Port freischalten

alois · 5. Dezember 2022 um 11:46

Hallo Forum,

ich habe aktuell folgendes Problem:

Ich möchte gern WPA2 Enterprise über Unifi nutzen. Leider funktioniert das nicht, weil offenbar der Port 1812 nicht offen ist. In der Doku für diesen Bereich ist noch von /etc/linuxmuster/allowed_ports die Rede. Das trifft aber auf die LMN6.x zu. In der LMN 7.1 gibt es diese Datei nicht mehr.

Ein Nmap 10.16.1.1 ergibt, dass der Port 1812 zu ist.

Wie öffne ich in der 7.1 den Port 1812. Die Regel in der Firewall ist gesetzt (siehe Bild).

Trotz dieser Regeln wird der Port nicht unter den geöffneten bei nmap aufgeführt.

Viele Grüße und danke fürs Helfen

Alois

Till · 5. Dezember 2022 um 13:08

LMN7 hat auf dem Schulserver keine lokale Firewall mehr, dahingehend ist der Port auch offen.
Läuft denn auf dem Schulserver ein Radius Dienst? Das ist ja nicht unbedingt der empfohlene Weg.

alois · 5. Dezember 2022 um 15:04

Hallo Till,

Ja!

root@server:~# ps -A|grep free
3958 ? 00:00:00 freeradius

Ich habe mich an das Handbuch gehalten. Dort wird die Einrichtung des Freeradius im Zusammenhang mit dem Schüler WLAN beschrieben.

Inzwischen bin ich etwas weiter. Ein

freeradius -X

Auf der Konsole führt neben vielen Ausgaben zu dieser Information:

Fehlermeldung:

Failed binding to auth address 127.0.0.1 port 18120 bound to server inner-tunnel: Address already in use
/etc/freeradius/3.0/sites-enabled/inner-tunnel[33]: Error binding to port for 127.0.0.1 port 18120

Viele Grüße

Alois

Till · 5. Dezember 2022 um 15:16

Mal mit ss bzw. oldschool mäßig netstat schauen was den Port belegt.

Wenn ich deinen Ausführungen aber glauben darf, versuchst du mit freeradius -X den Dienst interaktiv auszuführen. Das funktioniert allerdings nur wenn du vorher den Radius Prozess beendest.

alois · 5. Dezember 2022 um 15:28

Hallo Till,

root@server:~# netstat -tulp | grep "1812" 
udp        0      0 localhost:18120         0.0.0.0:*                           4608/freeradius

Wenn ich aber den Test mit dem Testuser steve mache indem ich den Port 18120 benutze, bekomme ich ein rejectet.

Hier der Dialog


root@server:~# radtest steve testing 127.0.0.1:18120 10 testing123
Sent Access-Request Id 239 from 0.0.0.0:57440 to 127.0.0.1:18120 length 75
	User-Name = "steve"
	User-Password = "testing"
	NAS-IP-Address = 10.16.1.1
	NAS-Port = 10
	Message-Authenticator = 0x00
	Cleartext-Password = "testing"
Received Access-Reject Id 239 from 127.0.0.1:18120 to 0.0.0.0:0 length 20
(0) -: Expected Access-Accept got Access-Reject

Das Gleiche mit dem Port 1812

Viele Grüße

Alois

Till · 5. Dezember 2022 um 16:02

Sieht doch Kommunikationsmäßig nicht falsch aus. Ich würde sagen steve ist eben nicht im passenden Scope und wird daher Rejected. Du bekommst ja eine Antwort vom Radius Server.

alois · 5. Dezember 2022 um 17:12

Hallo Till,

der User steve müsste eigentlich funktionieren. Es funktioniert aber auch kein anderer User.

Viele Grüße

Alois

alois · 5. Dezember 2022 um 18:02

Hallo Till,

ich habe noch mal einen anderen User angelegt und mit dem klappte der Test. Dann habe ich festgestellt, dass ich den Unifi-Controller nicht als Client angelegt hatte. Nach einem Restart des Servers funktionierte der Test von der Konsole.

root@unificontroler:/home/unifi# radtest user password 10.16.1.1:1812 10 geheim Sent Access-Request Id 186 from 0.0.0.0:53334 to 10.16.1.1:1812 length 76 User-Name = "user" User-Password = "password" NAS-IP-Address = 10.16.1.3 NAS-Port = 10 Message-Authenticator = 0x00 Cleartext-Password = "password" Received Access-Accept Id 186 from 10.16.1.1:1812 to 10.16.1.3:53334 length 20

Trotzdem klappt das Anmelden via Wlan nicht.

Viele Grüße

Alois

alois · 6. Dezember 2022 um 10:33

Problem gelöst. Nachdem der Radtest von Konsole funktionierte, habe ich mir noch einmal die Firewallregeln angesehen. Dort war die Regel, die aus dem WLAN Radius erlaubte deaktiviert . Nach dem Aktivieren klappt WPA2-Enterprise.

Viele Grüße und Danke fürs Helfen

Alois