Freeradius mit Linuxmuster 7 und sophos

Hallo zusammen,

wir sind in den Ferien auf Linuxmuster 7 umgestiegen und haben jetzt auch eine Sophos als Firewall im Einsatz. Eigentlich hat das Meiste beim Umstieg ganz gut geklappt, jetzt habe ich aber noch ein Problem mit dem WLAN. Ich wollte, wie bisher ein Schülernetz aufbauen in dem sich die Lehrer mit ihren Accounts immer anmelden können und die Schülerinnen und Schüler über die Schulkonsole freigeschaltet werden können (so hatte ich es bis vor den Ferien in linuxmuster 6.2). Ich habe mich an die Anleitung in der Linuxmuster 7 Doku gehalten. Im WLAN haben wir Unifiaccesspoints und ich habe einen Unificontroller am laufen. Das Lehrernetz für die schuleigenen Geräte läuft problemlos.

Das Schülernetz läuft als freies Netz (wenn ich im Unificontroller das Netz freigebe) auch problemlos. Die Geräte erhalten die richtige IP und haben Internetzugriff. Wenn ich auf WPA Enterprise umschalte kann ich mich mit meinem Handy anmelden (allerdings nur wenn ich TTLS wähle und das Zertifikat ignoriere). Mit meinem IPAD geht es nicht, mit Laptops klappt es nicht und auch die Kollegen können sich nicht mit dem Netz verbinden. Ich habe Radius sowohl auf dem Server als auch auf dem Unificontroller mit unterschiedlichen Zugängen getestet und das funktioniert. Aber von den Endgeräten aus über den Accesspoint klappt es nicht.

Ich hab den Freeradius mal im Debugmodus gestartet. Einen Auszug aus dem Logfile hänge ich an. Ich bin Lehrer und eigentlich in der LDAP Gruppe wifi, sollte also eigentlich Zugriff bekommen.

Ist das korrekt, dass die Anmeldung über TTLS funktionieren muss? Warum klappt das mit Apple gar nicht?

Gruß
Veit

freeradiusdebug_auszug.doc (135 KB)

Hallo Veit,
ich habe das auch gerade angebunden. Bei mir hat der freeradius der OPNSense nicht mit Unifi funktioniert, nur der auf dem Server.
Ich muss bei EAP: PEAP und MSCHAPv2 wählen, dann „ohne Zertifikat“ und dann geht es. Ggf. muss man das auf Fallobst-Geräten separat einstellen, bei uns erkennen die das jedoch sofort ohne User-Input.
Hast du alles AccessPoints im freeradius als „clients“ eingetragen? Du musst wirklcih jeden AP aufführen, bzw es geht auch eine Adress-Range z.B. 10.18.0.0/16…

LG
Max

Hallo zusammen,

hab mir jetzt von netzint einen freeradius docker installieren lassen. Außerdem war der DNS nicht richtig eingerichtet. Jetzt läuft aber alles.

Gruß
Veit