108052
Aug 19, 2012
5297
10
0
Pfsense mit Paket freeradius2 und mysql auf NAS
Erstmal ein Hallo von mir, ich komme jetzt öfter... 
Dann: Vielen Dank an aqui für die hervoragende Anleitung (WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)),
mit der auch ich es geschafft habe einen Hotspot zu erstellen.
Aber nachdem ich an gewissen Dingen nun seit Wochen scheitere, brauche ich nun doch noch Hilfe.
Folgende Aufstellung habe ich laufen und funktioniert:
Auf einem alten PC habe ich pfsense (WAN, LAN und DMZ) und die internen Pakete freeradius2, squid und squidguard installiert.
Alles konfiguriert und läuft super.
Nun stoße ich aber an meine Grenzen:
Ich wollte nun auf einer Qnap-Nas mysql und phpmyadmin (zur Verwaltung) einrichten, was auch gelang.
Aber wie bekomme ich nun pfsense mit dem freeradius2 Paket dazu, auf diese Daten zuzugreifen?
Ich habe im Paket freeradius2 per WebIF der pfsense die Daten (IP vom Nas usw.)angegeben und mysql dort auch aktiviert,
aber beim Login-Versuch über das Portal bekomme ich eine Fehlermeldung.
Reicht es nicht aus, die Einstellungen in pfsense zu ändern? Muss ich Dateien von freeradius2 per Hand ändern?
Gerne gebe ich noch weitere Details bekannt, falls benötigt.
Vielen Dank im voraus.
Gruß
Nub
Dann: Vielen Dank an aqui für die hervoragende Anleitung (WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)),
mit der auch ich es geschafft habe einen Hotspot zu erstellen.
Aber nachdem ich an gewissen Dingen nun seit Wochen scheitere, brauche ich nun doch noch Hilfe.
Folgende Aufstellung habe ich laufen und funktioniert:
Auf einem alten PC habe ich pfsense (WAN, LAN und DMZ) und die internen Pakete freeradius2, squid und squidguard installiert.
Alles konfiguriert und läuft super.
Nun stoße ich aber an meine Grenzen:
Ich wollte nun auf einer Qnap-Nas mysql und phpmyadmin (zur Verwaltung) einrichten, was auch gelang.
Aber wie bekomme ich nun pfsense mit dem freeradius2 Paket dazu, auf diese Daten zuzugreifen?
Ich habe im Paket freeradius2 per WebIF der pfsense die Daten (IP vom Nas usw.)angegeben und mysql dort auch aktiviert,
aber beim Login-Versuch über das Portal bekomme ich eine Fehlermeldung.
Reicht es nicht aus, die Einstellungen in pfsense zu ändern? Muss ich Dateien von freeradius2 per Hand ändern?
Gerne gebe ich noch weitere Details bekannt, falls benötigt.
Vielen Dank im voraus.
Gruß
Nub
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 189822
Url: https://administrator.de/contentid/189822
Printed on: April 20, 2024 at 03:04 o'clock
10 Comments
Latest comment
Hallo Nub0815,
was für ein QNAP Gerät ist das denn bitte?
Ein TS-.... mit xxx Platten und Raid xxx wäre sehr schön, wenn es Dir nichts ausmacht.
was für ein QNAP Gerät ist das denn bitte?
Ein TS-.... mit xxx Platten und Raid xxx wäre sehr schön, wenn es Dir nichts ausmacht.
Aber selbstverständlich :
Qnap TS-119P II, ohne Raid, 1TB Festplatte
Ich wollte zuerst auch Radius von der NAS nehnmen,
aber da kann man nur den Namen und das Passwort erstellen.
Also ist damit keine zeitliche Begrenzung möglich.
:Qnap TS-119P II, ohne Raid, 1TB Festplatte
Ich wollte zuerst auch Radius von der NAS nehnmen,
aber da kann man nur den Namen und das Passwort erstellen.
Also ist damit keine zeitliche Begrenzung möglich.
Hallo Nub0815,
dann hat sich das wohl erledigt, das wollte ich Dir dann vorschlagen, aber hast Du Dir bestimmt auch schon gedacht, würde ich mal so sagen. ;)
dann hat sich das wohl erledigt, das wollte ich Dir dann vorschlagen, aber hast Du Dir bestimmt auch schon gedacht, würde ich mal so sagen. ;)
Um den Freeradius einzurichten hilft erstmal das:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Das gilt für die grundlegende User Authentisierung.
Soweit solltest du erstmal kommen das mit dem NTRadping Tool der Radius antwortet.
Die zeitliche Begrenzung wird im Radius definiert !!! Der macht ja dann die Authentisierung.
Da wäre es Unsinn das auf dem NAS zu machen ist ja nicht der Sinn der Sache...
Das o.a. Tutorial hat ein Beispiel für die zeitliche Einschränkung !
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Das gilt für die grundlegende User Authentisierung.
Soweit solltest du erstmal kommen das mit dem NTRadping Tool der Radius antwortet.
Die zeitliche Begrenzung wird im Radius definiert !!! Der macht ja dann die Authentisierung.
Da wäre es Unsinn das auf dem NAS zu machen ist ja nicht der Sinn der Sache...
Das o.a. Tutorial hat ein Beispiel für die zeitliche Einschränkung !
freeradius2 habe ich ja als Paket in pfsense und funktioniert problemlos.
Wenn ich also über das Webif der pfsense im freeradius einen Nutzer anlege,
hat dieser auch Zugang zum Internet. Also funktioniert ja freeradius.
Die zeitliche Begrenzung funktioniert ebenso.
Nun möchte ich aber, dass freeradius auf die mysql Datenbank der NAS zugreift,
da dort mittels einem Web-Formular die Nutzer mit zeitlicher Begrenzung angelegt werden
und in die Datenbank geschrieben werden.
Die Dateien schema.sql und nas.sql bringt ja freeradius2 mit und habe ich auch
in mysql genutzt um die Datenbank anzulegen.
Wie ich jetzt allerdings freeradius dazu bekomme, diese "Zugangsdaten" zu nutzen
weiß ich nicht. freeradius soll quasi anstelle der "eigenen Datenbank",
die Zugangsdaten aus der SQL-Datenbank der NAS nutzen.
Oder ist das nicht machbar?
Wenn ich also über das Webif der pfsense im freeradius einen Nutzer anlege,
hat dieser auch Zugang zum Internet. Also funktioniert ja freeradius.
Die zeitliche Begrenzung funktioniert ebenso.
Nun möchte ich aber, dass freeradius auf die mysql Datenbank der NAS zugreift,
da dort mittels einem Web-Formular die Nutzer mit zeitlicher Begrenzung angelegt werden
und in die Datenbank geschrieben werden.
Die Dateien schema.sql und nas.sql bringt ja freeradius2 mit und habe ich auch
in mysql genutzt um die Datenbank anzulegen.
Wie ich jetzt allerdings freeradius dazu bekomme, diese "Zugangsdaten" zu nutzen
weiß ich nicht. freeradius soll quasi anstelle der "eigenen Datenbank",
die Zugangsdaten aus der SQL-Datenbank der NAS nutzen.
Oder ist das nicht machbar?
Hallo Nub0815,
dann doch wohl ein Captive Portal mit Voucher System, da kannst Du dann eine Bestimmte Zeit einstellen,
für jeden Benutzer und dann ist das kein Problem mehr, aber das gilt denn eben für alle Nutzer oder Du
legst Verschiedene Gruppen an 6 Stunden, 12 Stunden,... usw. Dann werden die Benutzer abgemeldet wenn die
Zeit abgelaufen ist und Du brauchst halt die Datenbank nicht mehr.
Noch komfortabler sollte es mit einem Drucker gehen der die Vouchers ausdruckt und dann geht das auch ein bisschen schneller falls das eine HotSpot Lösung werden soll.
Unter der Suche hier im Forum findest Du bestimmt auch noch passende How To´s dazu bzw. darüber.
Viel Erfolg.
dann doch wohl ein Captive Portal mit Voucher System, da kannst Du dann eine Bestimmte Zeit einstellen,
für jeden Benutzer und dann ist das kein Problem mehr, aber das gilt denn eben für alle Nutzer oder Du
legst Verschiedene Gruppen an 6 Stunden, 12 Stunden,... usw. Dann werden die Benutzer abgemeldet wenn die
Zeit abgelaufen ist und Du brauchst halt die Datenbank nicht mehr.
Noch komfortabler sollte es mit einem Drucker gehen der die Vouchers ausdruckt und dann geht das auch ein bisschen schneller falls das eine HotSpot Lösung werden soll.
Unter der Suche hier im Forum findest Du bestimmt auch noch passende How To´s dazu bzw. darüber.
Viel Erfolg.
Ja, das Captive Portal ist schon klasse,
aber zu kompliziert zur Nutzererstellung (zuviele Eingaben möglich).
Es soll eine einfache Internetseite sein, die auch JEDER bedienen kann.
Da gibts nur die Eingabemöglichkeit von Zugangsdauer (Dropdownfeld) und einen
Button zur Bestätigung und schon werden Zugangsdaten mit Gültigkeitsdauer generiert
und in die SQL-Datenbank geschrieben. Zusätzlich wird für den Gast ein PDF mit den
Zugangsdaten erzeugt und automatisch ausgedruckt.
Außerdem besteht das System aus 2 pfsense-Hotspots. Einer läuft 24/7,
der Zweite ist aus und dient als "Reserve-Hotspot", falls Server1 ausfällt.
Also schalte ich bei einem Ausfall von Server1 einfach Server2 ein (gleiche config)
und kann somit den Hotpot immer in Betrieb halten.
aber zu kompliziert zur Nutzererstellung (zuviele Eingaben möglich).
Es soll eine einfache Internetseite sein, die auch JEDER bedienen kann.
Da gibts nur die Eingabemöglichkeit von Zugangsdauer (Dropdownfeld) und einen
Button zur Bestätigung und schon werden Zugangsdaten mit Gültigkeitsdauer generiert
und in die SQL-Datenbank geschrieben. Zusätzlich wird für den Gast ein PDF mit den
Zugangsdaten erzeugt und automatisch ausgedruckt.
Außerdem besteht das System aus 2 pfsense-Hotspots. Einer läuft 24/7,
der Zweite ist aus und dient als "Reserve-Hotspot", falls Server1 ausfällt.
Also schalte ich bei einem Ausfall von Server1 einfach Server2 ein (gleiche config)
und kann somit den Hotpot immer in Betrieb halten.
Hallo,
ok das lies sich halt nicht so aus Deinen Erläuterungen heraus lesen.
Ist ja egal ob Du nun selber ausdruckst oder per Voucher Drucker, aber das mit dem Gruppen bilden würde
ich mir noch einmal näher anschauen, da kannst Du eben wirklich Unterschiedliche Zeiten für jede Gruppe setzen und das mit der MySQL Datenbank auf dem NAS habe ich bisher auch nur wie folgt gehört, die erzeugten Daten werden in die Datenbank geschrieben, um Sie zu archivieren, das per Abfrage eine schnell
Übersicht erzeugt werden kann und man recht lange nachvollziehen kann, wer war wann und wie lange online war.
Aber das die Daten von der Datenbank gelesen werden.... tut mir leid, ich möchte Dir nicht zu nahe treten, aber vielleicht ein Denkfehler deinerseits oder besser ein Wunsch von Dir und nun muss dass ganze auch genau so funktionieren wie Du Dir das denkst.
Wenn es Dir so reicht wäre noch anzumerken ob Du nicht das CARP Protokoll mit pfsync verwendest oder eine VRRP Lösung aufsetzt, (obwohl ich persöhnlich dann lieber CARP nehmen würde) mit den beiden Servern, dann wird automatisch umgeschaltet wenn ein Server in die Knie geht oder gewartet werden muss und mittels CARP ist auch geregelt das der noch verbliebene Server dann automatisch der neue Master wird. Vielleicht ist das aber auch nur auf die Firewallfunktionen beschränkt, ich würde da auf jeden Fall noch mal Infos einholen und mich schlau machen denn dann kannst Du Dir die manuelle Umschaltung sparen. Denn man (Du) bist ja auch nicht immer vor Ort.
ok das lies sich halt nicht so aus Deinen Erläuterungen heraus lesen.
Ist ja egal ob Du nun selber ausdruckst oder per Voucher Drucker, aber das mit dem Gruppen bilden würde
ich mir noch einmal näher anschauen, da kannst Du eben wirklich Unterschiedliche Zeiten für jede Gruppe setzen und das mit der MySQL Datenbank auf dem NAS habe ich bisher auch nur wie folgt gehört, die erzeugten Daten werden in die Datenbank geschrieben, um Sie zu archivieren, das per Abfrage eine schnell
Übersicht erzeugt werden kann und man recht lange nachvollziehen kann, wer war wann und wie lange online war.
Aber das die Daten von der Datenbank gelesen werden.... tut mir leid, ich möchte Dir nicht zu nahe treten, aber vielleicht ein Denkfehler deinerseits oder besser ein Wunsch von Dir und nun muss dass ganze auch genau so funktionieren wie Du Dir das denkst.
Wenn es Dir so reicht wäre noch anzumerken ob Du nicht das CARP Protokoll mit pfsync verwendest oder eine VRRP Lösung aufsetzt, (obwohl ich persöhnlich dann lieber CARP nehmen würde) mit den beiden Servern, dann wird automatisch umgeschaltet wenn ein Server in die Knie geht oder gewartet werden muss und mittels CARP ist auch geregelt das der noch verbliebene Server dann automatisch der neue Master wird. Vielleicht ist das aber auch nur auf die Firewallfunktionen beschränkt, ich würde da auf jeden Fall noch mal Infos einholen und mich schlau machen denn dann kannst Du Dir die manuelle Umschaltung sparen. Denn man (Du) bist ja auch nicht immer vor Ort.
So,
mein Wunsch ist in Erfüllung gegangen und es funktioniert wie ich mir das gedacht habe.
pfsense mit freeradius greift auf meine Qnap-NAS zu,
auf der sich die SQL-Datenbank befindet. Dort prüft pfsense (bzw. freeradius), ob der Internet-Nutzer angelegt ist und ob der Zugang noch gültig ist (abgelaufen oder nicht?).
Die Zugänge werden über ein Webformular (befindet sich auch auf der NAS) in der SQL-Datenbank angelegt und anschließend wird ein PDF-Dokument mit den Zugangsdaten erstellt, welches man dem Gast aushändigt. Natürlich besitzt das Formular auch eine Möglichkeit, Zugänge zu löschen. Zum Schluß habe ich noch einen Cronjob erstellt, welches Zugänge die älter als 6 Monate sind automatisch löscht.
So kann Jeder ohne Kenntnisse von SQL oder freeradius einen Internetnutzer erstellen und das Kinderleicht.
mein Wunsch ist in Erfüllung gegangen und es funktioniert wie ich mir das gedacht habe.
pfsense mit freeradius greift auf meine Qnap-NAS zu,
auf der sich die SQL-Datenbank befindet. Dort prüft pfsense (bzw. freeradius), ob der Internet-Nutzer angelegt ist und ob der Zugang noch gültig ist (abgelaufen oder nicht?).
Die Zugänge werden über ein Webformular (befindet sich auch auf der NAS) in der SQL-Datenbank angelegt und anschließend wird ein PDF-Dokument mit den Zugangsdaten erstellt, welches man dem Gast aushändigt. Natürlich besitzt das Formular auch eine Möglichkeit, Zugänge zu löschen. Zum Schluß habe ich noch einen Cronjob erstellt, welches Zugänge die älter als 6 Monate sind automatisch löscht.
So kann Jeder ohne Kenntnisse von SQL oder freeradius einen Internetnutzer erstellen und das Kinderleicht.
Ich wollte wie Du freeradius2 auf pfsense einrichten und die Daten in eine MySQL DB schreiben. Wie hast du das eingerichtet. Die pfsense internen freeradius Seiten schreiben mir nach wie vor ins User file wogegen auch noch authentifiziert wird, obwohl ich in Register SQL den Sever eingetragen habe und dieser korrekt eingerichtet wurde. Die Accounting Daten werden tatsächlich in die DB geschrieben.
