in users und der Win-Client fährt hoch, dann:
rad_recv: Access-Request packet from host 172.17.17.2 port 2051, id=4, length=69
User-Name = "00:21:5d:62:a0:72"
NAS-Port = 1
NAS-Port-Type = Wireless-802.11
User-Password = "abcdefgh"
++[preprocess] returns ok
++- entering policy rewrite_calling_station_id {...}
+++? if (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i)
(Attribute Calling-Station-Id was not found)
? Evaluating (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i) -> FALSE
+++? if (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i) -> FALSE
+++- entering else else {...}
[noop] returns noop
+++- else else returns noop
++- policy rewrite_calling_station_id returns noop
[authorized_macs] expand: %{Calling-Station-ID} ->
++[authorized_macs] returns noop
++? if (ok)
? Evaluating (ok) -> FALSE
++? if (ok) -> FALSE
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "00:21:5d:62:a0:72", skipping NULL due to config.
++[suffix] returns noop
[ntdomain] No '\' in User-Name = "00:21:5d:62:a0:72", skipping NULL due to config.
++[ntdomain] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
[files] users: Matched entry 00:21:5d:62:a0:72 at line 2
++[files] returns ok
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[daily] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[weekly] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[monthly] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[forever] returns noop
rlm_checkval: Could not find item named Calling-Station-Id in request
rlm_checkval: Could not find attribute named Calling-Station-Id in check pairs
++[checkval] returns notfound
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns updated
Found Auth-Type = PAP
[pap] login attempt with password "magicradius"
[pap] Using clear text password "magicradius"
[pap] User authenticated successfully
++[pap] returns ok
expand: ->
Login OK: [00:21:5d:62:a0:72/abcdefgh] (from client DDWRT port 1)
++[exec] returns noop
Sending Access-Accept of id 4 to 172.17.17.2 port 2051
Finished request 0.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 0 ID 4 with timestamp +289
Ready to process requests.
Ready to process requests.
Signalled to terminate
Exiting normally.
[{(<TLS>EAP)EAPoL}MAC] , der DD-WRT kann nur die MAC als Benutzername übermitteln.
Die MAC habe ich in der Datei users eingetragen, wenn ich das rausnehme, dann scheitert die TLS Authentifizierung ...
Mit dem Satz "die Route ist im Pfsense vom OPT auf DD-WRT-Lan/WLan-Netz gesetzt" meinte ich, wenn man den DD-WRT als transparenter WLAN-ROUTER einrichtet, dann muss das LAN/Wlan hinter dem DD-WRT dem Pfsense bekannt sein, DD-WRT ist direkt mit dem OPT verbunden. Ist der DD-WRT als Gateway eingerichtet, dann macht er NAT und Pfsense sieht nur die WAN-Adresse des DD-WRT und das LAN/Wlan Netz hinter DD-WRT ist unwichtig.
Ich habe das soweit zum Laufen gebracht, allerdings solange der Win-Xp/7 nicht neu gestartet ist, weil nach dem Neustart, sieht man im Log eine erfolgreiche Authentifizierung :
Auth: Login OK: [00:21:5d:62:a0:72/abcdefgh] (from client DDWRT port 1)
Aber dann kann der Windows-Client keine Pakete mehr empfangen ???
Dann deaktiviere ich im DD-WRT den RADUIS und setze wieder auf WPA-PSK zurück, und bei dem Win-Client stelle ich ebenfalls auf WPA-PSK und schon gibt es eine Wlan Verbindung und ich komme mit dem Client auch ins Internet also die Routing stimmt, dann stelle ich DD-WRT wieder auf RADIUS ein bzw. WPA-Enterprise auch beim Win-Client und der Client authentifiziert sich ohne Probleme und das läuft auch sehr stabil... allerdings nur bis zum nächsten Neustart ...
Ob der DD-WRT als Gateway oder als transparenter Router eingerichtet ist, spielt dabei keine Rolle.
Ist der Radius normal gestartet mit eingetragener MAC in users und Windows-Client fährt hoch ,dann steht im LOG:
Auth: Login OK: [00:21:5d:62:a0:72/abcdefgh] (from client DDWRT port 1)
Aber wie gesagt der Client kann keine Pakete empfangen.
Wenn ich Radius im Debug-Modus starte mit eingetragener MAC in users und der Win-Client fährt hoch, dann:
rad_recv: Access-Request packet from host 172.17.17.2 port 2051, id=4, length=69
User-Name = "00:21:5d:62:a0:72"
NAS-Port = 1
NAS-Port-Type = Wireless-802.11
User-Password = "abcdefgh"
- Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
++[preprocess] returns ok
++- entering policy rewrite_calling_station_id {...}
+++? if (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i)
(Attribute Calling-Station-Id was not found)
? Evaluating (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i) -> FALSE
+++? if (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i) -> FALSE
+++- entering else else {...}
[noop] returns noop
+++- else else returns noop
++- policy rewrite_calling_station_id returns noop
[authorized_macs] expand: %{Calling-Station-ID} ->
++[authorized_macs] returns noop
++? if (ok)
? Evaluating (ok) -> FALSE
++? if (ok) -> FALSE
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "00:21:5d:62:a0:72", skipping NULL due to config.
++[suffix] returns noop
[ntdomain] No '\' in User-Name = "00:21:5d:62:a0:72", skipping NULL due to config.
++[ntdomain] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
[files] users: Matched entry 00:21:5d:62:a0:72 at line 2
++[files] returns ok
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[daily] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[weekly] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[monthly] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[forever] returns noop
rlm_checkval: Could not find item named Calling-Station-Id in request
rlm_checkval: Could not find attribute named Calling-Station-Id in check pairs
++[checkval] returns notfound
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns updated
Found Auth-Type = PAP
- Executing group from file /usr/local/etc/raddb/sites-enabled/default
[pap] login attempt with password "magicradius"
[pap] Using clear text password "magicradius"
[pap] User authenticated successfully
++[pap] returns ok
expand: ->
Login OK: [00:21:5d:62:a0:72/abcdefgh] (from client DDWRT port 1)
- Executing section post-auth from file /usr/local/etc/raddb/sites-enabled/default
++[exec] returns noop
Sending Access-Accept of id 4 to 172.17.17.2 port 2051
Finished request 0.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 0 ID 4 with timestamp +289
Ready to process requests.
Ready to process requests.
Signalled to terminate
Exiting normally.
Das mit dem Routing ist klar. Wenn du transparent routest dann braucht die pfSense diese Route…keine Frage.
..."wenn ich das rausnehme, dann scheitert die TLS Authentifizierung"
Klar das dann nichts geht, denn wenn der Username (sprich bei dir die Mac) und Passwort nicht in der Users Datei steht dann ist ja auch nix zu authentisieren.
Was vollkommen unklar und auch unsinnig ist:
"…und bei dem Win-Client stelle ich ebenfalls auf WPA-PSK"
Das ist eigentlich Unsinn, denn am WLAN Client selber ! Wird NICHTS eingestellt in Bezug auf Radius usw.
Wenn dann wird nur 802.1x aktiviert am WLAN Port.
Die entscheidende Frage hier ist noch ob du mit dem internen und bordeigenen Windows 802.1x arbeitest oder mit einem Client der vom WLAN Treiber kommt wenn du mit der WLAN Hersteller Suite arbeitest und nicht mit den Windows bordeigenen.
Das solltest du wasserdicht klären !
Was bei dir völlig unverständlich ist warum der WLAN AP immer mit der Mac Adresse kommt. eigentlich unüblich wenn man nicht eine Mac Adress Authentisierung erzwingt.
Normalerweise nimmt Windows .1x immer den Default User als User oder ,wenn man es konfiguriert , wird ein User mit einem PoPup Screen vor dem WLAN Login abgefragt.
Das ist was irgendwie komisch ist.
Zusätzlich auch wenn die Authentisierung mit Succes durchläuft also erfolgreich ist das trotzdem der Zugang geblockt ist.
Frage:
Hast du beim DD-WRT das logging aktiviert (Syslog) um mal zu sehen was da passiert ??
..."wenn ich das rausnehme, dann scheitert die TLS Authentifizierung"
Klar das dann nichts geht, denn wenn der Username (sprich bei dir die Mac) und Passwort nicht in der Users Datei steht dann ist ja auch nix zu authentisieren.
Was vollkommen unklar und auch unsinnig ist:
"…und bei dem Win-Client stelle ich ebenfalls auf WPA-PSK"
Das ist eigentlich Unsinn, denn am WLAN Client selber ! Wird NICHTS eingestellt in Bezug auf Radius usw.
Wenn dann wird nur 802.1x aktiviert am WLAN Port.
Die entscheidende Frage hier ist noch ob du mit dem internen und bordeigenen Windows 802.1x arbeitest oder mit einem Client der vom WLAN Treiber kommt wenn du mit der WLAN Hersteller Suite arbeitest und nicht mit den Windows bordeigenen.
Das solltest du wasserdicht klären !
Was bei dir völlig unverständlich ist warum der WLAN AP immer mit der Mac Adresse kommt. eigentlich unüblich wenn man nicht eine Mac Adress Authentisierung erzwingt.
Normalerweise nimmt Windows .1x immer den Default User als User oder ,wenn man es konfiguriert , wird ein User mit einem PoPup Screen vor dem WLAN Login abgefragt.
Das ist was irgendwie komisch ist.
Zusätzlich auch wenn die Authentisierung mit Succes durchläuft also erfolgreich ist das trotzdem der Zugang geblockt ist.
Frage:
Hast du beim DD-WRT das logging aktiviert (Syslog) um mal zu sehen was da passiert ??
Das mit WPA-PSK ist natürlich nicht Sinn der Sache, aber nur so, authentifiziert sich der Client ohne Probleme, einen Sinn macht das auf gar keinen Fall 
Die Clients sind Notebooks mit integrierten WLAN-Adapter "Intel WiFi Link 5100 AGN", zum konfigurieren verwende ich windows selbst, es ist keine Wlan-Suite installiert.
Ich vermute, dass das Problem durch den Treiber verursacht wird, das mit dem Popup Screen erscheint bei mir, allerdings nur manchmal und dann klappt auch mit der Authentifizierung, ob nach einem Neustart oder sogar Trennen der Verbindung wieder zu einem Popup Fenster kommt, ist mittlerweile Glückssache
Auf DD-WRT ist Firewall und Syslog deaktiviert.
Hat bei dir schon mal die Authentifizierung über Pfsense als Radius-Server und DD-WRT als NAS funktioniert ?
Die Clients sind Notebooks mit integrierten WLAN-Adapter "Intel WiFi Link 5100 AGN", zum konfigurieren verwende ich windows selbst, es ist keine Wlan-Suite installiert.
Ich vermute, dass das Problem durch den Treiber verursacht wird, das mit dem Popup Screen erscheint bei mir, allerdings nur manchmal und dann klappt auch mit der Authentifizierung, ob nach einem Neustart oder sogar Trennen der Verbindung wieder zu einem Popup Fenster kommt, ist mittlerweile Glückssache
Auf DD-WRT ist Firewall und Syslog deaktiviert.
Hat bei dir schon mal die Authentifizierung über Pfsense als Radius-Server und DD-WRT als NAS funktioniert ?
Du kannst im Windows .1x Client einen Haken setzen das NICHT das Popup Window kommt. Dann nimmt der Client immer den Hostnamen des Rechners zur Authentisierung. Das sollte der Regelfall sein.
Du musst aber zwingen die Mac Authentisierung abstellen, denn das kommt vom AP das der das so weiterreicht. Der soll einzig nur .1x Auth des Clients durchreichen, das passiert so wie es aussieht nicht und ist das Grundproblem.
Ich check das mit dem FreeRadius parallel.
Du musst aber zwingen die Mac Authentisierung abstellen, denn das kommt vom AP das der das so weiterreicht. Der soll einzig nur .1x Auth des Clients durchreichen, das passiert so wie es aussieht nicht und ist das Grundproblem.
Ich check das mit dem FreeRadius parallel.
So, Testaufbau erledigt und das Fazit ist das es alles wunderbar funktioniert !!
Keine Ahnung also was du da falsch machst ??
Hier ist das genaue Test Setup:
Hier ist das WLAN Grundsetup des DD-WRT Accesspoints:
Hier ist das WLAN Security des DD-WRT Accesspoints:
Hier ist das Client Setup Laptop:
Hier ist der Debug Output des FreeRadius Servers:
Users Datei
client.conf Datei
Also du siehst....alles wunderbar wie es sein soll ?!
Keine Ahnung also was du da falsch machst ??
Hier ist das genaue Test Setup:
Hier ist das WLAN Grundsetup des DD-WRT Accesspoints:
Hier ist das WLAN Security des DD-WRT Accesspoints:
Hier ist das Client Setup Laptop:
Hier ist der Debug Output des FreeRadius Servers:
Cleaning up request 6 ID 0 with timestamp +152
User-Name = "test"
NAS-IP-Address = 192.168.1.221
Called-Station-Id = "687f7401fbce"
Calling-Station-Id = "0021857e8250"
NAS-Identifier = "687f7401fbce"
NAS-Port = 44
Framed-MTU = 1400
State = 0x7915228d7f1237da5bd0b7200a259503
NAS-Port-Type = Wireless-802.11
EAP-Message = 0x020700061500
Message-Authenticator = 0xb45850753bb8ed59069c175ec65390f7
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[ntdomain] No '\' in User-Name = "test", looking up realm NULL
[ntdomain] No such realm "NULL"
++[ntdomain] returns noop
[eap] EAP packet type response id 7 length 6
[eap] Continuing tunnel setup.
++[eap] returns ok
Found Auth-Type = EAP
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/ttls
[eap] processing type ttls
[ttls] Authenticate
[ttls] processing EAP-TLS
[ttls] Received TLS ACK
[ttls] ACK handshake is finished
[ttls] eaptls_verify returned 3
[ttls] eaptls_process returned 3
[ttls] Using saved attributes from the original Access-Accept
[eap] Freeing handler
++[eap] returns ok
# Executing section post-auth from file /etc/freeradius/sites-enabled/default
+- entering group post-auth {...}
++[exec] returns noop
Sending Access-Accept of id 0 to 192.168.1.221 port 2052
MS-MPPE-Recv-Key = 0xc102a8d88eb918a4d19b08b488c43a05751e8f8825c5ddcc6b01dbbe1f565bdd
MS-MPPE-Send-Key = 0xf158cf3ddbcc0be432110814750c5a360c26fed388d3ed7343111d0356863acd
EAP-Message = 0x03070004
Message-Authenticator = 0x00000000000000000000000000000000
User-Name = "test"
Finished request 7.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 7 ID 0 with timestamp +152
Ready to process requests. Users Datei
"User" Cleartext-Password := "test123"
"test" Cleartext-Password := "test"
"Gast" Cleartext-Password := "gast", Login-Time := "Wk0700-1800" client.conf Datei
client 192.168.1.0/24 {
secret = radiustest
shortname = private-network-1
}
# Also du siehst....alles wunderbar wie es sein soll ?!
Ich danke dir für den Test!
Bei dir ist der Freeradius auf Suse installiert, bei mir ist er auf Pfsense, ich muss z.B. zusätzlich die Mac-Adresse des einzelnen Supplicants in der Datei "users" eintragen. Sobald ich die Mac-Adresse rausnehme oder mit einer anderen Wlan-Karte, deren Mac nicht eingetragen ist, versuche, dann scheitert die TLS-Authentifizierung. Ist die Mac eingetragen, dann klappt es mit "manchen Wlan-Karten" die TLS-Auth. und auch die 2. Phase der Auth.
Ich habe das aber soweit zum Laufen gebracht, aber wie gesagt es läuft leider nicht mit jedem Wlan-Treiber obwohl sie alle 802.1x beherrschen und ich muss jede Mac in users eintragen !!!
Bei dir ist der Freeradius auf Suse installiert, bei mir ist er auf Pfsense, ich muss z.B. zusätzlich die Mac-Adresse des einzelnen Supplicants in der Datei "users" eintragen. Sobald ich die Mac-Adresse rausnehme oder mit einer anderen Wlan-Karte, deren Mac nicht eingetragen ist, versuche, dann scheitert die TLS-Authentifizierung. Ist die Mac eingetragen, dann klappt es mit "manchen Wlan-Karten" die TLS-Auth. und auch die 2. Phase der Auth.
Ich habe das aber soweit zum Laufen gebracht, aber wie gesagt es läuft leider nicht mit jedem Wlan-Treiber obwohl sie alle 802.1x beherrschen und ich muss jede Mac in users eintragen !!!
Nein, du liest leider die Threadantwort nicht richtig 
Der Test FreeRadius ist auf Debian Wheezy auf einem Raspberry Pi installiert:
Netzwerk Management Server mit Raspberry Pi
Nochmal: Das ist völliger Unsinn, das du da die Mac Adresse eingeben musst !! Wie du an den obigen Screenshots ersiehst schickt der DD-WRT niemals Mac Adressen zur Authentisierung sondern Username Passwort wie du ja unschwer oben sehen kannst. (No '\' in User-Name = "test", looking up realm NULL = Username ist "test")
Bei dir liegt also einen fehlkonfiguration des DD-WRT vor. Vermutlich (geraten) kann es sein das du fälschlicherweise unter Radius den 802.1x Client des APs selber aktiviert hast. Das wäre natürlich technischer Unsinn, denn damit authentisiert sich der AP selber als .1x Client in einem gesicherten Netzwerk.
Genau das willst du ja nicht sondern WLAN User authentisieren !!
Fazit: Folge genau dem Testaufbau und...auch den Tutorial das das Radius Customizing beschreibt, dann funktioniert das auch !
Der Test FreeRadius ist auf Debian Wheezy auf einem Raspberry Pi installiert:Netzwerk Management Server mit Raspberry Pi
Nochmal: Das ist völliger Unsinn, das du da die Mac Adresse eingeben musst !! Wie du an den obigen Screenshots ersiehst schickt der DD-WRT niemals Mac Adressen zur Authentisierung sondern Username Passwort wie du ja unschwer oben sehen kannst. (No '\' in User-Name = "test", looking up realm NULL = Username ist "test")
Bei dir liegt also einen fehlkonfiguration des DD-WRT vor. Vermutlich (geraten) kann es sein das du fälschlicherweise unter Radius den 802.1x Client des APs selber aktiviert hast. Das wäre natürlich technischer Unsinn, denn damit authentisiert sich der AP selber als .1x Client in einem gesicherten Netzwerk.
Genau das willst du ja nicht sondern WLAN User authentisieren !!
Fazit: Folge genau dem Testaufbau und...auch den Tutorial das das Radius Customizing beschreibt, dann funktioniert das auch !
