nerdis
Mar 12, 2013
view4936
view1
0
Goto Top

Chillispot Hotspot authentifizierung via freeRadius schlägt fehl

GermanQuestionLAN, WAN, WirelessNetworks
Hallo zusammen,

wir wollen für unsere Firma mehrere Hotspots zur verfügung stellen:

- als Accesspoints stehen mehrere Linksys WRT54GL mit der Firmware openWRT zur verfügung.
- zur zentralen autehtifizierung steht ein Ubuntu-Server mit freeradius und chillispot anmeldeseite bereit.
- die Nutzerdaten werden in einer mySQL-Datenbank festgehalten.


Zu dem Problem:
Wenn sich ein Gast zum WLan Verbindet, erhält er eine IP-Adresse und wird beim starten des Browsers auf die Chillispot-Anmeldeseite des Servers weitergeleitet. Nach eingabe der Nuterdaten, meldet das Script einen Fehlschlag.
Einen Fehler in der Nutzer-Datenbank schließe ich eher aus, da die gleichen Anmeldedaten local via Radtest funktionieren.
Durch den Debug-Modus von freeradius (freeradius -X) konnte ich immerhin schon erkennen, dass local via Radtest die authentifizierung via PAP erfolgt, über den Accesspoint aber über CHAP.

Auszug des Logs, Anmeldeversuch via Accesspoint
Ready to process requests.
rad_recv: Access-Request packet from host 192.168.31.8 port 2053, id=0, length=218
	User-Name = "test5"  
	CHAP-Challenge = 0xa39877c17a8bb8e46547c680b3ac89db
	CHAP-Password = 0x008bf5767fd39c67a77994038aa67ca7c9
	NAS-IP-Address = 0.0.0.0
	Service-Type = Login-User
	Framed-IP-Address = 192.168.44.2
	Calling-Station-Id = "10-68-3F-7B-8B-F9"  
	Called-Station-Id = "98-FC-11-76-92-A0"  
	NAS-Identifier = "Haus1Stock2"  
	Acct-Session-Id = "513ee0b900000000"  
	NAS-Port-Type = Wireless-802.11
	NAS-Port = 0
	Message-Authenticator = 0x68a1f056a0b638eb067f7206f0ff7bfd
	WISPr-Logoff-URL = "http://192.168.44.1:80/logoff"  
+- entering group authorize {...}
++[preprocess] returns ok
[chap] Setting 'Auth-Type := CHAP'  
++[chap] returns ok
++[mschap] returns noop
[suffix] No '@' in User-Name = "test5", looking up realm NULL  
[suffix] No such realm "NULL"  
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
[sql] 	expand: %{User-Name} -> test5
++[sql] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] Found existing Auth-Type, not changing it.
++[pap] returns noop
Found Auth-Type = CHAP
+- entering group CHAP {...}
[chap] login attempt by "test5" with CHAP password  
[chap] Using clear text password "pass" for user test5 authentication.  
[chap] Password check failed
++[chap] returns reject
Failed to authenticate the user.
Using Post-Auth-Type Reject
+- entering group REJECT {...}
[attr_filter.access_reject] 	expand: %{User-Name} -> test5
 attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.8 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 0 to 192.168.31.8 port 2053

Für weitere informationen habe ich hier die Vollständigen Radius-Debuglogs und die chilli.conf von dem Accesspoint:
chilli.conf
Log des Tests via radcheck
Log des Tests via Accesspoint

Ich hoffe euch fällt was auf und danke für jede Hilfe.

LG, Nerdis
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 203194

Url: https://administrator.de/contentid/203194

Printed on: April 19, 2024 at 03:04 o'clock

1 Comment
Goto Top
Member: aqui
aqui Mar 12, 2013 updated at 11:11:37 (UTC)
Goto Top
Mit pfSense/Monowall Hotspot gibt es so ein Problem nicht:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern -->"Praxisbeispiel"
Wie du den FreeRadius customizen musst kannst du hier nachlesen:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
bzw.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
So ein Setup ist erheblich einfacher zu konfigurieren und zu managenen als die Chilispot Geschichte...
GermanQuestionLAN, WAN, WirelessNetworks
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment