Radius-Problem beim Setup von Unifi

Hallo,
ich versuche gerade, die Vorarbeiten für Unifi zumachen.

Vorab: Sind eigentlich Probleme zu erwarten, wenn man gleichzeitig noch den Chilli am laufen hat? Bisher habe ich nur einen Unifi AP Pro und will die Sache zum Testen aufsetzen. Die anderen Access-Points am Chilli in blau sollen später ersetzt werden.

Bisher hat die Beschreibung auf linuxmuster.net gut funktioniert.

Nun hänge ich - bin wohl nicht der erste - an: http://docs.linuxmuster.net/de/latest/systemadministration/network/radius/installation.html

Auf meinem Server war linuxmuster-freeradius schon installiert. Liegt das daran, weil ich den Chilli habe?

Allerdings in /etc/linuxmuster/allowed_ports hat 1182 bei udp gefehlt. Habe ich eingetragen.

Die Datei /etc/freeradius/clients gibt es bei mir nicht. Ich habe /etc/freeradius/clients.conf

Da steht, dass diese Datei automatisch von linuxmuster-freeradius erstellt wurde.

Drin steht
client ipcop {
ipaddr = 10.16.1.254
secret = ein Passwort
}

Auch wenn mir der andere Dateiname und das “automatisch erzeugt” spanisch vorkommt, habe ich
client localhost {
ipaddr = 127.0.0.1
secret = testing123
}
hinzugefügt.

Nun hänge ich an der Stelle
radtest steve testing 127.0.0.1:1182 10 testing123

Bei mir kommt 3x
Sending Access-Request of id 80 to 127.0.0.1 port 1182
User-Name = "steve"
User-Password = "testing"
NAS-IP-Address = 10.16.1.1 (da sollte laut Anleitung 127.0.0.1 stehen)
NAS-Port = 10 (da solte laut Anleitung 0 stehen.Oben im Kommando steht 10, habe es aber auch mit 0 und dem gleichen Ergebnis versucht)
radclient: no response from server fir ID 80 socket 3

Was kann ich tun? Bin wie immer für alle Tipps dankbar.

VG,
Markus

Mit Hilfe von


bin ich selbst einen Schritt weiter gekommen:

In /etc/freeradius/sites-available/inner-tunnel steht bei mir
listen {
ipaddr = 127.0.0.1
port = 18120
type = auth
}

Wenn ich radtest steve testing 127.0.0.1:18120 10 testing123
aufrufe, dann steht da: rad_recv: Access-Accept …

Seltsam: Dieser 18120 steht in linuxmuster/allowed_ports aber auch nicht.

Bin ich jetzt auf dem richtigen Weg, oder “soll ich mir Sorgen machen?”

Gruß,
Markus

Hallo Markus,

ich hab den test nie gemacht sondern gleich die APs eingetragen: aber
ohne expliziten Port.
Bei mir sieht die clients.conf so aus:

client ipcop {
ipaddr = 10.16.1.254
secret = geheim
}
client unifi {
ipaddr = 10.16.1.10
secret = auchgeheim
.
.
.

in der allowed_ports steht die 1812 dabei.

Ich hatte damals nicht kapiert, dass jeder AP beim freeradius nachfragt
und nicht beim unify controller. Deswegen muss für jeden AP ein Eintrag
in die clients.conf

LG

Holger

Hallo Holger,
das war mir jetzt auch nicht klar. Also unifi mit 10.16.1.10 ist das bei Dir der Unifi Rechner oder schon ein Access-Point. Falls ersteres: Kommen dann die APs mit namen aus der workstations-Datei und der IP dann hinterher?

Dein Passwort “auchgeheim” ist dass das Passwort, welches man auf dem Unifi Rechner bei “Neues Radius-Profil erstellen” unter Passwort eintragen muss?

Gruß,
Markus

Ich habe mein Notebook in workstations eingetragen und es klappt über das grüne Lehrer-Wlan.

Bei “blau” Ich brauche definitiv Hilfe! Ich denke (hoffe, glaube), dass ich die VLANS eingerichtet habe.

Ich habe jetzt 'mal weiter gemacht und in clients.conf eingetragen: den Unifi Rechner und dann meinen AP in dem Stil:
client u03-wlan {
ipaddr = 10.20.3.254
secret = Buchstabensalat.
}
(Beim Eintrag für den Unifi Rechner den gleichen Buchstabensalat)

Dann ging ich weiter vor nach Anleitung und habe bei:

Gehen Sie zu Einstellungen -> Profile -> NEUES RADIUS-PROFIL ERSTELLEN.
Geben Sie dem neuen Radius-Profil einen Namen.

Tragen Sie bei Radius-Authentifikationsserver die IP-Adresse des linuxmuster.net-Servers und das Passwort für die APs ein.

Da habe ich jetzt beim Passwort “Buchstabensalat” von client.conf eingegeben.

Dann habe ich noch die Firewall-Regel von der nächsten Seite ergänzt (blau auf unifi Rechner).

Jetzt sehe ich auf meinem Handy das Schülernetz “lur”.
Dies ist mein erster Kontakt mit WPA Enterprise.

Ich sehe: Auswahl MSCHAPV2 und GTC
CA-Zertifikat: Auswahl: “Systemzertifikat verwenden” und "Nicht validieren"
Dann Felder für Identität, Anonyme Identität und Passwort.

Ich habe ein wenig herumprobiert. Mal bei Identität und Passwort meine Daten eingegeben, aber ins Netz komme ich so nicht.

Wie gesagt: ich brauche Hilfe…

VG,
Markus

Hallo Markus,

schau mal hier:

Man beachte auch, dass Win7 WPA2 Enterprise mit selbstsignierten
Zertifikat nicht ohne weiteres kann.

Schau mal dazu hier:

LG

Holger

Hallo Holger,
vielen Dank für die Antwort.
Da müsste die Anleitung wohl um einiges erweitert werden…

Zu Deiner ersten Hilfe:
Ich bin auf dem unifi Rechner unter Netzwerke.

Das erschlägt mich. Was trage ich da ein?

Wie gesagt: Ich möchte genau nach Anleitung vorgehen: blau ist vlan getagged, grün liegt ungetagged an. Ich habe auch schon ausprobiert: Ein Rechner an der 2. Buchse des AP bekommt eine IP aus dem grünen Netz. Soweit, so gut.

Bisher habe ich unter unfi bei den drahtlosen Netzwerken “lurlehrer” für grün und “lur” für blau. bei blau: VLAN Nr 3 verwenden. (Bei mir 1 default, 2 grün, 3 blau)

Könntest Du da evtl. einen Screenshot posten, was ich noch unter Netzwerke eintragen soll, oder hast Du die drahtlosen Netzwerke gemeint?

Zu Deiner Anleitung mit Win7. Danke! Sieht ja unter Android mal wieder völlig anders aus. Siehe oben. Bei uns geht es mehr um Smartphones, seltener Schülernotebooks. Aber ich denke, jetzt muss ich erst einmal das Netzwerk eintragen. Ich hoffe, Du kannst helfen.

Ich habe jetzt neben dem Smartphone auch einmal mein Win7 Notebook versucht. Da kommt nur Benutzername und Passwort. Die anderen Felder bringt er bei mir nicht. Klappt aber trotzdem nicht.

Nebenbei: Mein /var/log/freeradius/radius.log zeigt bei den Verbindungsversuchen nichts an.

VG,
Markus

Hallo Rupprecht,

Der Unifi-Controller muss nicht beim freeradius engetragen werden.

In der Konfiguration für Radius im Unifi-Controller muss das selbe “Buchstabensalat” stehen.

Was MSCHAPV2 oder GTC machen, weiß ich nicht. Bei mir geht es ohne.
Das CA-Zertifikat musst du ignorieren (auf nicht validieren), wenn du keines hast.

Wichtig sind die Einstellungen im IPfire!
Schau dazu hier:

Du musst in den Einstellungen unter “Wlan-Netze” dein Radiusprofil hinterlegen.
Die Einstellungen für die Netzwerke werden an die Unifi-Switches gesendet, wenn diese über den Controller verwaltet werden.

VG Daniel

@Daniel: Danke, ich arbeite das durch.

Noch etwas nebenbei: Holger meinte, dass man auf dem Unifi Rechner unter Netzwerke “blau” anlegen soll.
Da sehe ich noch lan: Ein 192er Netz mit DHCP an. Man kann es nicht löschen, nur bearbeiten. Kann das so bleiben oder muss ich da die Daten von grün eintragen?

Gruß,
Markus

Hallo zusammen,
ich habe nun einen aktuellen IPFire und auch im IPFIRE unter Zugriff auf blau “172.16.16.0/24” ohne MAK eingetragen. Mein Problem bleibt.

Was mir durch durcharbeiten aufgefallen ist: Im Screenshot von Holger unter

IPFire DROPt alle DNS Pakete die über Blau rein kommen

sieht man jede Menge Fehlermeldungen ausgehend von blue0. Da sehe ich bei mir garnichts. Ich musste suchen, dass ich blue0 finde und das war dann die IP des Chilli.

Ich möchte kurz mein VLAN beschreiben. Vielleicht habe ich hier einen Denkfehler und deshalb geht es nicht.

Bei mir sind alle Server echte, einzelne Geräte. Ich habe einen 24-Prt D-Link Switch.

Für meinen Testaufbau habe ich mir überlegt (das Schulnetz läuft produktiv weiter, der Test ist sozugen der Unifi AP an einem Port im Serverraum, wo er nicht bleiben wird).

Port 1 bis Port 18: grün
Port 19 Der UNifi AP
Port 20 Blau: Zum IPFIRE
Port 21: Blau: Zum Chilli
Port 22: Blau: unbelegt
Port 23-24 unbelegt

Bei D-LINK gibt es das VLAN 1 mit dem Namen default. Da sind alle Ports untagged. In allen Beispielen, die ich im Netz zu D-Link und VLAN gefunden habe, bleibt das unverändert.

Von mir:
Vlan 2: grün
Port 1-19 untagged
Port 20-22 not member

Vlan 3: blau
Port 1-18 not member
Port 19 tagged
Port 20-22 untagged

PVID:
Port 1-18: PVID 2
Port 19: PVID 1 Das hat mich ein wenig gewundert, aber in einem Beispiel aus dem Netz haben sie es so gemacht: Zwei Firmen VLAN 2 und 3 teilen sich einen Internetzugang: Der gemeinsame Port zum “Internetzugang” hatte da PVID 1. Auch mal 2 probiert, aber dann hat der AP den UNIFI Rechner nicht mehr gefunden.
Port 20-22: PVID 3

Das ganze Schulhaus (grün) geht.
Der Coova geht auch und mit dem Unifi geht der Zugang über das Lehrernetz.

Also kann ich doch mit meiner Config nicht völlig daneben liegen, oder?

Der Zugang über den AP auf das Schüler-WLAN geht nicht. Getestet mit Android Smartphone und Win7 Notebook.

Was mir noch auffällt: Ich bin gerade per SSH auf dem Access-Point und schaue in das log. Er meckert die ganze Zeit, “Jan 1 01:02:45 UBNT user.notice syswrapper: current time is not set yet”

Auf dem Unify-Rechner steht “verbunden”.

Mit fällt auf, der AP und der Unifi Rechner kommen nicht ins Internet. Ich habe sie im Proxy der Ipfire bei uneingeschränkte IP eingetragen. Das scheint aber nicht zu reichen. Ich sehe auch, dass der AP keine aktuelle Firmware hat. Das Upgrade schlägt wegen der fehlenden Internverbindung auch fehl.

Evtl. auch wichtig: Auf dem unifi Rechner: Muss ich untzer Netzwerk neben blau noch grün anlegen, oder trägt man das bei “lan” ein?

VG,
Markus

Hallo,
noch ein Nachtrag. Jetzt kam mir die Idee beim SchülerWLAN statt dem Radius einfach zum test WPA Personal zu nehmen. Ich melde mich an und bin drin. IP auf dem Notebook ist 172.16.16.4. Ich kann surfen.

Damit scheidet wohl ein Fehler im VLAN aus.

Hallo Rupprecht,
ich habe auch D-Link Switche, daran kann es nicht liegen ;).

Mein System sieht prinzipiell so aus:
Ich habe vom Haupstswitch eine blaue Leitung untagged zum Ipfire. Grün untagged zwischen LMN-Server, Unifi-Server (bei mir Unifi- und LMN-Server virtuell). Dann noch eine Leitung grün untagged zum IPfire, dann sollte dein Unifi-Server online gehen können.

Ich gehe zwischen den einzelnen Stockwerken und verschieden Switchen getagged grün und blau. Zusätzlich auch getagged “default”. Das hat den Vorteil, dass du alle Switche über einen beliebigen Switch aus dem “Defaultport” managen kannst. Bei mir ist überall der Port 1 nur default, sonst nix.

Zum AP kommt dann getagged blau und untagged grün.
Die VLAN-ID deines getaggeden VLANs musst auch in der Netzwerkkonfiguration im Unifi-Controller eintragen.

Hast du UDP-Port 1812 auf LMN freigeben? Das braucht der Radiusserver.

Ich habe mich bei der Einrichtung des Unifi-Servers an die Anleitung gehalten.
http://docs.linuxmuster.net/de/latest/systemadministration/network/unifiwifi/index.html
Ebenso bei der Einrichtung des Radius. Hatte davor ebenfalls nichts mit dem Radius am Hut.
http://docs.linuxmuster.net/de/latest/systemadministration/network/radius/index.html

Nach Behebung der IPfire-Probleme (siehe link oben) hat alles funktioniert.
Hast du unter erlaubten Subnetzen bei den Proxy-Einstellungen dein blaues Netz eingetragen?
Vorschlag: Schaue dir nochmal die Anleitung zum Radius durch?!

VG Daniel

Hallo Daniel,

Eigentlich sehe ich den Unterschied nicht. Der Ipfire steckt natürlich auch bei mir an einem der Ports 1-19. Das Problem mit dem Online liegt - denke ich - daran, dass grün im ipfire bei mir nicht transparent ist. Wenn ich mich an einen beliebigen Rechner setze, dann geht ssh z. B. auch nicht nach außen und Internet geht nur, weil im systemweiten Proxy und im Firefox der 10.16.1.254 Port 800 eingetragen ist.

Soweit bin ich ja noch nicht. Der eine Ap hängt zum testen am Hauptswitch im Serverraum. Sicher, ich kann alle Ports bis auf 1 auf not member in default setzen. I vermute ist aber, dass sich das nur auf die Managebarkeit auswirkt, denn in den Beispielen im Internet, wie VLAN bei DLINK geht, waren immer alle Ports member von default. Aber gut, “Versuch macht kluch”.

Genau so bei mir. Ich habe es genau wie im Bild der Anleitung. Nur ich habe bei “VLAN verwenden mit VLAN-iD” eben 3 stehen (bei mir blau).

Ich habe die beiden Anleitungen Schritt für Schritt befolgt.

Letzter Punkt: Muss ich überprüfen. Aber: Der Chilli geht ja, also müsste es eingetragen sein.

Ich habe nun folgendes gemacht: Ich habe den UNIFI Rechner doch in die clients.conf aufgenommen, der localhost vom Testen steht auch noch drin und außerdem habe ich auf dem Unifi Rechner radius-utils installiert.

Nun habe ich getestet: Auf dem Server:
radtest rupprecht MeinPasswort localhost 10 Buchstabensalat
Sending Access-Request of id 138 to 127.0.0.1 port 1812
User-Name = "rupprecht"
User-Password = "MeinPasswort"
NAS-IP-Address = 10.16.1.1
NAS-Port = 10
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=138, length=20

Das Gleiche auf dem unifi Rechner (natürlich mit 10.16.1.1 statt localhost)
radtest rupprecht MeinPasswort 10.16.1.1 10 Buchstabensalat
Sending Access-Request of id 79 to 10.16.1.1 port 1812
User-Name = "rupprecht"
User-Password = "MeinPasswort"
NAS-IP-Address = 127.0.1.1
NAS-Port = 10
Message-Authenticator = 0x00000000000000000000000000000000
Sending Access-Request of id 79 to 10.16.1.1 port 1812
User-Name = "rupprecht"
User-Password = "MeinPAsswort"
NAS-IP-Address = 127.0.1.1
NAS-Port = 10
Message-Authenticator = 0x00000000000000000000000000000000
Sending Access-Request of id 79 to 10.16.1.1 port 1812
User-Name = "rupprecht"
User-Password = "MeinPasswort"
NAS-IP-Address = 127.0.1.1
NAS-Port = 10
Message-Authenticator = 0x00000000000000000000000000000000
radclient: no response from server for ID 79 socket 3

Mir fällt 127.0.1.1 ins Auge. Naja, steht ja so in /etc/hosts. Ansonsten: Aha, ich komme also nicht von aussen zum freeradius.

Gemacht:
Nun muss die Firewall konfiguriert werden, damit die Anfragen auch auf dem Server ankommen (UDP, Port 1182). Dazu bearbeitet man die Datei /etc/linuxmuster/allowed_ports und fügt in der Zeile “udp” den entsprechenden Port hinzu.


udp domain, … , 1182

Damit die Änderungen auf der Firewall (IPFire) wirksam werden, geben Sie bitte folgenden Befehl ein:

$ service linuxmuster-base restart

Genau so gemacht. Ich stehe auf dem Schlauch. Wenn es wirklich ein Tippfehler ist, dann habe ich schon 10x darüber gelesen, ohne es zu bemerken.

Nebenbei:

07:53/0 server /etc/freeradius/sites-available # nmap -sU 10.16.1.1

Starting Nmap 5.21 ( http://nmap.org ) at 2018-02-10 07:54 CET
Nmap scan report for server.srf.lokal (10.16.1.1)
Host is up (0.000010s latency).
Not shown: 988 closed ports
PORT STATE SERVICE
53/udp open domain
67/udp open|filtered dhcps
69/udp open|filtered tftp
111/udp open rpcbind
123/udp open ntp
137/udp open netbios-ns
138/udp open|filtered netbios-dgm
631/udp open|filtered ipp
1812/udp open|filtered radius
1813/udp open|filtered radacct
2049/udp open nfs
5353/udp open|filtered zeroconf

Nmap done: 1 IP address (1 host up) scanned in 1.28 seconds

Mache ich nmap 10.16.1.1 von Unifi auf den Server:
sudo nmap -sU 10.16.1.1 -p 1182

Starting Nmap 7.01 ( https://nmap.org ) at 2018-02-10 08:15 CET
Nmap scan report for server.srf.lokal (10.16.1.1)
Host is up (0.000068s latency).
PORT STATE SERVICE
1182/udp closed unknown
MAC Address: BC:5F:F4:4D:4A:34 (ASRock Incorporation)

Nmap done: 1 IP address (1 host up) scanned in 0.53 seconds

Aha. Also der IPFire. Bloss wo? Außerdem sind das natürlich alles tests von grün (unifi) auf grün (server). Jetzt müsste ich in die Schule fahren, ein Notebook an blau anschließen und sehen, ob da 1182 offen ist. Aber wahrscheinlich ist er nicht, aus welchen Gründen auch immer. Denn mein Radius log zeigt bei radtest von außen nichts an.

Gruß und weiterhin vielen Dank fürs Mitdenken

Markus

Hallo Markus,

Mir fällt 127.0.1.1 ins Auge. Ansonsten: Aha, ich komme also nicht von
aussen zum freeradius.

da fehlt wohl die Regel im IPFire
Von BLAU nach 10.16.1.1 RADIUSPORT

Dass es vom Coova aus geht liegt wohl dara, dass du eine Regel

Von CoovaIP nach 10.16.1.1 RAIDUSPORT
hast

LG

Holger

Hi Holger,

Das einizige, wo ich bei den Firewallregeln die IP vom Chilli (172.16.16.2) sehe, ist bei ssh: grün 10.16.1.1 22 auf 172.16.16.2 Port 22 (SSH auf Chilli)

Ich habe -wie Du gesagt hast - noch eine Regel blau nach 10.16.1.1 Port 1182 (und auf 1183, 1184) hinzugefügt. Ergebnis: Wie gehabt: tail -f /var/log/freeradius/radius.log zeigt keinen Verbindungsversuch von außen. Wie gesagt: Der Test von localhost aus der Anleitung geht.

Was mir nicht kar ist: Der Unifi AP liegt ja eigentlich mit fester IP in grün. Blau ist “ja nur” ein zusätzliches Netz mit vlan.

Worüber wickelt der eigentlich seine Kommunikation ab? Ist es wirklich so, dass er über blau versucht, auf den 10.16.1.1 port 1182 zu kommen?

Wenn ich mir die clients.conf so ansehe:
client u03-wlan {
ipaddr = 10.20.3.254
secret = xyz
}

Da steht doch gar keine IP in blau. D.h. , er wird versuchen, über grün an radius zu kommen.

Wenn ich denr adtest auf dem unifi Rechner mache:

Sending Access-Request of id 73 to 10.16.1.1 port 1812
User-Name = "rupprecht"
User-Password = "xyz"
NAS-IP-Address = 127.0.1.1
NAS-Port = 10
Message-Authenticator = 0x00000000000000000000000000000000
radclient: no response from server for ID 73 socket 3

Ich blicke nicht (mehr) durch.

Gruß,
Markus

Noch eine Frage: Ich habe jetzt einmal freeradius mit -x per Hand gestartet:

radiusd: #### Opening IP addresses and Ports ####
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on authentication address 127.0.0.1 port 18120 as server inner-tunnel
Listening on proxy address * port 1814
Ready to process requests.

Mir fällt es gerade wie Schuppen von den Augen: In der Anleitung steht konsquent port 1182:

Hier sehe ich 1812. Ist das ein Zahlendreher? Offensichtlich.

Nun bin ich mit dem Handy drin. Mit dem Win7 Laptop klappt es nicht.

Habe folgendes gefunden:
You need to manually create a wireless profile for this SSID and then on the security tab:

  1. Edit MS PEAP Parameters, unchek the box ‘Validate Sever Certificate’ and click the Configure button above Secured Password (EAP-MSCHAP v2) to uncheck the box ‘Automatically use my Windows username and password’.

  2. Click Advanced Parameters button, check the box Specify authentication mode to User Authentication.

Das ist natürlich völlig unzumutbar. Gerade in blau für die Schüler. Wie geht es nun weiter?

Ich habe in einem anderen Threat gelesen, dass es wohl so etwas wie ein Captive Portal für Unifi geben soll. Richtig? Wäre das etwas für mich. Das captive portal vom Chilli kennen die Schüler und kommen damit klar.
Gruß,
Markus