Opnsense - FreeRadius - 802.1x

Es gibt 2 Antworten in diesem Thema, welches 3.340 mal aufgerufen wurde. Der letzte Beitrag () ist von KJL.

    Servus ihr Lieben,


    ich wollte heute mal ein lang gewünschtes Projekt umsetzen.


    Und zwar die Nutzung von 802.1x.


    Was habe ich dazu getan?


    -Installation des FreeRadius Plugin´s auf der Opnsense

    -Einrichtung eines Servers für den FreeRadius auf der Opnsense

    -Aktivierung der 802.1x Steuerung für mein Test WLAN

    -Anlegen eines Benutzers im FreeRadius


    Soweit so gut dachte ich aber leider hängt es aktuell an der Abfrage meines AP´s am FreeRadius Server.


    Hier mal ein paar Screenshots und Infos.


    FreeRadius Plugin ist aktiviert und die VLAN Zuweisung auch.


    Benutzer im FreeRadius angelegt:

    Benutzername und Passwort sind die MAC Adresse vom Testlaptop.


    Server für den FreeRadius auf der Opnsense angelegt:

    Der Server hat hier einfachheitshalber die gleiche IP bekommen wie die Opnsense.

    Im erweiterten Anzeigemodus für den Benutzer habe ich den Diensttyp 13 ausgewählt.


    Anlegen des Radiusprofils im Unifi Network:


    Im Testwlan die MAC Authentifizierung aktiviert:


    So nun wähle ich am Laptop unter verfügbare Netzwerke mein Testnetz aus und drücke auf verbinden aber irgendwie kommt es zu keiner Authentifizierung aber mir will nicht so recht ne Lösung bisher einfallen.

    Im FreeRadius sehe ich in der Protokolldatei folgenden Eintrag:


    Error: Ignoring request to auth address * port 1812 bound to server default from unknown client 192.168.1.105 port 43233 proto udp


    Soweit wie ich das sehe kommt die Anfrage über meinen AP (der hat die 105) an meinem FreeRadius Server auch an wird aber dann wegen Unbekanntheit abgelehnt.

    Das sagt mir im ersten Moment ja eigentlich dass die Verbindung/Weiterleitung der Anmeldung an den Server problemlos funktioniert.

    Aktuell tippe ich ja auf eine Fehleinstellung im angelegten Benutzer oder aber mein Laptop sendet nicht seine WLAN MAC Adresse als Benutzername und Passwort.


    Könnt ihr mich in meiner Vermutung bestätigen und mir vielleicht mal den richtigen Denkanstoß geben wie ich das ganze ans Laufen bekomme?


    Edit:

    Kurz noch die betroffenen IP Adressen/Netze:

    192.168.1.1 meine Opnsense

    192.168.1.105 mein AP

    192.168.1.0 /24 MGMT Netzwerk

    192.168.200.0 /24 Das Netz in das der Laptop zugewiesen werden soll

    Hallo,


    bin nicht so tief da drin, aber meine, das für den AP auch einen Client-User anlegen musst, steht zumindest auch so in der Doku.

    der AP stellt ja die Anfrage an den Radius-Server.

    Das hat leider auch nicht den gewünschten Erfolg gebracht.


    Ich werd mal schauen wie ich den Traffic vom AP zur Opnsense sniffen kann vielleicht sehe ich dann wie er sich meldet.


    Dass er den Client (AP 1te Etage), im neu getesteten Fall , auch nicht erkennt lässt mich ein bisschen vermuten dass die Credentials nicht im richtigen Format übertragen werden.



    Ich schieb mal noch ne Skizze des Aufbaus nach: