judgedredd
Goto Top

PfSense WLAN mit Radius Authentifizierung

Hallo Zusammen,

ich habe zur Zeit pfSense 2.1 auf FreeBSD 8.3p11 laufen.
Nun würde ich gerne, wie bereits der Titel verrät, einen WLAN Zugang mit Radius Authentifizierung.

Folgende Einstellungen habe ich im WLAN Interface vorgenommen:

Mode: AccessPoint
Enable WPA: JA
Enable IEEE802.1x: JA
802.1x Auth Sever IP Adress: <IPAdresseDesRadiusServer>
802.1x Auth Sever Shared Secret: <PasswortFürDenRadiusServer>

Nach meinem Verständnis sollte nun bei einem WLAN Verbindungsaufbau die Abfrage nach Benutzer/Passwort kommen.
Komischer Weise wird das WLAN aber als "offen" angezeigt und ist auch ohne Auth zugänglich.

Da der Radiusserver an einem weiterem WLAN Interface über das CaptivePortal problemlos funktioniert, gehe
ich mal davon aus, das hier der Fehler nicht zu suchen ist.

Hat jemand vielleicht eine Idee warum ich keinen abgesicherten WLAN Zugang mit Aufforderung für Benutzer/Passwort bekomme ?
Evtl. habe ich ja auch bei der Konfiguration einen Fehler drin.

Gruß,
Andreas

Content-Key: 231110

Url: https://administrator.de/contentid/231110

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: 108012
108012 27.02.2014 um 00:37:05 Uhr
Goto Top
Hallo Andreas,

ich habe zur Zeit pfSense 2.1 auf FreeBSD 8.3p11 laufen.
Und verrätst Du uns denn auch noch worauf die pfSense läuft?
- Soekris Board
- Alix Board
- x86 Eigenbau

Evtl. habe ich ja auch bei der Konfiguration einen Fehler drin.
Das sehe ich ähnlich!

....gehe ich mal davon aus, das hier der Fehler nicht zu suchen ist.
Ja und wo sollen wir dann suchen???

Ansonsten lässt die Suchfunktion grüßen.
Hast Du diese Anleitungen schon durch gelesen,
die brauchst Du quasi nur noch abtippen und es
ist alles in Deutsch geschrieben und gut bebildert.

Sichere WLAN-Benutzer Authentifizierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik

Gruß
Dobby
Mitglied: aqui
aqui 27.02.2014 aktualisiert um 09:56:34 Uhr
Goto Top
Die pfSense supportet über die Package Verwaltung auch einen FreeRadius Server mit dem dann die Radius Authentisierung bequem in der pfSense selber gemacht werden kann.
Willst du das aus Sicherheitsgründen trennen kann das z.B. auch ein Raspberry_Pi bequem erledigen.
Alle Details zur schnellen Umsetzung findest du in den oben vom Kollegen Dobby bereits zitierten Tutorials.
Mitglied: JudgeDredd
JudgeDredd 27.02.2014 um 10:04:53 Uhr
Goto Top
Ja das mit dem Package habe ich natürlich schon gesehen. Allerdings ist der externe RADIUS mit einem LDAP-Server verbunden von dem dann letztendlich die Benutzer/Passwort Daten kommen. Da ich den LDAP noch für weitere Authentifizierungen im Netzwerk nutze kann ich die Benutzerdaten nicht im pfSense-RADIUS und nicht in der pfSense lokal speichern. Leider unterstützt pfSense ja in der aktuellen Version noch nicht die WLAN Authentifizierung gegen LDAP.
Mitglied: JudgeDredd
JudgeDredd 27.02.2014 um 10:22:51 Uhr
Goto Top
Hallo Dobby,

Und verrätst Du uns denn auch noch worauf die pfSense läuft?
- Soekris Board
- Alix Board
- x86 Eigenbau
Klar, ich nutze den pfSense auf einem ALIX Board

> Evtl. habe ich ja auch bei der Konfiguration einen Fehler drin.
Das sehe ich ähnlich!
Ja, könnte sein, seltsamer Weise wird das WLAN Interface nach einer Konfig Änderung aber immer als
"Down" angezeigt (roter Pfeil nach unten) und lässt sich nur durch reboot von pfSense wieder aktivieren.
Daher hoffe ich sogar, das es "nur" ein Konfigurationsproblem und nicht die Hardware beschädigt ist.

> ....gehe ich mal davon aus, das hier der Fehler nicht zu suchen ist.
Ja und wo sollen wir dann suchen???
Da hatte ich auf Hilfe gehofft. Da ich ja Grundsätzlich mit anderen Geräten erfolgreich Authentifizierungen gegen RADIUS durchführe, Meinte ich das zumindest der Fehler nicht beim RADIUS zu suchen ist.

Ansonsten lässt die Suchfunktion grüßen.
Hast Du diese Anleitungen schon durch gelesen,
die brauchst Du quasi nur noch abtippen und es
ist alles in Deutsch geschrieben und gut bebildert.
Danke nochmal für Deine Mühe mir die Tutorials zusammenzustellen. In der Tat kenne ich aber die meisten schon.
Leider geht es hierbei meistens um das aufsetzen des RADIUS oder Konfigurationen in anderen Routern.
Was mir fehlt sind die Einstellungen die in pfSense vorzunehmen sind um gegen einen externen RADIUS zu athentifizieren.

Gruß,
Andreas
Mitglied: aqui
aqui 27.02.2014 aktualisiert um 11:53:03 Uhr
Goto Top
noch nicht die WLAN Authentifizierung gegen LDAP.
Kein Hersteller auf der Welt macht das ! Authentisierungsverfahren basieren auf 802.1x und das geht nun mal immer über Radius, der ist also immer Pflicht.
Wo der dann wieder sein User Infos herbekommt aus einem LDAP oder AD oder was auch immer ist ne komplett andere Baustelle.
Direkte Authentisierung mit LDAP only sieht kein Authentisierungs Standard vor...da verwechselst du vermutlich was ?!
meistens um das aufsetzen des RADIUS oder Konfigurationen in anderen Routern.
Ja das ist auch so gewollt und die Standardprozedur.
Da pfSense von sich aus kein WLAN Interface mitbringt kann man logischerweise auch keine Radius Authentisierung dort konfigurieren, denn das kann immer nur der Accesspoint machen der immer der Authenticator in einem 802.1x basierten Verfahren ist.
Wenn du aber diesem_Tutorial (Kapitel: "Erweiterung Access Point") folgend einen WLAN Accesspoint in die pfSense integrierst wirst du erkennen im Setup des Interfaces das man dort auch eine Radius Authentisierung einrichten kann.
Ebenso ist das möglich mit der Captive Portal Authentisierung und auch mit der User Authentisierung !
Die dafür relevanten Einstellungen findest du im User Manager und in der Captive Portal Einrichtung. Die pfSense Seite und YouTube etc. hat diverse Infos dazu.
Mitglied: JudgeDredd
JudgeDredd 27.02.2014 um 11:49:13 Uhr
Goto Top
Da magst Du Recht haben, ich meinte, das irgendwo gelesen zu haben, das dies im nächsten pfSense Release umgesetzt werden soll. Mag mich aber auch irren. Ist für mich allerdings auch nicht relevant.
Mitglied: aqui
aqui 27.02.2014 aktualisiert um 12:16:05 Uhr
Goto Top
Das ist dann die normale User Abfrage der FW selber ohne die lokale Datenbank zu nutzen, das mag sein. Kann man dann sicher benutzen fürs Admin Login usw. was aber ja jetzt mit der 2.1 auch schon funktioniert mit LDAP...siehe User Manager.
Mit einer WLAN Authentisierung mit 802.1x und Radius hat das aber rein gar nichts zu tun ! Da das ja ein völlig anderes Verfahren ist.
Frage ist also was du wirklich vorhast ?!
Nach deinen o.a. Beschreibung hast du ja in der pfSense vermutlich ein Wireless Interface integriert und willst ja nichts weiter als eine simple Radius Authentisierung der verbindenen WLAN Clients dort machen wenn dies Interface im AP / Infrastructure Mode rennt.
Mit der Vorgehensweise:
Mode: AccessPoint
Enable WPA: JA
Enable IEEE802.1x: JA
802.1x Auth Sever IP Adress: <IPAdresseDesRadiusServer>
802.1x Auth Sever Shared Secret: <PasswortFürDenRadiusServer>

bist du ja auf dem richtigen Weg !!

Ist das so eingestellt dort und auch entsprechend dem o.a. Tutorial im Client aktiviert funktioniert das auch wunderbar auf der pfSense !
Voraussetzung ist natürlich nur das du auch Radius Pakete mit UDP 1812 und 1813, (Ältere Server nutzen noch UDP 1645 und 1646) über die Firewall zum Radius Server passieren lässt auf und respektive die Server Antwortpakete wieder zurück.
Dort sollten die pfSense FW Regeln der beteiligten Interfaces entsprechend angepasst sein.
Auf dem Radius Server selber natürlich auch das Passwort und die IP Netzadresse entsprechend gesetzt sein ! User sowieso....
Ist das der Fall, siehst du sofort eingehende Radius Pakete im Server. Der FreeRadius hat ja mit -X einen entsprechenden Debugging Schalter wie im o.a. Tutorial beschrieben.
Ist das alles korrekt aufgesetzt funktioniert das auch fehlerfrei ?!
Wo ist jetzt genau dein Problem ?
Mitglied: JudgeDredd
JudgeDredd 27.02.2014 um 13:14:09 Uhr
Goto Top
Nochmal kurz zu meiner Konstellation:
Ich habe das WLAN Interface so wie in Deinem Tutorial beschrieben eingerichtet. Dann habe ich das CaptivePortal aufgesetzt (ich glaube hier war das auch mit der künftigen LDAP Authentifizierung). Wenn sich nun ein Benutzer über das offene WLAN verbindet, kommt er auf die Portal Seite und authentifiziert sich gegen den RADIUS und alles ist wie sein soll.
Nun bin ich hergegangen und habe eine zweite SSID (Interfaces:Wireless) angelegt (AccessPoint):
Auch hier sind alle Einstellungen genau so wie oben angegeben. Ebenso die Einstellungen des RADIUS sind identisch mit denen am CaptivePortal (wo es auch reibungslos funktioniert)

Jetzt zu meinem Problem:
Das liegt genau darin, das ich ja anscheinend alles richtig gemacht habe und dennoch das WLAN Netz (zweite SSID) als "offen" angezeigt wird und es auch ohne Authentifzierung zugänglich ist.
Mitglied: aqui
aqui 27.02.2014 aktualisiert um 14:56:48 Uhr
Goto Top
Äääähh das ist ja auch normal wenn du keine Verschlüsselung aktiviert hast in dieser zweiten SSID ?! Oder hast du das gemacht und nur vergessen zu erwähnen ??
Trennst du diese 2te SSID in ein separates VLAN oder landet das auf dem gleichen WLAN Interface wie auch das Gastnetz ?
Aus deiner obigen Beschreibung entnehmen wir dann mal das dein eigentliches Problem ursächlich rein gar nichts mit dem Radius zu tun hat (denn das klappt ja wie du selber sagst) sondern ein Problem mit der Einrichtung einer mSSID ist, richtig ?
Mitglied: JudgeDredd
JudgeDredd 27.02.2014 um 16:16:08 Uhr
Goto Top
OK, jetzt werde ich langsam unsicher ... face-smile
Da die Karte ja sendet, sind die Einstellungen der "Common wireless configuration"-Sektion wohl soweit ok.

Nachfolgend alle Einstellungen der "Network-specific wireless configuration" Section:
Mode: Access Point
SSID: <NameDesWLAN>
802.11g only: AUS
Allow intra-BSS communication: AUS
Enable WME: AUS
Enable Hide SSID: AUS
WEP: AUS
WPA: AN (mit ohne ohne PSK versucht)
WPA Mode: WPA2
WPA Key Management Mode: Pre-Shared Key
WPA Pairwise: Both
Key Rotation: 60
Master Key Regeneration: 3600
Strict Key Regeneration: AUS
Enable IEEE802.1X Authentication: AN
802.1X Authentication Server IP Address: <IPDesRADIUS>
802.1X Authentication Server Port: NICHTS <Default=1812>
802.1X Authentication Server Shared Secret: <gleicher Schlüssel wie im RADIUS>
802.1X Authentication Roaming Preauth: AUS

Diese SSID geht NICHT in das gleiche LAN wie die erste SSID.

Gruß,
Andreas
Mitglied: aqui
aqui 27.02.2014 um 17:40:04 Uhr
Goto Top
Warum "802.11g only: AUS" ?? Damit schaltest du 11g aus was ein Gros der Clients haben muss ? Was ist der tiefere Sinn ?
Wenn dann solltest du .11b ausschalten, denn das macht kein Mensch mehr.

Hast du mal versucht zuerst ohne Radius das aufzusetzen ? Kannst du dann das netzwerk verschlüsselt sehen als WPA Netzwerk ?
inSSIDer ist hier wie immer dein Freund: http://www.metageek.net/products/inssider/

Da es nicht in das gleiche LAN geht...WIE ist das angebunden ?? Als separates eigenständiges Interface oder bridgst du das mit einem bestehenden LAN Segment ?
Mitglied: JudgeDredd
JudgeDredd 28.02.2014 um 09:24:26 Uhr
Goto Top
Warum "802.11g only: AUS" ??
Nunja, das resultiert aus dem Gedanken "Mehr = besser" face-smile
Da ja unter "Common wireless configuration -> Standard = 802.11g" festgelegt ist, dachte ich mir es schadet nicht.
Aber sicher hast Du recht und man kann es auch auf "only" stellen.

Hast du mal versucht zuerst ohne Radius das aufzusetzen ? Kannst du dann das netzwerk verschlüsselt sehen als WPA Netzwerk ?
Kurze Antwort: JA

Als separates eigenständiges Interface oder bridgst du das mit einem bestehenden LAN Segment ?
Das Problem ist auf Interface1 (ath0) IP: 10.0.2.1
Das funktionierende CaptivePortal auf Interface2 (ath0_wlan1) IP 10.0.3.1

Meinen neuen Freund den inSSIDer habe ich allerdings nicht verstanden ... was soll mir der Link für Infos bringen ?
Mitglied: 108012
108012 28.02.2014 um 09:31:39 Uhr
Goto Top
Hallo,

Meinen neuen Freund den inSSIDer habe ich allerdings
nicht verstanden ... was soll mir der Link für Infos bringen ?
Das bezog sich auf den Satz davor!

Kannst du dann das netzwerk verschlüsselt sehen als WPA Netzwerk ?
Der inSSIDer zeigt Dir auch den zustand eines Netzwerks und seine
Verschlüsselung an!

Gruß ♪
Dobby♬
Mitglied: JudgeDredd
JudgeDredd 28.02.2014 um 11:59:36 Uhr
Goto Top
Der inSSIDer zeigt Dir auch den zustand eines Netzwerks und seine
Verschlüsselung an!
Achso Danke. Zur Zeit nutze ich WiFi-Analyser auf meinem mobilen Gerät damit bekomme ich auch alle Infos angezeigt.
Mitglied: JudgeDredd
JudgeDredd 06.03.2014 um 21:34:04 Uhr
Goto Top
Leider besteht mein Problem weiterhin ... vielleicht hat ja noch wer Anderes eine zündende Idee.
Wäre es auch möglich, das evtl. ein Hardwaredefekt vorliegt ?