Anleitung/Tipp: Radius Peap-Mschapv2 mit ntlm_auth für WPA2-Enterprise

Hm – leider stimmt da was nicht:

06:57/0 unifi ~ # wget http://pkg.netzint.de/netzint.pub.key
--2019-10-15 06:57:23--  http://pkg.netzint.de/netzint.pub.key
Resolving pkg.netzint.de (pkg.netzint.de)... failed: No address associated with hostname.
wget: unable to resolve host address ‘pkg.netzint.de’

Der Befehl host pkg.netzint.de liefert auch keine Antwort. Server down?

Geht hier auch nicht @Till

Hallo Jochen,

wer das selbst machen und nicht dockern möchte:
hier gibt’s wunderbar funktionierende Skripte, um für „fast alle linuxoiden“ OSs in Nullkommanichts einen Unifi-Controller

das ist echt der Hammer: Ubuntu-Server 18.04 installiert, Skript für neuesten Unifi-Controller laufen lassen, Unifi-Backup von Ubuntu 16.04 zurückgespielt und fertig.

Viele Grüße
Wilfried

Ja, cool finde ich an dem Script auch, dass es auch gleich alle APs mit aktueller Firmware bestücken kann u.v.m. Vielleicht etabliert sich das ganze auf diese Art…

X-Post … nur, damit man alles wiederfindet:

Ganz genau. In der Anleitung ist doch auch ein Vermerkt zu LMN7.

Ist richtig, aber die Dokumentation geht leider (noch) nicht soweit, dass völlig klar ist, was auf dem Controller vor dem deploy alles zu tun oder zu lassen ist. Ich habe ihn bisher einfach nur installiert - sonst noch nichts

Nachtrag: Ich werde es so machen wie @wilfried und zunächst die Config vom laufenden System einspielen. Danach dann das Deploy. Dass ich auf diese Weise bei uns 12 (!) der alten eckigen APs aufgrund ihres EOLs nicht mehr weiter mit verwalten kann, muss ich wohl einfach hinnehmen…

Die Anleitung ist in dieser Form schon seit längerem intern und für andere DL im Einsatz, ich gestehe aber ein dass ein paar Annahmen an die Funktionsweise gesetzt werden die nicht 100% dokumentiert sind.
Das können wir aufjedenfall besser. Auch ist mir aufgefallen, dass wohl nicht mehr alle Ordner zu 100% angelegt werden, auch da muss mal nachgearbeitet werden.
Wenn ordentlich eingerichtet läuft das System aber problemlos, das können sicherlich einige auch hier im Forum bestätigen.
Sobald wieder mal Luft ist werde ich mir das Paket mal anschauen und für einen sauberen Ablauf sorgen. Die Priorität ist allerdings sehr gering.

Alles klar – danke.
Ich habe im Parallelthread bereits mitbekommen, was noch auf dem Controller zu tun ist. Die von @jochen vorgeschlagene Vorgehensweise über das Installationssscript für den Unifi-Controller war hier sehr einfach umgesetzt. Auch das Zürückholen eines Backups des momentan produktiv laufenden Contollers lief absolut reibungslos. Der nächste Schritt wäre dann das deploy…

Eine Sache habe ich noch nicht entdeckt, @jochen:

Wo/wie hast du das eingestellt?

Schöne Grüße,
Michael

Hallo @Michael ,

das Script gibt’s auch hier, Du musst etwas runterscrollen.
Ich hab’ das aber nicht umgesetzt, da wir vorhaben, ein kommerzielles Wildcard-Zertifikat für unsere Domain zu kaufen, welches dann alle Maschinen versorgen kann. Das geht mittlerweile zwar wohl auch mit Let’sEncrypt, da braucht man aber irgendwie Zugriff auf den DNS etc.

Viele Grüße,
Jochen

Hi.
Gefunden … ich war tatsächlich auf der Seite nie weiter unten als bei der „Version History“.

Das ist vermutlich einen neuen Thread wert. Ich wäre nach wie vor froh, wenn das irgendwie direkt
auf der OPSense oder auf dem RevProxy laufen könnte. Ist schon jemand soweit?

z.B. so wie hier? https://schulnetzkonzept.de/opnsense unter

„Installation und Konfiguration der automatisierten Zertifikatsverwaltung“

Schönen Gruß,
Michael

Nachdem ich die Anleitung befolgt habe, hat zunächst das Verbinden mit dem WLAN (windows 10 Client & Android&iPhone) nicht funktioniert. Hierzu mussten noch ein paar Anpassungen vorgenommen werden.

weitere To-Do´s
bootstrap (dieses Skript generiert alle erforderlichen Zertifikate im Verzeichnis“ /etc/freeradius/3.0/certs")
- bootstrap unter "/etc/freeradius/3.0/certs" ausführbar machen und ausführen
-> chmod +x bootstrap
-> ./bootstrap 

im Verzeichnis "/etc/freeradius/3.0/" die Datei "clients.conf" anpassen
Abschnitt:
#IPv6 Client
#
#
#  You can now specify one secret for a network of clients.
#  When a client request comes in, the BEST match is chosen.
#  i.e. The entry from the smallest possible network.
#
#client private-network-1 {
#       ipaddr          = 192.0.2.0/24
#       secret          = testing123-1
#}
die Werte ipaddr & secret anpassen und später auf dem unifi Controller im RADIUS Profil hinterlegen.

- eap.conf unter "/etc/freeradius/3.0/mods-enabled" anpassen
-> Erster Punkt 
eap { 
	default_eap_type = md5 -> ändern auf peap
					
 Verzeichnis "/etc/freeradius/3.0/certs" wechseln und die Datei "clients.cnf" anpassen
 -> Punkt 
[ req ]
prompt                  = no
distinguished_name      = client
default_bits            = 2048
input_password          = whatever
output_password         = whatever

anpassen. Hier sollte das input_password & output_password geändert werden. Das Gleiche muss bei der Datei "server.cnf" gemacht werden.

Nach diesen Anpassungen konnte ich die Smartphones mit dem WLAN verbinden. Die Windows Clients streiken leider immer noch.

Hallo Emre und Herzlich Willkommen bei uns :-),

Nach diesen Anpassungen konnte ich die Smartphones mit dem WLAN
verbinden. Die Windows Clients streiken leider immer noch.

ich habe die Anleitung von Dominik umgesetzt (Erster Beitrag).
Auch bei mir gab es Probleme mit Windows.
Untersuchungen haben dann ergeben, dass Windows im falschen Netz „raus
kommt“: also an die Firewall von Grün aus herantritt, aber natürlich mit
einer IP aus Blau (172.16.x.y): das blockt die opnsense.
Deswegen hab ich ihr eine Regel gegeben, damit auch Windows raus kommt.
Das ist nicht sauber, das ist nicht schön … aber das funktioniert
jetzt erstmal so und wenn ich Zeit hab, schau ich nochmal hin.

Also:
beschreib mal ganz genau, was bei Windows nicht geht.
Klappt die Authentifizierung?
Welche IP/Netmask/Gateway/DNS bekommt Windows?
Wenn das klappt, aber Windows nicht ins Internet kommt, dann schau mal
in den Livelogs auf der opnsense nach.
Ich hatte nach 172.16 gefiltert und bemerkte dann, wenn ich mit einem
Windows über WLAN ins Internet wollte, dass da Rote Balken kamen:
172.16.x.y über LAN wurde geblockt …

LG

Holger

Hallo Holger,

vielen Dank :slight_smile:

sorry für die späte Rückmeldung.
Ich kann mich aktuell garnicht verbinden. Sobald ich von einem Windows 10 Client aus versuche mich mit dem WLAN zu verbinden, kommt kurze Zeit, nachdem ich auf verbinden geklickt habe, " KeineVerbindung mit diesem Netzwerk möglich". Nicht einmal die Aufforderung zur Eingabe der Credentials kommt auf.

LG
Emre

Hallo Emre,

Ich kann mich aktuell garnicht verbinden. Sobald ich von einem Windows
10 Client aus versuche mich mit dem WLAN zu verbinden, kommt kurze Zeit,
nachdem ich auf verbinden geklickt habe, " KeineVerbindung mit diesem
Netzwerk möglich". Nicht einmal die Aufforderung zur Eingabe der
Credentials kommt auf.

zuerst würde ich die Anleitung npch mal schritt für schritt durchgehen:
fehlt irgend wo was?

Wenn das nichts hervor bringt, dann würde ich den freeradius anhalten
und in einem screen so starten:
freeradius -xX

oder an der normalen Konsole und die Ausgabe in eine Datei umleiten mittels:

freeradius -xX | tee -a /root/freeradius-temp.log

Dann beobachte die Ausgabe während ein Windows verbindet.

LG

Holger

Hi zusammen!
Ich bin nun doch dieser Anleitung gefolgt und habe den FreeRADIUS Server ebenfalls direkt auf dem linuxmuster-Server installiert. (Schade, dass es nicht auf der OPNSense-FW lief, denn da gehört es irgendwie eher hin – aber wenn’s auch so geht…)

Zwei Rückfragen habe ich:

  • Mit „Domäne“ meinst du jetzt die Samba-Domäne, nehme ich an? Also ist nur der erste Teil des kompletten Namens einzutragen,wie hier beschrieben, richtig?. In dem Beispiel wäre die Domäne, die hier einzutragen ist, dann nur „linuxmuster“ – korrekt?

  • Wenn ich im Unifi-Controller nun einen RADIUS-Server hinzufügen will, fragt der mich:


    Mit anderen Worten: Der will ein Passwort / Secret Key haben – wo finde ich den?

Schönen Gruß,
Michael

Hallo Michael,

Mit „Domäne“ meinst du jetzt die Samba-Domäne, nehme ich an? Also
ist nur der /erste/ Teil des kompletten Namens einzutragen,wie hier
beschrieben, richtig?
<http://docs.linuxmuster.net/de/v7/getting-started/setup.html>. In
dem Beispiel wäre die Domäne, die hier einzutragen ist, dann nur
„linuxmuster“ – korrekt?

ja.

Wenn ich im Unifi-Controller nun einen RADIUS-Server hinzufügen
will, fragt der mich:

Screenshot_20191106_145334
<https://ask.linuxmuster.net/uploads/default/original/2X/4/45e2587bbc59f69669629028c13f0fcf92c196c7.png>

Mit anderen Worten: Der will ein Passwort / Secret Key haben – wo
finde ich den?

in der clients.conf unter:
/etc/freeradius/3.0/

client server {
ipaddr = 10.16.1.1
secret = GeHeim
}
client opnsense {
ipaddr = 10.16.1.254
secret = GeHeim
}
client unifi {
ipaddr = 10.16.1.10
secret = GeHeim

Nach dem Schema müssen da alle APs auch rein.

LG

Holger

Hallo Holger,
Danke dir!

Bei mir sind die APs nicht im grünen Netz/LAN, sondern in Blau/WLAN.
Ich nehme an, dass die IPs, die in der clients.conf auftauchen, aus „allen“ Netzen kommen dürfen?

Vergibst du unter OPNSense zuvor für alle APs feste IP-Adressen, die du dann in der clients.conf eintragen kannst?

Schönen Gruß,
Michael

Hallo Michael,

Bei mir sind die APs nicht im grünen Netz/LAN, sondern in Blau/WLAN.

meine sind in Blau und in Grün …
Grün ist bei mir untagged am AP.

Ich nehme an, dass die IPs, die in der |clients.conf| auftauchen, aus
„allen“ Netzen kommen dürfen?

was soll den das heißen?
Was machen den 172er Pakete im Grünen Netz?
Und wer sagt denen wos lang geht?
Nee, so geht das nicht.
Wenn, dann mußt du den Radius Port in der OPNsense von Blau nach Grün
(server) öffnen und dann kommen alle APs mit der IP der opnsense an
(nehme ich an)… oder du machst es so, wie alle anderen auch: APs in
Grün…

Vergibst du unter OPNSense zuvor für alle APs feste IP-Adressen, die du
dann in der clients.conf eintragen kannst?

ja: indirekt durch die workstations Datei … jetzt devices.csv

LG

Holger

Hi.

Ok, kann ich ändern. Aber … das haben ja nicht immer alle so gemacht?! Ich erinnere mich, dass es eine zeitlang nahezu „verpönt war“ wenn man einen AP ins grüne und nicht ins blaue Netz gebracht hat :slight_smile:

Bisher war bei mir im produktiven Bereich der coova mit freeradius dazwischen.

Unter coova lief das mit dessen freeradius so, dass ich die Einträge für die APs unter /etc/freeradius/users hatte (warum dort und nicht unter clients.conf weiß ich nicht mehr)
Jedenfalls lautete ein Eintrag dort z.B. so:


# Unifi-AP 200er Etage
04-18-E6-D1-2B-73       Cleartext-Password := "04-18-E6-D1-2B-73"
    Framed-Protocol = PPP,
    Framed-IP-Address = 172.20.7.19,
    Framed-IP-Netmask = 255.255.248.0,

Diese Einträge könnte ich halbwegs übernehmen…
Schönen Gruß,
Michael