classic.ISPforum.cz

Dobrý den,
řeším už několikátý den ten samý problém.
Mám rozjetý RADIUS na FreeRadius, běží na Synology. V něm jsou uživatelé a hesla.
L2TP ověřování uživatelů mi na RADIUS běží naprosto bez problémů.

Teď řeším, jak dostat ověřování přes Radius i do Wifi..
Neustále narážím na ověřování, kdy mám v logu, ať se snažím, jak se snažím, tak končím hlášením v logu na MAC adrese,
XX:XX:XX:XX:XX:XX@wifi: connected
XX:XX:XX:XX:XX:XX@wifi: disconected, 802.1x autenticaton timeout.


Jak to chápu,tak se zařízení neustále snaží ověřovat MAC adresu, já ale z Windows klientů posílám uživatelské jméno a heslo a chci ověřovat pouze a výhradně podle nich. Rozhodně nechci plnit Freeradius MAC adresami.

V ,,hloupém" TPLInku podobné problémy nemám a požadovaná autentifikace username/password na FreeRadius šlape ja víno. Teď chci přejít na Mikrotik a tohle je jediné, s čím ještě bojuji.



Kde dělám chybu?

toto máš?

/radius
add address=xx.xx.xx.xx secret=xxxxxx service=ppp,login,hotspot,wireless,dhcp

Ano, mám, všechny služby.
podotýkám, že l2tp autentizace mi přes radius jede bez potíží.



Radius server je ve vnitřní síti, ,,vnitřní" porty a wifi interface mám v bridge. Žádná omezení ve vnitřní síti na FW. Maškaráda pouze směrem ven.
Wifi jako taková je ale konfigurovaná, zadá se dobře, protože pokud změním security protokol na jiný, nadefinovaný na WPA2 PSK, tak se do wifi dostanu.
Ze strany klienta (win xp) používám shodnou konfiguraci jako na TPLink, takže tady by v zásadě problém být asi neměl.

Nerozumím tomu. Jako by nedostačovalo, že má wifi definovaný protokol 802.11 a v security protokolu na wireless interface RADIUS - EAP accounting.

no pokud to nepíše v logu radius timeout tak vůbec to nekontaktuje freeradius, takže hledat co není ještě zaškrtlé v mkčku.
ještě zkontrolovat jestli je povolený incoming v radiusu na mkčku.

Ten "EAP accounting" nemá nic společného s ověřováním. To je jen logování. A bez důrazné modifikace konfigurace FreeRADIUS nefunguje, protože MK neumí správně použít port na wifině.
Zrada bude asi toto:
eap-methods=eap-tls
to říká, že se ověřuje pomocí certifikátů a ne jméno/heslo. Navíc dle certifikátů v MKčku. RADIUS se vůbec nepoužije.
Dej režim passthrough, pokud chceš dělat ověření přes RADIUS server.

Potíž je v tom, že na stejném zařízení mi autentifikace pptp na RADIUS jede. Ověřoval jsem si to před několika okamžiky. Ono se jedná o zařízení, které testuji. Z jedné strany položené do vnitřní sítě, z ,,venku" pouze IP natvrdo oproti notebooku, který má natvrdo vymyšlené veřejné adresy. Ale pro tyhle účely nastavení postačuje. Navíc díky tomu že se jedná testován, tak na FW nemám žádná omezující pravidla.

Proto nehledám problém v RADIUS, klíči či portech. Chybu hledám na wifi a jediná možnost mně napadá security profil. Trošku mně tam znervoňuje že se všechny volby více méně motají kolem MAC. Jediná logická je radius-eap-accounting ale ani při jejím zapnutí nedostávám v logu nic normálního. Dokonce není ani RADIUS kontaktován.
Přitom z výpisu vidíte, že service wireless je u RADIUSu povolený.

Kde ještě hledat?

Majklik píše:Ten "EAP accounting" nemá nic společného s ověřováním. To je jen logování. A bez důrazné modifikace konfigurace FreeRADIUS nefunguje, protože MK neumí správně použít port na wifině.
Zrada bude asi toto:
eap-methods=eap-tls
to říká, že se ověřuje pomocí certifikátů a ne jméno/heslo. Navíc dle certifikátů v MKčku. RADIUS se vůbec nepoužije.
Dej režim passthrough, pokud chceš dělat ověření přes RADIUS server.

Aha, vyzkouším passthrought a uvidím.
Jinak konfiguraci FreeRADIUS nezměním. Jak jsem psal, využívám to, co nabízí Synology ve svém modulu Radius server, a tam se toho moc nastavit bohužel nedá.
Děkuji

Je to tak, jak píše Majklik.
K zapnutí ověřování username/psswd na RADIUS je nutné v security profil EAP-method přepnout na passthrought. Jo a taky se nesmí zapínat žádná volba s parametry které v sobě obsahují text radius.