sabeth 10 Geschrieben 2. November 2005 Melden Teilen Geschrieben 2. November 2005 Hallo, ich hoffe hier kann mir jemand weiter helfen! Google war leider bisher nicht sehr hilfreich und ich habe keine Ideen mehr was ich falsch mache! Ich habe einen Freeradius-Server (IP 192.168.1.10), die Authentifizierung läuft! Nun habe ich eine einfache ACL auf meinem Access Point (Cisco Aironet 1200) liegen: ip access-list extended test11 permit udp any host 192.168.1.10 eq 1812 <- für Radius permit udp any host 192.168.1.10 eq 80 <- für meinen Webserver permit udp any any eq bootps <- DHCP Wenn ich diese ACL auf ein VLAN Interface direct anwende (ip access-group test11 in) funktioniert es! Der Eintrag bei users sieht so aus: client Auth-Type := EAP, User-Password == "xxx" Tunnel-Type = 13, Tunnel-Medium-Type = 6 Tunnel-Private-Group-Id = 11, Filter-Id = "test11" Ich habe es auch schon mit "test11.in" versucht, sowie mit cisco-avpair, kein Erfolg! Wenn ich debug radius aktiviere erscheint keine ersichtliche Fehlermeldung: *Mar 1 06:55:13.743 RADIUS: Filter-Id [11] 8 *Mar 1 06:55:13.743 RADIUS: 31 31 31 3E... [test11] Ich bin für jeden Hinweis dankbar!! Gruß Franka Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 2. November 2005 Melden Teilen Geschrieben 2. November 2005 Hi Franka, ...und was funktioniert jetzt nicht, ich versteh das Problem nicht ganz... Gruss Rob Zitieren Link zu diesem Kommentar
sabeth 10 Geschrieben 2. November 2005 Autor Melden Teilen Geschrieben 2. November 2005 LOL... äh ja! Also wenn ich es über RADIUS laufen lasse, geht es nicht! Der Eintrag scheint keinen Effekt zu haben! Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 2. November 2005 Melden Teilen Geschrieben 2. November 2005 Hi, also allzugut kenn ich mich mit Radius nicht aus, allerdings benötigst du ev. auch udp 1813 fürs Accounting... Füge an der ACL am Ende "deny ip any any log" ein. Dann noch im global Mode #terminal monitor und versuchs nochmal. ..vielleicht wird irgendwas geblockt.. Gruss THomas Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 3. November 2005 Melden Teilen Geschrieben 3. November 2005 ich glaub aeltere (oder alle?) Systeme benutzen als Port fuer Radius 1645, FreeRadius allerdings 1812. Ich hab das bei mir fest eingetragen aaa group server radius radius01 server 81.24.66.7 auth-port 1812 acct-port 1813 Schau doch mal bei deinem Radiusserver was fuer Ports offen sind ob da Pakete ankommen? Ich unterstelle mal du hast Linux: netstat -tupan <-- welche Ports offen tcpdump host <ciscoip> -n <-- schauen ob Pakete ankommen Zitieren Link zu diesem Kommentar
sabeth 10 Geschrieben 3. November 2005 Autor Melden Teilen Geschrieben 3. November 2005 Hi, danke für eure Antworten, leider klappt es immer noch nicht! Meine Access Liste sieht nun so aus: ip access-list extended test11 permit udp any host 192.168.1.10 eq 1812 permit udp any host 192.168.1.10 eq 1813 permit udp any host 192.168.1.10 eq 80 permit udp any any eq bootps deny ip any any log Die Ports stimmen! Er blockt nur leider gar nichts! Die Verbindung wird hergestellt (das ist ja auch erlaubt) aber ich kann zum Beispiel weiterhin pings absenden! Das sollte ja nun eigentlich nicht mehr gehen! Mein AP verwendet die ACL gar nicht, wenn ich es ihm über RADIUS sage, scheinbar ist dort irgendwas falsch, aber ich weiß leider nicht was!? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 3. November 2005 Melden Teilen Geschrieben 3. November 2005 Dann starte doch deinen Radius mit "-x" damit er nicht in den Background geht und die Debugs auf die Console schmeisst. Und beim tcpdump kannste noch -X -s 0 angeben dann wird dir noch der Inhalt der Radiuspakete angezeigt. Da stehen dann meisstens auch Fehlermeldungen drin (im Klartext) Zitieren Link zu diesem Kommentar
sabeth 10 Geschrieben 3. November 2005 Autor Melden Teilen Geschrieben 3. November 2005 Also hier ein ausschnitt des tcpdumps: 10:25:18.943436 IP 192.168.2.10.21645 > 192.168.1.10.radius: RADIUS, Access Request (1), id: 0x1f length: 138 0x0000: 4500 00a6 0032 0000 fe11 37b0 c0a8 020a E....2....7..... 0x0010: c0a8 010a 548d 0714 0092 503c 011f 008a ....T.....P<.... 0x0020: 4e32 6bc7 560b 61e5 7100 83d9 cdf0 fd81 N2k.V.a.q....... 0x0030: 010a 636c 6965 6e74 3031 0c06 0000 0578 ..client01.....x 0x0040: 1e10 3030 3065 2e38 3362 362e 3732 3032 ..000e.83b6.7202 0x0050: 1f10 3030 3930 2e34 6237 642e 6230 6665 ..0090.4b7d.b0fe 0x0060: 5012 2156 373d 1bf6 d79d 553c fae0 5013 P.!V7=....U<..P. 0x0070: 30cb 4f0f 0202 000d 0163 6c69 656e 7430 0.O......client0 0x0080: 313d 0600 0000 1305 0600 0001 1b06 0600 1=.............. 0x0090: 0000 0204 06c0 a802 0a20 0d41 6363 6573 ...........Acces 0x00a0: 7350 6f69 6e74 sPoint 10:25:18.944774 IP 192.168.1.10.radius > 192.168.2.10.21645: RADIUS, Access Challenge (11), id: 0x1f length: 88 0x0000: 4500 0074 0000 4000 4011 b614 c0a8 010a E..t..@.@....... 0x0010: c0a8 020a 0714 548d 0060 da14 0b1f 0058 ......T..`.....X 0x0020: 3b73 6c7a 2fdd fee9 3049 302d 432d 209c ;slz/...0I0-C-.. 0x0030: 4006 0000 000d 4106 0000 0006 5104 3131 @.....A.....Q.11 0x0040: 0b08 3131 312e 696e 4f08 0103 0006 0d20 ..111.inO....... 0x0050: 5012 5d5b 6041 dc65 a135 e6f3 d499 3bc0 P.][`A.e.5....;. 0x0060: 2afd 1812 60e4 a09a 5a6b 06a9 1079 c1e3 *...`...Zk...y.. 0x0070: a6b3 c5ff .... Zitieren Link zu diesem Kommentar
sabeth 10 Geschrieben 3. November 2005 Autor Melden Teilen Geschrieben 3. November 2005 Und vom Radiuslog rad_recv: Access-Request packet from host 192.168.2.10:21645, id=87, length=255 User-Name = "client01" Framed-MTU = 1400 Called-Station-Id = "000e.83b6.7202" Calling-Station-Id = "0090.4b7d.b0fe" Message-Authenticator = 0x01f184ff7a9d84666d716b0bee9719ba EAP-Message = 000a000900640062000300060013001200630100... NAS-Port-Type = Wireless-802.11 NAS-Port = 290 State = 0xb4f38bb446fa5dc1dd4bfb1f82e68ae8 Service-Type = Framed-User NAS-IP-Address = 192.168.2.10 NAS-Identifier = "AccessPoint" Processing the authorize section of radiusd.conf modcall: entering group authorize for request 1 modcall[authorize]: module "preprocess" returns ok for request 1 modcall[authorize]: module "chap" returns noop for request 1 modcall[authorize]: module "mschap" returns noop for request 1 rlm_realm: No '@' in User-Name = "client01", looking up realm NULL rlm_realm: No such realm "NULL" modcall[authorize]: module "suffix" returns noop for request 1 rlm_eap: EAP packet type response id 3 length 112 rlm_eap: No EAP Start, assuming it's an on-going EAP conversation modcall[authorize]: module "eap" returns updated for request 1 users: Matched entry client01 at line 98 modcall[authorize]: module "files" returns ok for request 1 modcall: group authorize returns updated for request 1 rad_check_password: Found Auth-Type EAP auth: type "EAP" Processing the authenticate section of radiusd.conf modcall: entering group authenticate for request 1 rlm_eap: Request found, released from the list rlm_eap: EAP/tls rlm_eap: processing type tls rlm_eap_tls: Authenticate rlm_eap_tls: processing TLS rlm_eap_tls: Length Included eaptls_verify returned 11 (other): before/accept initialization TLS_accept: before/accept initialization rlm_eap_tls: <<< TLS 1.0 Handshake [length 0061], ClientHello TLS_accept: SSLv3 read client hello A rlm_eap_tls: >>> TLS 1.0 Handshake [length 004a], ServerHello TLS_accept: SSLv3 write server hello A rlm_eap_tls: >>> TLS 1.0 Handshake [length 0da9], Certificate TLS_accept: SSLv3 write certificate A rlm_eap_tls: >>> TLS 1.0 Handshake [length 0093], CertificateRequest TLS_accept: SSLv3 write certificate request A TLS_accept: SSLv3 flush data TLS_accept:error in SSLv3 read client certificate A In SSL Handshake Phase In SSL Accept mode eaptls_process returned 13 modcall[authenticate]: module "eap" returns handled for request 1 modcall: group authenticate returns handled for request 1 Sending Access-Challenge of id 87 to 192.168.2.10:21645 Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "11" [b]Filter-Id = "test11"[/b] EAP-Message = 0x0104040a0dc000000e95160301004a02000... EAP-Message = 0x864886f70d010901160433363530301e170... EAP-Message = 0x6e658fce087394c2701545de389be5a1265... EAP-Message = 0x19d835795cef6bff6f2221593ff178b7b1840... EAP-Message = 0x480186f842010d041e161c54696e7943412047656e65 Message-Authenticator = 0x00000000000000000000000000000000 State = 0xd9a52f6478376abbc843edcdb1eece8f Finished request 1 ALso der RADIUS-Log gibt keine Fehlermeldung aus! Durch den TCPdump steig ich nicht durch! Sieht aber ok aus auf den ersten Blick! Zitieren Link zu diesem Kommentar
sabeth 10 Geschrieben 3. November 2005 Autor Melden Teilen Geschrieben 3. November 2005 Ok, ich konnte das Problem weiter einkreisen! Es liegt wohl an den VLAN die ich besitze! Allerdings endet da auch schon mein Wissen! Zitieren Link zu diesem Kommentar
joergsi 10 Geschrieben 8. November 2005 Melden Teilen Geschrieben 8. November 2005 Füge an der ACL am Ende "deny ip any any log" ein. Dann noch im global Mode #terminal monitor Zitieren Link zu diesem Kommentar
joergsi 10 Geschrieben 8. November 2005 Melden Teilen Geschrieben 8. November 2005 Hallo, das deny IP kann man sich sparen, da alles geblockt wird, was nicht erlaubt wird -> explicit denied steht 'unsichtbar' am Ende jeder ACL MfG Jörg Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 8. November 2005 Melden Teilen Geschrieben 8. November 2005 DAnke, das weiss ich auch! Es dient dazu, zu loggen WAS geblockt wird... Thomas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.