Radius einrichten

rettich · 27. Dezember 2025 um 15:40

Hallo zusammen,
bisher habe ich die WLAN-Anmeldung über das Captive-Portal der OpnSense realisiert. Da ich gehört habe, dass selbst die Apple-Geräte mit selbstsignierten Zertifikaten umgehen können, wollte ich mal versuchen, den freeradius auf dem Server einzurichten.

Vor dem Punkt WLAN Zertifikate einrichten wollte ich testen, ob der freeradius ein Accept zurückgibt.

Auf meinem VirtualBox-Testsystem habe ich versucht, wie in der Doku beschrieben, freeradius zu installieren.

Ich habe meinen Linux-Client in die Datei Clients aufgenommen:

client tester {
ipaddr = 10.32.100.1
secret = Muster!
}

Leider liefert

radtest ba Muster! 10.32.0.1:1812 10 Muster!
Sent Access-Request Id 1 from 0.0.0.0:35119 to 10.32.0.1:1812 length 72
	User-Name = "ba"
	User-Password = "Muster!"
	NAS-IP-Address = 127.0.1.1
	NAS-Port = 10
	Message-Authenticator = 0x00
	Cleartext-Password = "Muster!"
Received Access-Reject Id 1 from 10.32.0.1:1812 to 10.32.100.1:35119 length 38
	Message-Authenticator = 0xeb3ffb4c95d9c21b4534691c23bc8fb2
(0) -: Expected Access-Accept got Access-Reject

Und das, obwohl der User ba das Passwort Muster! hat und in der Gruppe wifi ist.

Über einen Tipp würde ich mich sehr freuen.

Viele Grüße
Mathias

Buster · 27. Dezember 2025 um 22:00

Hi,

du definierst einen Client mit ipaddr = 10.32.100.1 aber deine Anfrage kommt von NAS-IP-Address = 127.0.1.1. Ist das so gewollt?

VG
Buster

rettich · 28. Dezember 2025 um 08:31

Hallo Buster,
vielen Dank für deine Antwort.
So, wie ich das verstanden habe, ist der NAS, also der Server, der die Anfrage annimmt, ebenfalls mein Server (10.32.0.1). Und der richtet die Anfrage an den Radius auf der gleichen Maschine (127.0.1.1).

Naja, die Komunikation scheint ja zu funktionieren. Ich bekomme halt Access-Reject zurück.
Gruß
Mathias

Buster · 28. Dezember 2025 um 17:34

Hi,

nur um Missverständnisse auszuschließen: Der Network Access Server
(NAS) bietet den Zugang zum Netzwerk für einen Nutzer oder sein Gerät. Das heißt der NAS ist ein Switch, Wireless Access Point, DSLAM, VPN-Gateway., o.ä. Jeder NAS ist im RADIUS-Protokoll also Client und muss im RADIUS-Server definiert sein.

Wenn du mit radtest auf dem Server selbst einen Test fährst (was ich aus dem Sent Access-Request Id 1 herauslese), muss auch dieser Server als NAS/RADIUS-Client definiert sein. Wenn er das nicht ist, wird die Anfrage abgewiesen.

Wenn du den RADIUS-Server im Debugmodus startest (radiusd -X, siehe Debugging :: The FreeRADIUS project - Documentation), solltest du nachlesen können, wieso die Anfrage abgewiesen wurde.

VG
Buster

rettich · 28. Dezember 2025 um 19:45

Hallo Buster,

Das war der richtige Hinweis. Mit freeradius -X habe ich herausgefunden, dass nicht, wie in der Doku --require-membership-of=DOMÄNE\wifi sondern --require-membership-of=DOMÄNE\\wifi einzutragen ist.
Jetzt läuft’s.
Vielen Dank nochmal!!!
Gruß
Mathias