Unifi & Radius: neue Verbindiungsprobleme bei manchen Appleclients

Infrastruktur WLAN
1

Hallo Liste,

unser Wlan mit Unifi Hardware und Authentifizierung am Freeradius Server des Servers funktioniert bisher prima. Nun beschweren sich seit ein paar Tagen manche Kollegen darüber, dass ihre Macbooks oder manche Iphones nicht mehr ins Wlan kommen. Das sieht im Log in /var/log/freeradius dann etwa so aus:

Error: TLS Alert read:warning:close notify
Error: TLS_accept: failed in SSLv3 read client certificate A
Error: rlm_eap: SSL error error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
Error: SSL: SSL_read failed in a system call (-1), TLS session fails.
Auth: Login incorrect (TLS Alert read:warning:close notify): [xxx] (from client rsrvap01 port 0 cli D4-61-9D-1B-70-EC)

(Bei “xxx” steht der Benutzername. Mit dem selben Account kann sich der Kollege aber mit einem anderen Gerät problemlos anmelden.)

Für mich sieht das so aus als ob das Problem irgendetwas mit den Zertifikaten zu tun hat aber aus Google werde ich gerade nicht schlau und falls jemandem von euch dazu etwas einfällt…

  1. Sind die Zertifikate abgelaufen ? Ich hatte sie vor ziemlich genau einem Jahr erzeugt.

-> Jährlich neu erzeugen ? Dann müsste man sie auch bei allen Geräten neu installieren :frowning:

  1. Gab es ein Update in iOS oder MacOs welchem unsere Zertifikate bzw. die Verschlüsselung nicht mehr sicher genug sind ?

Danke fürs Mitdenken

Gruß
Martin

2

Hallo Martin,

haben seit heute auch diesen Fehler. Scheint mit dem letzten macOS Update zusammenzuhängen. Ich melde mich, wenn wir was rausgefunden haben.

vG Stephan

3

Hi,

das scheint auch öfter der Fall zu sein… Bisher habe ich keine Lösung gefunden, die nicht Bastelei mit Zertifikaten auf jedem betroffenen Client erfordern würde. Ich bin mir nicht so ganz sicher ob das wirklich in meinen Tätigkeitsbereich fallen muss. Wenn es mit einmal neuen Zertifikaten auf dem Radiusserver getan ist, dann wäre das etwas anderes.

Gruß
Martin

4

Kann ich bestätigen. Mac User, die das neueste iOS installiert haben haben bei uns auch das Problem.

Vg Manuel

5

Hi,

was ich bisher so gelesen habe, scheint es damit zusammenzuhängen, dass die Zertifikate nicht richtig signiert sind bzw. mit einem zu unsicheren Algorithmus (MD5, SHA-512, …). Das liegt daran, dass der freeradius Server von Ubuntu 12.04 natürlich recht alt ist.

Wir haben jetzt noch keine der Lösungen getestet, aber so könnte man es wahrscheinlich lösen:

  • das (alte) Server-Zertifikat auf allen betroffenen Geräten importieren und vertrauen
  • die Server-Zertifikate neu generieren mit einem aktuellen und sicheren Algorithmus signieren
  • evtl. einen separaten / aktuelleren freeradius-Server aufsetzen, der passende Zertifikate erzeugen kann.

vG Stephan

6

Hallo,

wäre denn ein Upgrade des Freeradius-Servers der LML möglich ?

Gruß
Martin

7

Hi,

ich glaube kaum. Du kannst aber einen aktuelleren separat aufsetzen in einer extra VM / Rechner.

vG

8

Frage interessehalber: sind das selbstsignierte Zertifikate? Oder welche von Let’s Encrypt?

9

Selbstsignierte. Ich habe gelesen dass die von Let’s Encrypt nur drei Monate gültig sind und das ist IMHO zu kurz.

Die Gärtner haben uns ein Glasfaserkabel gekappt… Solange ist ohnehin erstmal Funkstille an der Schulnetzwerkfront :slight_smile:

10

Hallo,

ich habe gestern mal einen neuen Freeradius-Server unter Ubuntu 18.04 aufgesetzt. Damit können sich die betroffenen Apple-Geräte wieder verbinden.

Bin aber noch dran eine Lösung für den älteren Freeradius unter Ubuntu 12.04 zu finden - falls es eine gibt.

vG Stephan

11

So wie es aussieht, reicht es, wenn man neue Zertifikate erstellt. Ich bin im Großen und Ganzen dieser Anleitung gefolgt:

https://www.ossramblings.com/using-freeradius-ubuntu-server-wifi

mit folgenden Werten:

default_md = sha256
default_bits = 4096

vG

12

Hallo Stephan,

dass es was mit der Schlüssellänge zu tun haben könnte hatte ich auch schon vermutet. Dein Link ist aber richtig gut ! Ich probiere das diese Woche noch und berichte dann hier…

IMHO würde das dann nach sich ziehen dass sich alle Wlan Clients neu anmelden müssten, was nicht weiter schlimm ist. Bei den Win7 Clients müssten dann die neuen Zertifikate installiert werden. Davon habe ich aber gottseidank nur eine überschaubare Anzahl.

Danke & Gruß

Martin

13

Hallo,

ich habe die Zertifikate neu erzeugt. Mit der Anleitung von “OSS Ramblings” bin ich allerdings nicht weiter gekommen denn da stimmen die Pfade usw. nicht mit meiner Installtion überein. Ich bin so vorgegangen:

  1. Verzeichnisse sichern:

/etc/freeradius/certs
/root/certs

  1. In /root/certs die Dateien ca.cnf und server.cnf wie von Zefanja beschrieben ändern:

default_md = sha256 (Die Anleitung scheint nur “sha1” vorzusehen, aber mit sha256 läufts auch durch.)
default_bits = 4096

  1. Zertifikate löschen und neu erzeugen nach der Anleitung in

/root/certs/README

rm -f *.pem *.der *.csr *.crt .key .p12 serial index.txt

und

Abschnitte:
MAKING A ROOT CERTIFICATE
MAKING A SERVER CERTIFICATE

##################################################################
! Beim ersten Versuch, das Server Zertifikat zu erzeugen kam die Fehlermeldung:

unable to load number from .//serial
error while loading serial number

Die Datei “serial” enthält offenbar die Seriennummer des Serverzertifikats und war nicht mehr vorhanden. Ich habe dann von Hand die Datei mit dem Inhalt “01” erzeugt und dann lief die Erstellung des Zertifikats durch.
##################################################################

  1. Neue Zertifikate nach /etc/freeradius/certs kopieren, d.h. alle Dateien ca.* und server.*

  2. Freeradius neu starten.

Win 7 und Android scheinen sich nahtlos mit den neuen Zertifikaten abzufinden, andere Geräte habe ich gerade keine da. Bin mal gespannt was ich am Montag Morgen zu hören kriege :slight_smile:

Schönes Wochenende !

Martin

14

Hallo,

laut Feedback meiner Apfelkollegen ist das Problem nun allgemein behoben.

Gruß und schöne Ferien !

Martin