Moin,
wir haben in unsere v6 Umgebung eine RADIUS Authentifizierung eingebaut, welche unseren APs je nach Gruppenmitgliedschaft VLAN-Tags mitgeteilt hat.
Dies möchten wir auch in der v7 Umgebung erreichen.
Wir haben FreeRADIUS nach Doku auf dem opnsense eingerichtet und erreichen die Weitergabe der VLAN-Attribute über AD-Attribute für welche ich das Schema erweitert habe.
Wenn ich die Authentifizierung vom server per radclient teste, funktioniert auch alles wunderbar:
root@firewall:/usr/local/etc/raddb # echo "User-Name=abc,User-Password=xxxxxxx" | radclient -x -P udp 10.0.0.254:1812 auth <SECRET>
Sent Access-Request Id 143 from 0.0.0.0:27531 to 10.0.0.254:1812 length 42
User-Name = "abc"
User-Password = "xxxxxxx"
Cleartext-Password = "xxxxxxx"
Received Access-Accept Id 143 from 10.0.0.254:1812 to 10.0.0.254:27531 length 37
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = 6
Tunnel-Private-Group-Id:0 = "xyz"
Nun spricht unser WLAN allerdings WPA2 Enterprise (802.1x).
Wir haben Root-CA und RADIUS-Cert identisch zum alten RADIUS eingerichtet und dieser Teil funktioniert ebenfalls problemlos.
Nun zum Problem:
Egal ob ich mich per TTLS mit MSCHAPv2 oder PEAP mit MSCHAPv2 authenzifizieren möchte, erhalte ich zum Authentikationsfehler folgende Logzeilen:
2020-08-30T15:56:14 Auth: (242) Login incorrect (eap: Failed continuing EAP TTLS (21) session. EAP sub-module failed): [abc/<via Auth-Type = eap>] (from client APs port 0 cli XX-XX-XX-XX-XX-XX)
2020-08-30T15:56:14 Auth: (242) Login incorrect (mschap: FAILED: No NT-Password. Cannot perform authentication): [abc/<via Auth-Type = mschap>] (from client APs port 0 via TLS tunnel)
Ich scheitere leider bisher daran, den radiusd auf dem opnsense im debug modus zu starten, daher kann ich dort erstmal keine weiteren Logs liefern.
Hat jemand eine Idee, wie ich die Authenzifizierung durch EAP zum laufen bekomme?
Die VLAN Tags sind eine Vorraussetzung für die Migration auf v7, daher benötigen wir eintweder die oben beschriebene Variante, oder altbekannt über Einträge à la
DEFAULT Ldap-Group == "cn=teachers,ou=groups,dc=lm6,dc=example,dc=org"
Tunnel-Type="VLAN",
Tunnel-Medium-Type=6,
Tunnel-Private-Group-Id=xyz
in der users Datei.