Unifi AP: WPA-Enterprise mit RADIUS klappt nicht

Hallo zusammen,

ich habe folgendes kleines Testsystem aufgebaut:


Mit dem Unif-AP möchte ich gerne zwei WLANs Aufspannen:

  • WLAN für Schulgeräte VLAN 16 wird zum AP untagged weiter gegeben
  • Schüler-WLAN VLAN 10 wird an den AP getagged weiter gegeben

Das WLAN für Schulgeräte läuft.
Beim Schüler-WLAN habe ich die Folgenden Einstellungen:


Wenn ich mich am Schüler-WLAN anmelde, erhalte ich die folgende log-Datei auf dem AP:

Jan 1 01:24:01 HS01 daemon.info hostapd: wl1.1: STA 2c:f0:ee:37:b8:f6 IEEE 802.11: associated
Jan 1 01:24:01 HS01 daemon.notice hostapd: CTRL-EVENT-EAP-STARTED 2c:f0:ee:37:b8:f6
Jan 1 01:24:01 HS01 daemon.notice hostapd: CTRL-EVENT-EAP-PROPOSED-METHOD vendor=0 method=1
Jan 1 01:24:02 HS01 daemon.warn hostapd: wl1.1: STA 2c:f0:ee:37:b8:f6 IEEE 802.1X: could not extract EAP-Message from RADIUS message
Jan 1 01:24:02 HS01 daemon.warn hostapd: wl1.1: STA 2c:f0:ee:37:b8:f6 IEEE 802.1X: authentication failed - EAP type: 0 ((null))
Jan 1 01:24:02 HS01 daemon.info hostapd: wl1.1: STA 2c:f0:ee:37:b8:f6 IEEE 802.1X: Supplicant used different EAP type: 1 (Identity)

Besonders beunruhigend finde ich diese Meldung:

could not extract EAP-Message from RADIUS message

Den Radius habe ich wie hier beschrieben installiert.

Auf dem Server habe ich die folgende Ausgabe:

10:16/0 server /etc/freeradius # radtest frayka muster localhost 10 testing123
Sending Access-Request of id 43 to 127.0.0.1 port 1812
User-Name = „frayka“
User-Password = „muster“
NAS-IP-Address = 10.16.1.1
NAS-Port = 10
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=43, length=61
Reply-Message = „You are not allowed to access the WLAN!“
10:23/1 server /etc/freeradius # radtest frayka muster localhost 10 testing123
Sending Access-Request of id 56 to 127.0.0.1 port 1812
User-Name = „frayka“
User-Password = „muster“
NAS-IP-Address = 10.16.1.1
NAS-Port = 10
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=56, length=20
10:24/0 server /etc/freeradius #

Kann mir jemand einen Tipp geben?

Moin,

in der /etc/freeradius/eap.conf habe ich folgende Zeilen im Abschnitt peap:
use_tunneled_reply = yes

auf yes gesetzt.

Meine users im selben Verzeichnis sieht so aus:

DEFAULT Group == teachers
                Tunnel-Type = "13",
                Tunnel-Medium-Type = "6",
                Tunnel-Private-Group-Id = "310"

DEFAULT Group == p_wifi
                Tunnel-Type = "13",
                Tunnel-Medium-Type = "6",
                Tunnel-Private-Group-Id = "320"

# linuxmuster.net -- automatic entries below this line
DEFAULT Auth-Type := REJECT
    Reply-Message = "Sie dürfen momentan nicht auf das WLAN zugreifen."
# linuxmuster.net -- automatic entries above this line

Hallo Hendrik,

ich hab’s mal ausprobiert.
use_tunneled_reply = yes
hat leider nichts geändert. Aber ich habe etwas anderes herausbekommen:
Stellt man in /etc/freeradius/eap.conf unter

eap { ... default_eap_type = md5
ein, so findet die Passwortübertragung unverschlüsselt statt. Leider Wollen/Können das Apple- und Windowsgeräte nicht.

Gruß,

Mathias

Und was sagt der FreeRadius als Fehlermeldung?

Also mal freeradius -X starten und den Output posten! Dann haben wir Klarheit…

Gruß
Hendrik

Hallo Hendrik,

log.txt (95,4 KB)
Vielleicht kannst Du ja was damit anfangen …

Gruß,

Mathias

Häng bitte mal
/etc/freeradius/sites-available/inner-tunnel
und
/etc/freeradius/eap.conf an, damit ich die mal vergleichen kann.

Scheinbar versucht er per NTLM zu authentifizieren und das schlägt bei mschap einfach fehl…

[mschap] No Cleartext-Password configured.  Cannot create LM-Password.
[mschap] No Cleartext-Password configured.  Cannot create NT-Password.
[mschap] Creating challenge hash with username: ba
[mschap] Told to do MS-CHAPv2 for ba with NT-Password
[mschap] FAILED: No NT/LM-Password.  Cannot perform authentication.
[mschap] FAILED: MS-CHAP2-Response is incorrect
++[mschap] returns reject#

Gegen LDAP klappt die AUTH aber:

  [ldap] userPassword -> Password-With-Header == "{SSHA}k34tVPH7w2Q9PkhPWJYvQQW64fAyTGFvQWhGSWZ1ajZGWG82bndLdzBvNlUzYXdmS3k1Wg=="
  [ldap] sambaNtPassword -> NT-Password == 0x3230363135433634303636393632354132364537443741463943454132434442
  [ldap] sambaLmPassword -> LM-Password == 0x4632453138363245303531433143394641414433423433354235313430344545
[ldap] looking for reply items in directory...
[ldap] user ba authorized to use remote access
  [ldap] ldap_release_conn: Release Id: 0
++[ldap] returns ok

Viele Grüße
Hendrik

Hallo Hendrik,

ich hab’s :relaxed: :
In /etc/freeradius/sites-available/inner-tunnel war bei authorize {
ldap auskommentiert.

Vielen Dank für’s Mitdenken.

Gruß,

Mathias

Hallo Matthias,

freut mich für Dich.
Könntest Du bitte den Thread als gelöst markieren.

Gruß
Manfred