Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2008-09-03 11:52:39
grodzek - Użytkownik
- grodzek
- Użytkownik
- Zarejestrowany: 2008-09-03
Freeradius
Witam.
Mam problem związany z działaniem mojego serwera Radius i sieci bezprzewodowej. Próbuję skonfigurować tak freeradiusa na ubuntu, by poprzez AP Linksys WRT45GL klient na Windowsie XP mógł bezprzewodowo połączyć się z siecią. Dodam, klient łączy się poprzez kartę PCMCIA Linksys WPC54G. Nie chodzi mi tu o łączenie poprzez certyfikaty wygenerowane przez serwer tylko podanie loginu i hasła na kliencie.
W pliku clients.conf dopisałem adres IP mojego AP:
client 192.168.1.1/32 {
secret = 123456
shortname = server
}
W eap.conf i radiusd.conf nic nie dopisywałem.
Plik users... dopisałem użytkownika i hasło, które są takie same jak dla użytkownika Ubuntu.
"luke" User-Password == "haslo"
Niestety klient nie chce się połączyć z AP po wpisaniu loginu i hasła. W logach w radius.log otrzymuję:
Auth: Login incorrect: [luke/<no User-Password attribute>] (from client server port 63 cli 0014bfb2b7ba)
A gdy przeprowadzam radtesta nawet dla localhosta Sendin i Re-sending działa, a na koniec dostaję:
rad_recv: Access-Reject packet from host 127.0.0.1:1812, id=48, lenght=20.
Przy radteście AP otrzymuję natomiast:
radclient: no response from server for ID 56
Proszę o pomoc.
Łukasz
Offline
#2 2008-09-03 13:09:53
zlyZwierz - 
Moderator
Re: Freeradius
Z powodów licencyjnych freeradius w óbóntó (i w debianie) jest skompajlowany bez wsparcia dla ssl (a co za tym idzie tls, ttls, eap..). Nawet gdyby sama konfiguracja była poprawna, to i tak by nie zabanglało..
http://www.linuxinsight.com/building-debian-freerad … -support.html
Plik eap.conf trzeba dostosować do pracy w PEAP.
Offline
#3 2008-09-03 14:02:56
grodzek - Użytkownik
- grodzek
- Użytkownik
- Zarejestrowany: 2008-09-03
Re: Freeradius
Dziękuję bardzo za konkretną wypowiedź. Wreszcie coś się dowiedziałem w tym temacie, a męczyłem się z tym dość długo.
Jeśli zainstaluję patche, które znajdują się w linku umieszczonym przez Ciebie to jest szansa że ruszy freeradius na ubuntu? Czy może od razu przejść na inny system np. FreeBSD?
Offline
#4 2008-09-03 14:51:17
zlyZwierz - Moderator
Re: Freeradius
Ruszy, ostatno stawialem kolesiowi na laptoku z ubuntu freeradiusa i robiłem wpa enterprise (WPA+802.1x) na jakimś wynalazku edimaksa.
Certy wszystkie wygenerowałem skryptem bootstrap z CVS-owej wersji freeradiusa.
Mój eap.conf:
Kod:
eap {
default_eap_type = peap
md5 {
}
tls {
private_key_password = whatever
private_key_file = ${raddbdir}/certs/server.pem
certificate_file = ${raddbdir}/certs/server.pem
# Trusted Root CA list
CA_file = ${raddbdir}/certs/demoCA/cacert.pem
dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
fragment_size = 1024
include_length = yes
check_crl = no
# check_cert_cn = %{User-Name}
}
peap {
default_eap_type = mschapv2
}
mschapv2 {
}
}Offline
#5 2008-09-03 15:31:14
grodzek - Użytkownik
- grodzek
- Użytkownik
- Zarejestrowany: 2008-09-03
Re: Freeradius
Jeśli nie chcę generować certyfikatów to czy będzie potrzebny ten kanał tls? Chcę tylko login i hasło (zamieszczone w pliku users) podawać na kliencie windowsowym, a bawić z certyfikatami jakoś mi się nie chce ;) Chyba że z czasem to rozszerzę... ale pierwszy cel to wystartowanie tego radiusa.
Offline
#6 2008-09-03 15:41:30
zlyZwierz - Moderator
Re: Freeradius
Po stronie suplikanta (klienta) nie trzeba żadnych certów, mniejwięcej tak jak przy odwiedzaniu strony po https.
Protoków PEAP (chroniony EAP) najpierw ustanawia szyfrowany tunel między klientem i serwerem radius , potem przez ten tunel wysyła rządanie autoryzacji w postaci mschap-v2.
Tak , czy inaczej , w freeradius certów potrzebuje.
Offline
#7 2008-09-03 19:14:26
grodzek - Użytkownik
- grodzek
- Użytkownik
- Zarejestrowany: 2008-09-03
Re: Freeradius
Dziękuję za pomoc... Jutro cały dzień poświęcę temu co mi napisałeś. Jak będę miał problem to się jeszcze odezwę... Chyba jesteś jedyną osobą kompetentną, która mi może pomóc w tym temacie. Jeszcze raz dziękuję.
Offline
#8 2008-09-16 01:18:22
scyhe - Nowy użytkownik
- scyhe
- Nowy użytkownik
- Zarejestrowany: 2008-09-15
Re: Freeradius
Udało sie komuś odpalic freeradiusa z EAP ?
Nie moge sobie poradzic ze zbudowaniem pakietu z obsluga ssl :(
Opis pod linkiem http://www.linuxinsight.com/building-debian-freerad … -support.html
dotyczy wersji 1.1.7 ale nie moge jej zlanezc :( wszedzie albo starsza 1.1.3 albo 2.0
Progowalem robic analogicznie do opisu z 1.1.7 ( na dole tej strony tez jest post co opisuje dla ver 2.0 ale poleglem podczas doinstaowywania debhelper :( za duzo niespelnionych zaleznosci a w repo wersje starsze - stabilne.
Moze ktos ma gotowy pakiet ?
Debian 4.0 etch - stable, jajko standardowe,
Od razu chcialem zaznaczyc ze z ta dystrybucja mam doczynienia od kilku godzin dopiero :)
--- edit ---- kombinuje dalej...
Może na poczatek kilka słów co chcę osiągnąć:
Client WLAN --[pppoe]--> MT RB433AH 3.10 <-------> RADIUS.
Chciałbym umożliwić takie uwierzytelnianie. Klient z karta radiową i z WinXP tworzy połączenie pppoe gdzie wpisuje login i hasło.
Teraz kilka lamerskich pytań do tego:
1) Czy taki układ wymaga freeradiusa z ssl - testowałem na tym z apt-get install ale lipa - stąd moje dalsze poszukiwania.
2) Jakiej metody użyć do tego ? PEAP ? czy może jakieś innej. Na początek aby było jak najprościej , żeby tylko ruszylo do testów.
3) Jak to sprawdzić czy działa ? - zakladając ze chciałbym uzyc jakos radtest aby wykluczyć problemy dalsze z MT albo klientem.
Kompilacja ze zrodel przeszla bez problemu
jednak przy uruchamianiau mam
radiusd -x
Kod:
rlm_eap: SSL error error:0200100D:system library:fopen:Permission denied rlm_eap_tls: Error reading certificate file /usr/local/etc/raddb/certs/server.pem rlm_eap: Failed to initialize type tls /usr/local/etc/raddb/eap.conf[1]: Instantiation failed for module "eap" /usr/local/etc/raddb/sites-enabled/inner-tunnel[223]: Failed to find module "eap". /usr/local/etc/raddb/sites-enabled/inner-tunnel[176]: Errors parsing authenticate section.
Chyba dalej nie ma obslugi ssl :(
Ponowna rekompilacja tym razem z opcjami obslugi ssl - przeszlo,
Wygenerowalem klucze za pomocna skryptu bootstrap, w eap.conf zmienilem default_eap_type na peap, rwszty nie zmienialem,
Uruchamiam serwer, ale gdy robie np:
Kod:
radtest steve testing localhost 1813 testing123
to dostaje w trybie debug cos takiego:
Kod:
Ignoring request to authentication address * port 1812 from unknown client 192.168.0.2 port 32775 Ready to process requests.
Pytania 1),2),3) nadal aktualne :(
Wiec kolejny dzien walki:
Doszedlem do tego, ze testujac radtestem dostaje ladnie :
W odpowiedzi na Access-Request...
Kod:
Sending Access-Accept of id 211 to 192.168.0.254 port 38033
Service-Type = Framed-User
Framed-Protocol = PPP
Framed-IP-Address = 172.16.3.33
Framed-IP-Netmask = 255.255.255.0
Finished request 0.
Going to the next requesta zaraz potem jest :
Kod:
rad_recv: Accounting-Request packet from host 192.168.0.254 port 34959, id=212, length=156
Service-Type = Framed-User
Framed-Protocol = PPP
NAS-Port = 149
NAS-Port-Type = Ethernet
User-Name = "user1"
Calling-Station-Id = "00:A01:BE:7C:56"
Called-Station-Id = "NAZWA"
NAS-Port-Id = "bridge1"
Acct-Session-Id = "8170008f"
Framed-IP-Address = 172.16.3.33
Framed-IP-Netmask = 255.255.255.0
19:43:37 Acct-Authentic = RADIUS
Event-Timestamp = "Jan 1 1970 07:43:20 CET"
Acct-Status-Type = Start
NAS-Identifier = "MT"
NAS-IP-Address = 192.168.0.254
Acct-Delay-Time = 0
+- entering group preacct {...}
++[preprocess] returns ok
[acct_unique] Hashing 'NAS-Port = 149,Client-IP-Address = 192.168.0.254,NAS-IP-Address = 192.168.0.254,Acct-Session-Id = "8170008f",User-Name = "user1"'
[acct_unique] Acct-Unique-Session-ID = "2350c8a9b27547de".
++[acct_unique] returns ok
[suffix] No '@' in User-Name = "user1", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
++[files] returns noop
+- entering group accounting {...}
expand: /usr/local/var/log/radius/radacct/%{Client-IP-Address}/detail-%Y%m%d -> /usr/local/var/log/radius/radacct/192.168.0.254/detail-20080916
[detail] /usr/local/var/log/radius/radacct/%{Client-IP-Address}/detail-%Y%m%d expands to /usr/local/var/log/radius/radacct/192.168.0.254/detail-20080916
expand: %t -> Tue Sep 16 21:33:54 2008
++[detail] returns ok
++[unix] returns ok
expand: /usr/local/var/log/radius/radutmp -> /usr/local/var/log/radius/radutmp
expand: %{User-Name} -> user1
++[radutmp] returns ok
expand: %{User-Name} -> user1
attr_filter: Matched entry DEFAULT at line 12
++[attr_filter.accounting_response] returns updated
Sending Accounting-Response of id 212 to 192.168.0.254 port 34959
Finished request 1.a po tym :
Kod:
rad_recv: Accounting-Request packet from host 192.168.0.254 port 47837, id=213, length=204
Service-Type = Framed-User
Framed-Protocol = PPP
NAS-Port = 149
NAS-Port-Type = Ethernet
User-Name = "user1"
Calling-Station-Id = "00:A01:BE:7C:56"
Called-Station-Id = "HelioLAN"
NAS-Port-Id = "bridge1"
Acct-Session-Id = "8170008f"
19:43:37 Framed-IP-Address = 172.16.3.33
Framed-IP-Netmask = 255.255.255.0
Acct-Authentic = RADIUS
Event-Timestamp = "Jan 1 1970 07:43:21 CET"
Acct-Session-Time = 1
Acct-Input-Octets = 499
Acct-Input-Gigawords = 0
Acct-Input-Packets = 11
Acct-Output-Octets = 123
Acct-Output-Gigawords = 0
Acct-Output-Packets = 10
Acct-Status-Type = Stop
Acct-Terminate-Cause = NAS-Error
NAS-Identifier = "HL_Kobiernice"
NAS-IP-Address = 192.168.0.254
Acct-Delay-Time = 0
+- entering group preacct {...}
++[preprocess] returns ok
[acct_unique] Hashing 'NAS-Port = 149,Client-IP-Address = 192.168.0.254,NAS-IP-Address = 192.168.0.254,Acct-Session-Id = "8170008f",User-Name = "user1"'
[acct_unique] Acct-Unique-Session-ID = "2350c8a9b27547de".
++[acct_unique] returns ok
[suffix] No '@' in User-Name = "user1", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
++[files] returns noop
+- entering group accounting {...}
expand: /usr/local/var/log/radius/radacct/%{Client-IP-Address}/detail-%Y%m%d -> /usr/local/var/log/radius/radacct/192.168.0.254/detail-20080916
[detail] /usr/local/var/log/radius/radacct/%{Client-IP-Address}/detail-%Y%m%d expands to /usr/local/var/log/radius/radacct/192.168.0.254/detail-20080916
expand: %t -> Tue Sep 16 21:33:55 2008
++[detail] returns ok
++[unix] returns ok
expand: /usr/local/var/log/radius/radutmp -> /usr/local/var/log/radius/radutmp
expand: %{User-Name} -> user1
++[radutmp] returns ok
expand: %{User-Name} -> user1
attr_filter: Matched entry DEFAULT at line 12
++[attr_filter.accounting_response] returns updated
Sending Accounting-Response of id 213 to 192.168.0.254 port 47837
Finished request 2.
Cleaning up request 2 ID 213 with timestamp +135
Going to the next request
Waking up in 4.0 seconds.I koniec.... efekt taki, ze klient na WinXP na chwile jakby sie laczyl a potem rozlaczenie.
(mam w windowsie komunikat : Registering your conputer on the network a potem Checking network protocol connections,
The connection was closed by remote computer )
Wersje : Freeradius 2.1.0 kompilowane ze zrodel, MT 3.10
Stanowisko testowe: RADIUS --ethernet---MT eth0 w bridge z eth1 <---- WinXP
Juz nie mam pojecia czy szukac bledu w conf FR czy w MT :( a moze cos te wersje sie gryza...
Ostatnio edytowany przez scyhe (2008-09-17 00:36:25)
Offline