Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

WLAN Authentifizierung über Freeradius Server (Pfsense auf ALIX-Box) mit DD-WRT als Radius-Client

Frage Netzwerke LAN, WAN, Wireless

Mitglied: matthew77

matthew77 (Level 1) - Jetzt verbinden

19.01.2013, aktualisiert 28.01.2013, 9000 Aufrufe, 16 Kommentare, 1 Danke

Hallo zusammen,

ich habe leider ein Problem, was mich so langsam zum Verzweifeln bringt und bin für jede Hilfe sehr sehr dankbar !


So sieht der Aufbau aus:

[Pfsense-ALIXBox]<Freeradius-Server> ----- [DD-WRT]<WLAn> ---- WLAN-Clients

Auf ALIXBox ist Pfsense2.0.2 und Freeradius installiert.

DD-WRT fungiert als Radius-Client/NAS-Server und ist mit OPT-Interface von ALIX (Pfsense/Freeradius) verbunden.

Clients sind XP und Win7.

In radius.log lautet die Fehlermeldung beim Verbinden von Clients:

Error: TLS Alert read:fatal:unknown CA
Error: TLS_accept: failed in SSLv3 read client certificate A
Error: rlm_eap: SSL error error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
Error: SSL: SSL_read failed inside of TLS (-1), TLS session fails.
Auth: Login incorrect (TLS Alert read:fatal:unknown CA): [host/Beta/<via Auth-Type = EAP>] (from client DD-WRT port 48 cli 00-21-5d-62-a0-72)
Auth: Login incorrect: [00:21:5d:62:a0:72/abcdefgh] (from client DD-WRT port 1)



Pfsense / Freeradius :

Ich habe Freeradius so wie im Tutorail "Sichere WLAN-Benutzer Authentifizierung über Radius" beschrieben konfiguriert.

Die Zertifikate habe ich direkt in Freeradius erstellen lassen und "ca.der" auf Clients kopiert.

Die Passwörter in "Certificates" und "EAP" sind identisch.

Als EAP-Type habe ich "PEAP" mit "MSCHAPv2" für innere Authentifizierung gewählt.

Unter "NAS/Clients" ist das "Client Shared Secret" : abcdefgh ( dieses Passwort wurde ebenfalls in DD-WRT unter "Radius Auth Shared Secret" eingetragen).

Unter "Interfaces" habe ich 2 Interfaces eingerichtet einmal Ip-OPt mit dem Port 1812 und einmal Ip-Opt mit dem Port 1813

Auf Pfsense Firewall habe ich UDP 1812 und UDP 1813 von OPT-Netz auf die OPT-Ipadresse freigegeben.


DD-WRT :

Wireless Mode : AccessPoint
Radius : die IP-Adresse von AlixBox-OPT eingetragen und als "Shared Secret" : abcdefgh.

Der Test mit radtest war Ok.

Ich hoffe, dass mir jemand helfen kann.
Vielen Dank!












Mitglied: aqui
20.01.2013, aktualisiert um 12:28 Uhr
Mmmhhh, sieht so aus als ob du das CA Root Zertifikat nicht auf die Clients portiert hast, kann das sein ?
Der FreeRadius meckert ja an das die CA nicht stimmt ! Hast du also das Root Zertifikat auf die Clients kopiert ?
Ansonsten schalte im Client mal testweise die Zertifikatsprüfung ab ob es dann funktioniert.
Wenn ja fehlt das Root CA !
Bitte warten ..
Mitglied: matthew77
20.01.2013 um 14:26 Uhr
Hallo aqui,

danke für deine Antwort.

Das CA-Zerifikat ist unter "vertraunswürdige Stammzertifizierungsstellen" sowohl beim User als auch beim Computer importiert. Die Zertifikatsprüfung habe ich auch abgeschaltet aber leider ohne erfolg.

Ich habe anstatt "ca.der" mit PEM-Format "ca.pem" versucht, aber es leider auch nichts gebracht...

Keine Ahnung warum TLS das CA nicht kennt ?
Bitte warten ..
Mitglied: aqui
20.01.2013 um 15:29 Uhr
Kannst du den FreeRadius mal stoppen und im Debug Modus mit "freeradius -X" oder "radiusd -X" starten ?
Das ergibt noch einen detalierteren Output zu dem Fehler und erleichtert die weitere Suche.
Irgendwas ist an deinen Zertifikaten mau...
Wenn du Shellzugang auf dem Radiusserver hast kannst du auch mal ein
radtest user password localhost 0 radiustest
eingeben, wobei "radiustest" das Radius Passwort aus der clients.conf ist.
Bitte warten ..
Mitglied: matthew77
20.01.2013 um 22:58 Uhr
Hallo aqui,


DD-WRT war als Gateway(NAT) eingestellt und nicht als Router. Nun kann sich ein Client Authentifizieren aber nur für eine kurze Zeit, weil dann die Verbindung nach ein paar Minuten abbricht bis ich den Win-Client abmelde und wieder neu anmelde, ansonsten versucht der Win-Client alle paar Minuten sich zu verbinden aber dann auch nur für eine kurze Zeit ...

Beim Win-Client erscheint auf der Symbolleiste :

Klicken Sie hier, um ein Zertifikat oder andere Anmeldeinformationen für die Verbindung mit dem folgenden. Netzwerk zu verwenden ....



Auth: Login OK: [client1/<via Auth-Type = EAP>] (from client DD-WRT port 0 via TLS tunnel)
Auth: Login OK: [client1/<via Auth-Type = EAP>] (from client DD-WRT port 48 cli 00-21-5d-62-a0-72)
Auth: Login incorrect: [00:21:5d:62:a0:72/abcdefgh] (from client DD-WRT port 1)


00:21:5d:62:a0:72 --> die Mac eines Win-Clients


"radtest user password localhost 0 radiustest" funktioniert nur dann, wenn ich unter "Interfaces" und "NAS/Client" die IP auf localhost einstelle.



radiusd -X :


Listening on authentication address 172.17.17.1 port 1812
Listening on accounting address 172.17.17.1 port 1813
Listening on proxy address 172.17.17.1 port 1814
Ready to process requests.
rad_recv: Access-Request packet from host 172.17.17.2 port 2049, id=3, length=69
User-Name = "00:21:5d:62:a0:72"
NAS-Port = 1
NAS-Port-Type = Wireless-802.11
User-Password = "abcdefgh"
  1. Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++- entering policy rewrite_calling_station_id {...}
+++? if (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i)
(Attribute Calling-Station-Id was not found)
? Evaluating (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i) -> FALSE
+++? if (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i) -> FALSE
+++- entering else else {...}
[noop] returns noop
+++- else else returns noop
++- policy rewrite_calling_station_id returns noop
[authorized_macs] expand: %{Calling-Station-ID} ->
++[authorized_macs] returns noop
++? if (ok)
? Evaluating (ok) -> FALSE
++? if (ok) -> FALSE
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "00:21:5d:62:a0:72", skipping NULL due to config.
++[suffix] returns noop
[ntdomain] No '\' in User-Name = "00:21:5d:62:a0:72", skipping NULL due to config.
++[ntdomain] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[files] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[daily] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[weekly] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[monthly] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[forever] returns noop
rlm_checkval: Could not find item named Calling-Station-Id in request
rlm_checkval: Could not find attribute named Calling-Station-Id in check pairs
++[checkval] returns notfound
++[expiration] returns noop
++[logintime] returns noop
[pap] WARNING! No "known good" password found for the user. Authentication may fail because of this.
++[pap] returns noop
ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user
Failed to authenticate the user.
expand: ->
Login incorrect: [00:21:5d:62:a0:72/abcdefgh] (from client DD-WRT port 1)
Using Post-Auth-Type Reject
  1. Executing group from file /usr/local/etc/raddb/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject] expand: %{User-Name} -> 00:21:5d:62:a0:72
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 0 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 0
Sending Access-Reject of id 3 to 172.17.17.2 port 2049
Waking up in 4.9 seconds.
Cleaning up request 0 ID 3 with timestamp +95
Bitte warten ..
Mitglied: aqui
20.01.2013, aktualisiert um 23:20 Uhr
Machst du eine MAC Adress Authentisierung ?? Dein Username ist "00:21:5d:62:a0:72" und das Passwort "abcdefgh" wofür kein passender User in der Datei users gefunden wird ! Deshalb schlägt die Authentisierung fehl !
In der users Datei sollte also minimal sowas stehen wie:
"00:21:5d:62:a0:72" Cleartext-Password := "abcdefgh"
Bitte warten ..
Mitglied: matthew77
20.01.2013 um 23:28 Uhr
Danke !

Aber im DD_WRT unter Wireless --> Radius ist "MAC Radius" auf enable und "MAC Format" aa:bb:cc:dd:ee:ff und "Password Format" auf shared Key eingestellt.

Bei den Clients wüsste ich nicht wo man das einstellen könnte !
Bitte warten ..
Mitglied: matthew77
20.01.2013, aktualisiert 21.01.2013
In der users steht :

"client1" Cleartext-Password := "abcdefgh"

was natürlich nicht passt !!!

sehr eigenartig ....
Bitte warten ..
Mitglied: matthew77
21.01.2013, aktualisiert um 00:51 Uhr
Ich habe nun in der Datei "users" als Benutzername die Mac-Adresse eingetragen, /var/log/radius.log :

Auth: Login OK: [00:21:5d:62:a0:72/abcdefgh] (from client DD-WRT port 1)

Der Win-Client sendet einige hundert Pakete kann aber nichts empfangen und nach ein paar Minuten bricht ab, die Route ist im Pfsense vom OPT auf DD-WRT-Lan/WLan-Netz gesetzt.
Bitte warten ..
Mitglied: aqui
21.01.2013, aktualisiert um 10:53 Uhr
Na ja ist ja klar das es nicht klappte. Du kannst ja im Debug ganz klar sehen das der DD-WRT als Usernamen die Mac Adresse "00:21:5d:62:a0:72" sendet and den Radius mit dem Passwort "abcdefgh".
Das der Radius den dann nicht authentisieren kann wenn der NICHT in der users Datei drinsteht ist ja logisch !
Da ist ja nun wahrlich nichts eigenartig. Der FreeRadius macht genau das was er soll !
Wenn du den User nun so mit der Mac eingetragen hast wäre da mal interessant was der -X Debug sagt ?

Ggf. solltest du also mal die Mac Authentisierung im DD-WRT ausschalten, das der mit der normalen Client ID kommt.
Auch der Satz "...die Route ist im Pfsense vom OPT auf DD-WRT-Lan/WLan-Netz gesetzt." ist irgendwie unverständlich und technisch eigentlich überflüssig ?!
Der DD-WRT rennt doch nur als normaler WLAN Accesspoint wie es HIER in der "Alternative-3" beschrieben ist in deinem OPT Segment, oder ?
Da muss man rein gar nix routen, denn ein Accesspoint arbeitet immer als simple Bridge...routen is da nich also wäre auch eine Router völlig überflüssig und kontraproduktiv !
Oder...lässt du den DD-WRT als transparenten Router laufen um das WLAN zu routen (Router Modus) ?? Das Warum wäre dann mal interessant
Dann macht eine Routein der FW natürlich wieder Sinn, keine Frage. Das das Routing dann sauber funktioniert solltest du erstmal ohne Radius Authentisierung wasserdicht testen, nicht das da noch eine 2te Baustelle lauert...!
Bitte warten ..
Mitglied: matthew77
22.01.2013, aktualisiert um 12:43 Uhr
Das ist richtig, was du sagst, die TLS-Authentifizierung erfolgt auf Layer 2 und so sieht etwa das Frame aus:

[{(<TLS>EAP)EAPoL}MAC] , der DD-WRT kann nur die MAC als Benutzername übermitteln.

Die MAC habe ich in der Datei users eingetragen, wenn ich das rausnehme, dann scheitert die TLS Authentifizierung ...

Mit dem Satz "die Route ist im Pfsense vom OPT auf DD-WRT-Lan/WLan-Netz gesetzt" meinte ich, wenn man den DD-WRT als transparenter WLAN-ROUTER einrichtet, dann muss das LAN/Wlan hinter dem DD-WRT dem Pfsense bekannt sein, DD-WRT ist direkt mit dem OPT verbunden. Ist der DD-WRT als Gateway eingerichtet, dann macht er NAT und Pfsense sieht nur die WAN-Adresse des DD-WRT und das LAN/Wlan Netz hinter DD-WRT ist unwichtig.

Ich habe das soweit zum Laufen gebracht, allerdings solange der Win-Xp/7 nicht neu gestartet ist, weil nach dem Neustart, sieht man im Log eine erfolgreiche Authentifizierung :

Auth: Login OK: [00:21:5d:62:a0:72/abcdefgh] (from client DDWRT port 1)

Aber dann kann der Windows-Client keine Pakete mehr empfangen ???

Dann deaktiviere ich im DD-WRT den RADUIS und setze wieder auf WPA-PSK zurück, und bei dem Win-Client stelle ich ebenfalls auf WPA-PSK und schon gibt es eine Wlan Verbindung und ich komme mit dem Client auch ins Internet also die Routing stimmt, dann stelle ich DD-WRT wieder auf RADIUS ein bzw. WPA-Enterprise auch beim Win-Client und der Client authentifiziert sich ohne Probleme und das läuft auch sehr stabil... allerdings nur bis zum nächsten Neustart ...

Ob der DD-WRT als Gateway oder als transparenter Router eingerichtet ist, spielt dabei keine Rolle.

Ist der Radius normal gestartet mit eingetragener MAC in users und Windows-Client fährt hoch ,dann steht im LOG:

Auth: Login OK: [00:21:5d:62:a0:72/abcdefgh] (from client DDWRT port 1)

Aber wie gesagt der Client kann keine Pakete empfangen.

Wenn ich Radius im Debug-Modus starte mit eingetragener MAC in users und der Win-Client fährt hoch, dann:

rad_recv: Access-Request packet from host 172.17.17.2 port 2051, id=4, length=69
User-Name = "00:21:5d:62:a0:72"
NAS-Port = 1
NAS-Port-Type = Wireless-802.11
User-Password = "abcdefgh"
  1. Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++- entering policy rewrite_calling_station_id {...}
+++? if (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i)
(Attribute Calling-Station-Id was not found)
? Evaluating (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i) -> FALSE
+++? if (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i) -> FALSE
+++- entering else else {...}
[noop] returns noop
+++- else else returns noop
++- policy rewrite_calling_station_id returns noop
[authorized_macs] expand: %{Calling-Station-ID} ->
++[authorized_macs] returns noop
++? if (ok)
? Evaluating (ok) -> FALSE
++? if (ok) -> FALSE
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "00:21:5d:62:a0:72", skipping NULL due to config.
++[suffix] returns noop
[ntdomain] No '\' in User-Name = "00:21:5d:62:a0:72", skipping NULL due to config.
++[ntdomain] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
[files] users: Matched entry 00:21:5d:62:a0:72 at line 2
++[files] returns ok
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[daily] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[weekly] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[monthly] returns noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
++[forever] returns noop
rlm_checkval: Could not find item named Calling-Station-Id in request
rlm_checkval: Could not find attribute named Calling-Station-Id in check pairs
++[checkval] returns notfound
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns updated
Found Auth-Type = PAP
  1. Executing group from file /usr/local/etc/raddb/sites-enabled/default
+- entering group PAP {...}
[pap] login attempt with password "magicradius"
[pap] Using clear text password "magicradius"
[pap] User authenticated successfully
++[pap] returns ok
expand: ->
Login OK: [00:21:5d:62:a0:72/abcdefgh] (from client DDWRT port 1)
  1. Executing section post-auth from file /usr/local/etc/raddb/sites-enabled/default
+- entering group post-auth {...}
++[exec] returns noop
Sending Access-Accept of id 4 to 172.17.17.2 port 2051
Finished request 0.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 0 ID 4 with timestamp +289
Ready to process requests.
Ready to process requests.
Signalled to terminate
Exiting normally.
Bitte warten ..
Mitglied: aqui
22.01.2013, aktualisiert um 13:57 Uhr
Das mit dem Routing ist klar. Wenn du transparent routest dann braucht die pfSense diese Route…keine Frage.

..."wenn ich das rausnehme, dann scheitert die TLS Authentifizierung"

Klar das dann nichts geht, denn wenn der Username (sprich bei dir die Mac) und Passwort nicht in der Users Datei steht dann ist ja auch nix zu authentisieren.

Was vollkommen unklar und auch unsinnig ist:
"…und bei dem Win-Client stelle ich ebenfalls auf WPA-PSK"
Das ist eigentlich Unsinn, denn am WLAN Client selber ! Wird NICHTS eingestellt in Bezug auf Radius usw.
Wenn dann wird nur 802.1x aktiviert am WLAN Port.

Die entscheidende Frage hier ist noch ob du mit dem internen und bordeigenen Windows 802.1x arbeitest oder mit einem Client der vom WLAN Treiber kommt wenn du mit der WLAN Hersteller Suite arbeitest und nicht mit den Windows bordeigenen.
Das solltest du wasserdicht klären !

Was bei dir völlig unverständlich ist warum der WLAN AP immer mit der Mac Adresse kommt. eigentlich unüblich wenn man nicht eine Mac Adress Authentisierung erzwingt.
Normalerweise nimmt Windows .1x immer den Default User als User oder ,wenn man es konfiguriert , wird ein User mit einem PoPup Screen vor dem WLAN Login abgefragt.
Das ist was irgendwie komisch ist.
Zusätzlich auch wenn die Authentisierung mit Succes durchläuft also erfolgreich ist das trotzdem der Zugang geblockt ist.
Frage:
Hast du beim DD-WRT das logging aktiviert (Syslog) um mal zu sehen was da passiert ??
Bitte warten ..
Mitglied: matthew77
22.01.2013 um 22:06 Uhr
Das mit WPA-PSK ist natürlich nicht Sinn der Sache, aber nur so, authentifiziert sich der Client ohne Probleme, einen Sinn macht das auf gar keinen Fall

Die Clients sind Notebooks mit integrierten WLAN-Adapter "Intel WiFi Link 5100 AGN", zum konfigurieren verwende ich windows selbst, es ist keine Wlan-Suite installiert.

Ich vermute, dass das Problem durch den Treiber verursacht wird, das mit dem Popup Screen erscheint bei mir, allerdings nur manchmal und dann klappt auch mit der Authentifizierung, ob nach einem Neustart oder sogar Trennen der Verbindung wieder zu einem Popup Fenster kommt, ist mittlerweile Glückssache

Auf DD-WRT ist Firewall und Syslog deaktiviert.

Hat bei dir schon mal die Authentifizierung über Pfsense als Radius-Server und DD-WRT als NAS funktioniert ?
Bitte warten ..
Mitglied: aqui
23.01.2013 um 12:24 Uhr
Du kannst im Windows .1x Client einen Haken setzen das NICHT das Popup Window kommt. Dann nimmt der Client immer den Hostnamen des Rechners zur Authentisierung. Das sollte der Regelfall sein.
Du musst aber zwingen die Mac Authentisierung abstellen, denn das kommt vom AP das der das so weiterreicht. Der soll einzig nur .1x Auth des Clients durchreichen, das passiert so wie es aussieht nicht und ist das Grundproblem.
Ich check das mit dem FreeRadius parallel.
Bitte warten ..
Mitglied: aqui
24.01.2013, aktualisiert um 15:49 Uhr
So, Testaufbau erledigt und das Fazit ist das es alles wunderbar funktioniert !!
Keine Ahnung also was du da falsch machst ??

Hier ist das genaue Test Setup:

413dd9475e307b5fdb434148d5e7dc6b - Klicke auf das Bild, um es zu vergrößern

Hier ist das WLAN Grundsetup des DD-WRT Accesspoints:

9525525f15cc0dab1d34958a7ae66089 - Klicke auf das Bild, um es zu vergrößern

Hier ist das WLAN Security des DD-WRT Accesspoints:

e71d1bcdbb1b3bb77a9d011b96448b1c - Klicke auf das Bild, um es zu vergrößern

Hier ist das Client Setup Laptop:

01f2be8505263566d866989e5a70c44c - Klicke auf das Bild, um es zu vergrößern

Hier ist der Debug Output des FreeRadius Servers:
01.
 
02.
Cleaning up request 6 ID 0 with timestamp +152 
03.
        User-Name = "test" 
04.
        NAS-IP-Address = 192.168.1.221 
05.
        Called-Station-Id = "687f7401fbce" 
06.
        Calling-Station-Id = "0021857e8250" 
07.
        NAS-Identifier = "687f7401fbce" 
08.
        NAS-Port = 44 
09.
        Framed-MTU = 1400 
10.
        State = 0x7915228d7f1237da5bd0b7200a259503 
11.
        NAS-Port-Type = Wireless-802.11 
12.
        EAP-Message = 0x020700061500 
13.
        Message-Authenticator = 0xb45850753bb8ed59069c175ec65390f7 
14.
# Executing section authorize from file /etc/freeradius/sites-enabled/default 
15.
+- entering group authorize {...} 
16.
++[preprocess] returns ok 
17.
++[chap] returns noop 
18.
++[mschap] returns noop 
19.
++[digest] returns noop 
20.
[ntdomain] No '\' in User-Name = "test", looking up realm NULL 
21.
[ntdomain] No such realm "NULL" 
22.
++[ntdomain] returns noop 
23.
[eap] EAP packet type response id 7 length 6 
24.
[eap] Continuing tunnel setup. 
25.
++[eap] returns ok 
26.
Found Auth-Type = EAP 
27.
# Executing group from file /etc/freeradius/sites-enabled/default 
28.
+- entering group authenticate {...} 
29.
[eap] Request found, released from the list 
30.
[eap] EAP/ttls 
31.
[eap] processing type ttls 
32.
[ttls] Authenticate 
33.
[ttls] processing EAP-TLS 
34.
[ttls] Received TLS ACK 
35.
[ttls] ACK handshake is finished 
36.
[ttls] eaptls_verify returned 3 
37.
[ttls] eaptls_process returned 3 
38.
[ttls] Using saved attributes from the original Access-Accept 
39.
[eap] Freeing handler 
40.
++[eap] returns ok 
41.
# Executing section post-auth from file /etc/freeradius/sites-enabled/default 
42.
+- entering group post-auth {...} 
43.
++[exec] returns noop 
44.
Sending Access-Accept of id 0 to 192.168.1.221 port 2052 
45.
        MS-MPPE-Recv-Key = 0xc102a8d88eb918a4d19b08b488c43a05751e8f8825c5ddcc6b01dbbe1f565bdd 
46.
        MS-MPPE-Send-Key = 0xf158cf3ddbcc0be432110814750c5a360c26fed388d3ed7343111d0356863acd 
47.
        EAP-Message = 0x03070004 
48.
        Message-Authenticator = 0x00000000000000000000000000000000 
49.
        User-Name = "test" 
50.
Finished request 7. 
51.
Going to the next request 
52.
Waking up in 4.9 seconds. 
53.
Cleaning up request 7 ID 0 with timestamp +152 
54.
Ready to process requests. 
Users Datei
01.
"User"                      Cleartext-Password := "test123" 
02.
"test"                      Cleartext-Password := "test" 
03.
"Gast"                      Cleartext-Password := "gast", Login-Time := "Wk0700-1800" 
client.conf Datei
01.
client 192.168.1.0/24 { 
02.
       secret          = radiustest 
03.
       shortname       = private-network-1 
04.
05.
# 
Also du siehst....alles wunderbar wie es sein soll ?!
Bitte warten ..
Mitglied: matthew77
25.01.2013 um 10:21 Uhr
Ich danke dir für den Test!

Bei dir ist der Freeradius auf Suse installiert, bei mir ist er auf Pfsense, ich muss z.B. zusätzlich die Mac-Adresse des einzelnen Supplicants in der Datei "users" eintragen. Sobald ich die Mac-Adresse rausnehme oder mit einer anderen Wlan-Karte, deren Mac nicht eingetragen ist, versuche, dann scheitert die TLS-Authentifizierung. Ist die Mac eingetragen, dann klappt es mit "manchen Wlan-Karten" die TLS-Auth. und auch die 2. Phase der Auth.

Ich habe das aber soweit zum Laufen gebracht, aber wie gesagt es läuft leider nicht mit jedem Wlan-Treiber obwohl sie alle 802.1x beherrschen und ich muss jede Mac in users eintragen !!!
Bitte warten ..
Mitglied: aqui
25.01.2013, aktualisiert um 21:39 Uhr
Nein, du liest leider die Threadantwort nicht richtig Der Test FreeRadius ist auf Debian Wheezy auf einem Raspberry Pi installiert:
http://www.administrator.de/contentid/191718
Nochmal: Das ist völliger Unsinn, das du da die Mac Adresse eingeben musst !! Wie du an den obigen Screenshots ersiehst schickt der DD-WRT niemals Mac Adressen zur Authentisierung sondern Username Passwort wie du ja unschwer oben sehen kannst. (No '\' in User-Name = "test", looking up realm NULL = Username ist "test")
Bei dir liegt also einen fehlkonfiguration des DD-WRT vor. Vermutlich (geraten) kann es sein das du fälschlicherweise unter Radius den 802.1x Client des APs selber aktiviert hast. Das wäre natürlich technischer Unsinn, denn damit authentisiert sich der AP selber als .1x Client in einem gesicherten Netzwerk.
Genau das willst du ja nicht sondern WLAN User authentisieren !!
Fazit: Folge genau dem Testaufbau und...auch den Tutorial das das Radius Customizing beschreibt, dann funktioniert das auch !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

Linux Netzwerk
VLAN WRT54GL (DD-WRT) und pfSense

Frage von dietzi zum Thema Linux Netzwerk ...

Netzwerkmanagement
VPN Server über FritzBox oder über DD-WRT Router (1)

Frage von ValdoAddams zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...