Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OpenWRT auf WRT54GL - WPA mit externem Freeradius

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Ch3p4cK

Ch3p4cK (Level 1) - Jetzt verbinden

26.05.2009, aktualisiert 18.10.2012, 12184 Aufrufe, 14 Kommentare

Hallo ihr Lieben,

ich betreibe hier einen Linksys WRT54GL als reine WLAN Brücke mit der OpenWRT Firmware 8.09 mit X-Wrt Webinterface. Auf einem Debian Server mit der IP 10.0.1.4 Subnet: 255.255.240.0 habe ich einen Freeradius-Server laufen. Habe jetzt schon von mehreren Clients ausprobiert und ein Authentifizierung am Radius klappt Problemlos. Der WRT ist im WLAN-Netz nicht zu erreichen, da er an einer getrennten Netzwerkkarte betrieben wird. Im LAN-Netz hat der WRT die IP 10.0.2.1 Subnet: 255.255.240.0. Von der Console aus kann ich den Radius-Server pingen und umgekehrt. Aber der WRT macht keinerlei Kommunikation mit dem Teil (keine Aktivität am Radius beim Einloggen ins WLAN-Netz).

Konfiguration wie folgt:

Mode: Access Point
WDS: Off
ESSID Broadcast: On
AP Isolation: Off
Encryption Type: WPA + WPA2 (RADIUS)
RADIUS IP Address: 10.0.1.4
RADIUS Port: 1812 (auch schon mit Port 1813 probiert)
RADIUS Server Key: radiussecret
MAC Filter: Disabled

In der clients.conf ist der WRT eingetragen:

client Accesspoint {
ipaddr = 10.0.2.1
secret = radiussecret
require_message_authenticator = no
}


Was mache ich falsch? Müssen eventuell noch Module nachinstalliert werden auf dem WRT?
Mitglied: aqui
27.05.2009 um 09:11 Uhr
Port 1813 ist Unsinn, denn das ist der Port fürs Accounting !
Radius hat früher andere Ports benutzt nämlich 1645 und 1646 (letzterer wieder fürs Accounting).
Du solltest also sicherstellen, das der Freeradius auch auf Port 1812 hört und nicht auf 1645 !

Das kannst du auch sicher mit einem Radius Test Tool ntradping ausprobieren:

http://www.novell.com/coolsolutions/tools/14377.html

Ist das sichergestellt, kann der Fehler nur am OpenWRT liegen.
Am besten hängst du mal einen Wireshark Sniffer zw. OpenWRT und dem Radius und snifferst mal mit was da vom OpenWRT kommt.
DD-WRT schickt de facto Radius Requests raus...
Bitte warten ..
Mitglied: Ch3p4cK
27.05.2009 um 12:22 Uhr
Hallo,
ich denke 1812 ist schon richtig. Im Debugmodus sagt der Freeradius ja "Listening on Port 1812"

Aber was mir vorhin eingefallen ist, dass es daran liegen könnte, dass VLANs eingerichtet sind. Der Accesspoint ist bridged auf VLAN "wifi_wpa" währen der Radius aber im VLAN "lan" hänt. Aber selbst dann sollte der WRT nicht so blöd sein und nur auf dem VLAN abfragen in dem der AP-Mode ist. Den das LAN-Subnet ist ja bekannt!
Bitte warten ..
Mitglied: aqui
27.05.2009 um 19:37 Uhr
Das könnte ein Grund sein !!

VLANs sind ja komplett isoliert untereinander !
Wenn also dein Radius Server in VLAN a ist und dein AP ind VLAN b dann kommen die niemals zueinander....das ist logisch !
Ein Indiz dafür ist das du am Radius im Debugger Modus keine eingehenden Pakete vom AP siehst.

Das solltest du also besser nochmal checken bzw. einen Router dazwischenhängen der zwischen den VLANs routen kann.

Irgendwie ist auch deine IP Adressierung unverständlich...
Du schreibst einerseits ein Adapter ist im Netzwerk
10.0.0.0 /20 das von 10.0.0.1 bis 10.0.15.254 geht

Dann ist aber die 10.0.2.4 /20 auch in diesem Netzwerk und kann niemals auf einem separaten Adapter liegen, denn der müsste ja folglich in einem anderen IP Netz liegen.
Vermutlich sind das aber nur die beiden LAN Adressen im Bridge Netzwerk.... ?! Wenn ein Ping funktioniert ist die Erreichbarkeit ja gegeben !
Bitte warten ..
Mitglied: Ch3p4cK
27.05.2009 um 22:57 Uhr
ich häng den AP mal ins VLAN vom Lan-Netz.

Vielleicht habe ich mich unverständlich ausgedrückt:
Ich betreibe eine IPCop mit einer extra Netzwerkkarte nur für WLAN.

LAN Netz: VLAN "lan"
10,0,0,0/20
da hänt der WRT eigentlich nur drin zu Konfigurationszwecken und wegen dem Radius.

WLAN Netz: VLAN "wifi_wpa"
10.1.0.0/22
Da is das VLAN Brigded auf einen Switchport am WRT der dann mit der WLAN-Netzwerkkarte am IPCop verbunden ist.


Jetzt ist halt die Frage ob das VLAN so isoliert, dass er selbst keine Abfrage mehr an das LAN-Netz senden kann.
Bitte warten ..
Mitglied: Ch3p4cK
27.05.2009 um 23:09 Uhr
Ok. Hat auch nicht funktioniert. Eventuell fehtl dem WRT da ein Package oder so. Hab das WLAN Interface der LAN-Schnittstelle zugwiesen. Das hat auch nicht geklappt. Bei OpenWRT ist das halt so, dass du beliebig viele virtuelle APs erstellen kannst, die du dann den VLANs zuweist. Da kann man eigentlich richtig schöne spielereien machen!
Bitte warten ..
Mitglied: aqui
28.05.2009, aktualisiert 18.10.2012
Irgendwie würfelst du da was wild durcheinander... ??

Benutzt du nun ein VLAN nach 802.1q
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
bzw.
http://de.wikipedia.org/wiki/IEEE_802.1q
oder
http://www.administrator.de/wissen/vlan-routing-%c3%bcber-802.1q-trunk- ...

...oder bezeichnest du einfach fälschlicherweise, vermutlich aus Unwissenheit über die VLAN Materie, einfach die IPCop Interfaces als "VLAN" ???
Letzteres hätte mit VLANs nichts zu tun und ist lediglich eine falsche, laienhafte Benutzung des Begriffs "VLAN".

Gehen wir also mal davon aus das du damit nur die IPCop Interfaces meinst....
Dann hast du aber ein generelles Problem, denn IP Seitig müsste der WRT AP immer erreichbar sein.
Vermutlich ist die Authentifizierung im Bridge Modus auch schlicht und einfach nur deaktiviert, denn WLAN Bridges müssen sich normalerweise nicht authentifizieren, da sie bei einer LAN to LAN Kopplung für die Endgeräte vollkommen transparent sind !
Vermutlich ist das der einfache Grund.

Um das herauszubekommen schliess einfach einen Paket Sniffer an wie bereits gesagt...dann kannst du sehen ob die WRT Box überhaupt Radius Pakete rausschickt !!!
Das sind 5 Minuten in denen du dann ganz sicher bist als 3 tage hier im Forum zu mutmaßen...
Bitte warten ..
Mitglied: Ch3p4cK
28.05.2009 um 10:46 Uhr
Nein ich meine nicht die IPCop Interfaces als VLAN. Die VLANs sind rein nur auf dem WRT eingerichtet und auf die Switchports gebrigded. Bin hier gerade auf der Arbeit und hab gerade keine Zeit eine Zeichnung zu basteln. Mache ich heute Abend wenn ich zu Hause bin!
Bitte warten ..
Mitglied: Ch3p4cK
28.05.2009 um 21:16 Uhr
d24c20f4a84e8f0e6dd3eb71b5d85dee-aufbau - Klicke auf das Bild, um es zu vergrößern

Erklärung zum Bild: (Grün = LAN / Blau = WLAN)
Das virtuelle Interface für WLAN ist im VLAN "wifi_wpa". Der Switchport 4 am WRT ist ebenfalls im VLAN "wifi_wpa". Vom Switchport 4 geht es direkt an die WLAN-Netzwerkkarte des IPCops.

Alle restlichen Switchports sind im VLAN "lan". Einer dieser Ports ist verbunden mit dem Switch im LAN-Netz. Dieses ist verbunden mit der LAN-Netzwerkkarte des IPCops und mit dem Radius.


Die beiden Netze sind auf jeden Fall voneinander getrennt. Jetzt bin ich mir nur nicht sicher ob die Firmware vom WRT das ganze so abschottet, dass der AP den Radius nicht erreicht. Wenn ich nun aber das virtuelle Interface für WLAN umschalte, dass es auf das VLAN "lan" geht, kommt auch keine Regung auf dem Radius.
Bitte warten ..
Mitglied: aqui
29.05.2009 um 16:39 Uhr
Das kann nicht funktionieren, denn der WRT kann keine VLANs routen, da er kein IP Interface pro VLAN hat. Die VLAN Implementation klappt nur auf Layer 2.
Außerdem sind das dann 802.1q tagged VLAN Pakete die aus dem WRT kommen und die versteht dein Switch nicht und droppt sie.
http://de.wikipedia.org/wiki/IEEE_802.1q

Das ist auch ein Indiz warum keine Radius Pakete am Server ankommen.
Die einzige Möglichkeit die du hast ist den IPCop für Radius (TCP 1812) zu öffnen so das die Pakete vom WRT über den IPCop an den Radius Server gehen.
So wird ein Schuh draus !
Bitte warten ..
Mitglied: Ch3p4cK
29.05.2009 um 16:46 Uhr
Dazu müsste ja aber der AP wieder eine eigene IP-Adresse bekommen. Das soll ja möglichst verhindert werden. In dem WLAN soll so wenig wie möglich auffindbar sein. Außerdem unterstützt der IPCop keine Portweiterleitung von WLAN --> LAN. Ist halt relativ komisch, dass der WRT selbst die Radiusauthentifizierung im gleichen VLAN haben muss, denn der Server auf dem Radius läuft lässt sich problemlos pingen. Und dass mein Switch das tagged VLAN nicht versteht ist sowieso klar, da es ein dummes Switch ist. Ist komplett unmanaged das Teil.
Bitte warten ..
Mitglied: Ch3p4cK
29.05.2009 um 21:33 Uhr
Da fällt mir gerade noch ein, dass der auch den Radius nicht erreicht wenn alles komplett so eingestellt ist, dass alle Ports + WLAN im gleichen Netz hängen wie der AP. Hatte ich ja gestern ausprobiert!
Bitte warten ..
Mitglied: aqui
30.05.2009, aktualisiert 18.10.2012
Dann hast du aber generell einen fehler im Setup !!
Wenn WLAN AP und Radius im gleichen Netzwerk sind muss eine Verbindung ja in jedem Falle möglich sein sofern du mit iptables nicht irgendwelche Firewall restriktionen auf dem radius Server eingebaut haben solltest ???

Als Alternative solltest du ggf. mal ein Aug auf Monowall werfen, denn die kann problemlos auch mit VLANs umgehen:

http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

Damit wäre dann eine VLAN Anbindung mit tagged Frames an den AP problemlos möglich !
Bitte warten ..
Mitglied: Ch3p4cK
30.05.2009 um 18:05 Uhr
Eigentlich habe ich keine iptables Sachen drin. Ist ein stinknormales Debian mit Apache, MySQL und Radius. Ich weiß halt nicht ob dem WRT noch irgendwelche Packages fehlen um sich am Radius anzumelden. Es gibt ja noch nichtmal eine Möglichkeit das zu testen (radtest oder ähnliches). Mein IPCop kann ja auch sauber mit dem Radius umgehn. Mit CopSpot funktioniert das einwandfrei.
Bitte warten ..
Mitglied: Ch3p4cK
31.05.2009 um 03:05 Uhr
OK. ich habe es nun herausgefunden. Ich habe den WRT komplett neu aufgesetzt. Also es liegt definitv am VLAN. Wenn der Radius in diesem VLAN wäre würde es funktionieren. Allerdings komm ich nur über Linux rein mit LEAP. Mit Windows komme ich nicht rein. Aber ich stelle das Projekt nun ein, da das WLAN und der Radius aus Sicherheitsgründen in diesem VLAN bleiben sollen. Wenn ich die Zeit finde werde ich einen weiteren Radius aufsetzen und zwar auf dem WRT selbst. Ich hoffe dieser kann dann wenigstens die Daten von der SQL-Datenbank abrufen die auf dem Radius läuft. Aber da sehe ich keine Probleme, da ja auch ein Ping geht!
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
DSL, VDSL
OpenWRT VDSL VOIP Internetverbindung herstellen (3)

Frage von danielr1996 zum Thema DSL, VDSL ...

Linux Netzwerk
OpenVPN, zwei OpenWRT Router verbinden und VLAN durchs VPN leiten (6)

Frage von sharbich zum Thema Linux Netzwerk ...

Peripheriegeräte
WRT3200ACM: Linksys kündigt neuen OpenWRT- und DD-WRT-Router an

Link von runasservice zum Thema Peripheriegeräte ...

Firewall
PFSense 2.3.2 Freeradius (6)

Frage von horstvogel zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...