L-54ag als Radius-Server für 802.1X

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

rezzler
Beiträge: 9
Registriert: 30 Mai 2008, 18:10
Wohnort: 384kbit/s-Dorf

L-54ag als Radius-Server für 802.1X

Beitrag von rezzler »

Ich betreibe gerade auf einem L-54ag den integrieten Radius-Server und mir dient ein funkwerk-Router als Authenticator.

Problem dabei ist nun: es geht nicht :lol:

Mein Client (Windows XP) meldet beim Verbinden nur ewig lange "Identität wird bestätigt".

Auf meinem funkwerk-Router steht im Log dann meist folgendes, gerne auch als Wiederholung:
15:56:03 Auth: [00:13:CE:B3:YY:XX]: Received EAP Response Identity from Client <EapolProcessFrame>
15:56:03 Auth: [00:13:CE:B3:YY:XX]: Send Request ID to Client <EapolTxReqId>
15:56:03 Auth: [00:13:CE:B3:YY:XX]: EAPOL Start from Client <EapolProcessFrame>
Manchmal wird der Radius-Server auch nicht erreicht, obwohl ein Ping auf dessen IP immer funktioniert.

Default-Methode auf dem Lancom ist TTLS, Benutzer sind auch hinterlegt, nur geht eben nichts.

Hat da jemand noch nen Tipp für mich?
Ist schon irgendwie krass
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

was erzählt denn so ein RADIUS-Server-Trace auf dem LANCOM?

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
rezzler
Beiträge: 9
Registriert: 30 Mai 2008, 18:10
Wohnort: 384kbit/s-Dorf

Beitrag von rezzler »

Der erzählt folgendes:
root@L-54ag:/
> trace + radius
RADIUS-Client ON
RADIUS-Server ON
RADSEC ON

root@L-54ag:/
>
[RADIUS-Server] 1900/01/01 00:10:31,190
Checking for dead accounting sessions:


[RADIUS-Server] 1900/01/01 00:10:34,110
Received RADIUS authentication request 1 from client 192.168.10.13:28338[INTRANE
T]:
-->known attributes of request:
User-Name : niemals
NAS-Identifier : wi2065n-KREUZ
NAS-Port : 300000
NAS-Port-Type : Wireless - IEEE 802.11
Called-Station-Id : 02-6F-81-F5-YY-XX:Landsender
Calling-Station-Id : 00-13-CE-B3-YY-XX
Message-Authenticator:
0000: 75 c9 9c ce c9 ff af 99 92 dd ee 6b 88 ba a0 8f u..........k....
Connect-Info : CONNECT 54Mbps IEEE802.11g
Framed-MTU : 1492
EAP-Message:
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 1
EAP Packet Len : 12
EAP Packet Type : Identity
Identity String : niemals
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->found user in database(s)
-->authenticating via EAP
-->queueing request for later response


[RADIUS-Server] 1900/01/01 00:10:34,120
Got Response for queued RADIUS request 1 from client 192.168.10.13:28338[INTRANE
T]:
-->response type is Challenge, response attributes:
State:
0000: 2d bc 19 d8 16 de 0c ec 0b 6f 06 76 05 b7 83 3b -........o.v...;
Session-Timeout : 5 s
-->sending response


[RADIUS-Server] 1900/01/01 00:10:35,590
Received RADIUS authentication request 2 from client 192.168.10.13:28338[INTRANE
T]:
-->known attributes of request:
User-Name : niemals
NAS-Identifier : wi2065n-KREUZ
NAS-Port : 300000
NAS-Port-Type : Wireless - IEEE 802.11
Called-Station-Id : 02-6F-81-F5-YY-XX:Landsender
Calling-Station-Id : 00-13-CE-B3-YY-XX
Message-Authenticator:
0000: 16 cb b9 72 e5 13 27 07 30 4f cb 03 db 0d 1b 66 ...r..'.0O.....f
Connect-Info : CONNECT 54Mbps IEEE802.11g
Framed-MTU : 1492
EAP-Message:
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 3
EAP Packet Len : 12
EAP Packet Type : Identity
Identity String : niemals
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->found user in database(s)
-->authenticating via EAP
-->queueing request for later response


[RADIUS-Server] 1900/01/01 00:10:35,600
Got Response for queued RADIUS request 2 from client 192.168.10.13:28338[INTRANE
T]:
-->response type is Challenge, response attributes:
State:
0000: ef 63 42 bd 9a 09 22 7e 4d 04 91 3f cb 3a cb bf .cB..."~M..?.:..
Session-Timeout : 5 s
-->sending response


[RADIUS-Server] 1900/01/01 00:10:37,230
Received RADIUS authentication request 3 from client 192.168.10.13:28338[INTRANE
T]:
-->known attributes of request:
User-Name : niemals
NAS-Identifier : wi2065n-KREUZ
NAS-Port : 300000
NAS-Port-Type : Wireless - IEEE 802.11
Called-Station-Id : 02-6F-81-F5-YY-XX:Landsender
Calling-Station-Id : 00-13-CE-B3-YY-XX
Message-Authenticator:
0000: 38 1b fa 3d 2a 99 23 21 a2 3b 2c f3 4b c8 3b 12 8..=*.#!.;,.K.;.
Connect-Info : CONNECT 54Mbps IEEE802.11g
Framed-MTU : 1492
EAP-Message:
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 5
EAP Packet Len : 12
EAP Packet Type : Identity
Identity String : niemals
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->found user in database(s)
-->authenticating via EAP
-->queueing request for later response


[RADIUS-Server] 1900/01/01 00:10:37,240
Got Response for queued RADIUS request 3 from client 192.168.10.13:28338[INTRANE
T]:
-->response type is Challenge, response attributes:
State:
0000: 88 25 e6 ff a9 aa 70 5f b9 6d bb 0f b1 0e 5e a7 .%....p_.m....^.
Session-Timeout : 5 s
-->sending response


[RADIUS-Server] 1900/01/01 00:11:01,190
Checking for dead accounting sessions:


[RADIUS-Server] 1900/01/01 00:11:31,190
Checking for dead accounting sessions:


[RADIUS-Server] 1900/01/01 00:12:01,190
Checking for dead accounting sessions:


[RADIUS-Server] 1900/01/01 00:12:31,190
Checking for dead accounting sessions:
Also 3 Anfragen, und jedesmal kommt beim Client kein Ergebnis an.
Ist schon irgendwie krass
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,
Also 3 Anfragen, und jedesmal kommt beim Client kein Ergebnis an.
Kein Wunder, in der Antwort vom LANCOM ist auch gar
keine EAP-Message drin. Du hast aber schon passende
Zertifikate im LANCOM hinterlegt?

Gruß Alfred
dimatrix
Beiträge: 12
Registriert: 07 Feb 2011, 16:40

Beitrag von dimatrix »

Hallo Alfred,

vor dem gleichen Problem stehe ich ebenfalls. Wie sollen die Zertifikate aussehen?

Mit XCA habe ich eine PKCS#12 Datei mit einer Kombination aus Root-Zertifikat, Geräte-Zertifikat und Privet Key erstellt. Bei dem Common Name im Geräte-Zertifikat wurde die IP-Adresse des APs (L-322 agn), der die Authentifizierung vornimmt, eingetragen. Die PKCS#12 wurde anschließend als EAPTLS -Container auf dem AP hochgeladen.

Die zweite erstellte PKCS#12 Datei mit einer Kombination aus Root-Zertifikat, Client-Zertifikat und Privet Key wurde auf dem WLAN-Client entpackt. Das Root-Zertifikat wurde in den Vertraunswürdigen Stammzertifizierungsstellen hinterlegt. Das Client-Zertifikat unter Eingene Zertifikate des localen Computers. Common Name ist der DNS-Name des WLAN-Clients.

Ist die Kombination meiner Zertifikate richtig? Bitte um Feedback.

Vielen Dank im Voraus und viele Grüße
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

das klingt soweit sinnvoll. Auf der CLI kann man sich mit
einem "show eaptls" anschauen, ob das Gerät die Zertifikate
angenommen hat. Auf dem Client braucht man lediglich
das/die CA-Zertifikat(e), sofern man TTLS oder PEAP
einsetzt, und auch das kann man für einen ersten Versuch
weglassen, nur kann dann der Client den RADIUS-Server
nicht authentisieren.

Bei Problemen in dem Umfeld ist ein EAP- und TLS-Trace
bisweilen hilfreich. PEAP und TTLS setzen ja auf EAP/TLS
auf, und mit den Traces kann ich dann besser sehen, bis
wohin die Verhandlung läuft. So eine 1x-Authentisierung ist
leider eine recht komplizierte und aufwendige Sache und
ich kenne keinen Client, der hier irgendwelche vernünftigen
Fehlermeldungen bringen würde - stattdessen immer nur
Meldungen a la 'Anmeldung gescheitert', auch wenn der
Client im Klartext sagen könnte, daß z.B. das Zertifikat des
Servers nicht in Ordnung ist...

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
dimatrix
Beiträge: 12
Registriert: 07 Feb 2011, 16:40

Beitrag von dimatrix »

Hallo Alfred,

vielen Dank für die schnelle Antwort.

Ich setze das zertifikatsbasierte Authentifizierungsverfahren EAP-TLS ein. Das EAP-TLS Verfahren zur Authentifizierung ist auf dem AP aktiviert. Default-Methode ist TLS.

Über Telnet mit "show eaptls" kann ich die von dem Gerät angenommene Zertifikate (EAP-TLS CA - Zertifakt u. EAP-TLS Device - Zertifikat) sehen. Auf dem WLAN-Client ist das entsprechende CA - Zertifikat u. Client - Zertifikat eingetragen.

Anbei der Trace. Wäre echt super, wenn du mir bei der Auswertung helfen könntest.

Was bedeutet:
"EAP: Warning: received Id (1) in wrong state! -> ignoring frame" siehe Trace

[TraceStarted] 2011/03/08 10:18:35,136
Used config:
# Trace config
trace + EAP
trace + RADSEC
trace + RADIUS-Server
trace + RADIUS-Client

# Show commands
show bootlog
[ShowCmd] 2011/03/08 10:18:35,574
Result of command: "show bootlog "
Boot log (176 Bytes):

****

01/01/1900 00:00:01 System boot after power on

DEVICE: LANCOM L-322agn dual Wireless
HW-RELEASE: B
VERSION: 8.00.0162Rel / 16.06.2010

[Sysinfo] 2011/03/08 10:18:35,574
Result of command: "sysinfo"

DEVICE: LANCOM L-322agn dual Wireless
HW-RELEASE: B
SERIAL-NUMBER: 4001822818100134
MAC-ADDRESS: 00a0571778f6
IP-ADDRESS: 192.168.19.254
IP-NETMASK: 255.255.255.0
INTRANET-ADDRESS: 0.0.0.0
INTRANETMASK: 0.0.0.0
VERSION: 8.00.0162Rel / 16.06.2010
NAME: AP
CONFIG-STATUS: 5152;0
FIRMWARE-STATUS: 1;1.2;1.1;*;8.00Rel.16062010.2
WLC-ADDRESS: 0.0.0.0
HW-MASK: 00001100000000000000000000000010
FEATUREWORD: 00000000000000000100000000010000
REGISTERED-WORD: 00000000000000000100000000010000
FEATURE-LIST: 04/F
FEATURE-LIST: 0e/F
TIME: 10183508032011
HTTP-PORT: 80
HTTPS-PORT: 443
TELNET-PORT: 23
TELNET-SSL-PORT: 992
SSH-PORT: 22

[EAP] 2011/03/08 10:18:45,996 Devicetime: 2011/03/08 10:18:46,250
EAP: Delete station 00:1d:e0:98:68:2b failed (station not found)

[EAP] 2011/03/08 10:18:45,996 Devicetime: 2011/03/08 10:18:46,250
EAP: Delete station 00:1d:e0:98:68:2b failed (station not found)

[EAP] 2011/03/08 10:18:45,996 Devicetime: 2011/03/08 10:18:46,250
EAP: TX -> 00:1d:e0:98:68:2b - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 1
EAP: Length = 5
EAP: Type = 1 (Identity)

[EAP] 2011/03/08 10:18:45,996 Devicetime: 2011/03/08 10:18:46,250
EAP: Create station 00:1d:e0:98:68:2b

[EAP] 2011/03/08 10:18:46,167 Devicetime: 2011/03/08 10:18:46,270
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Start
Packet Length : 0
Packet Trailer : 00 .
-->forwarding non-802.11i key packet to 802.1x

[EAP] 2011/03/08 10:18:46,167 Devicetime: 2011/03/08 10:18:46,270
EAP: RX <- 00:1d:e0:98:68:2b - received EAPOL frame from supplicant
EAP: Packet Type = 1 (EAPOL-Start)
EAP: Packet Length = 0

[EAP] 2011/03/08 10:18:46,167 Devicetime: 2011/03/08 10:18:46,270
EAP: TX -> 00:1d:e0:98:68:2b - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 1
EAP: Length = 5
EAP: Type = 1 (Identity)

[EAP] 2011/03/08 10:18:46,308 Devicetime: 2011/03/08 10:18:46,410
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Packet
Packet Length : 28
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 1
EAP Packet Len : 28
EAP Packet Type : Identity
Identity String : fralap011.law.firm.priv
-->forwarding non-802.11i key packet to 802.1x

[EAP] 2011/03/08 10:18:46,308 Devicetime: 2011/03/08 10:18:46,410
EAP: RX <- 00:1d:e0:98:68:2b - received EAPOL frame from supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 28
EAP: Code = 2 (Response)
EAP: Ident = 1
EAP: Length = 28
EAP: Type = 1 (Identity)

[RADIUS-Client] 2011/03/08 10:18:46,308 Devicetime: 2011/03/08 10:18:46,410
Send RADIUS Authentication Request Id 24 to 127.0.0.1 Backup-Step 1 Retry 0 Auth 8cc6e35188442291e874ba5d0e07a371

[EAP] 2011/03/08 10:18:46,308 Devicetime: 2011/03/08 10:18:46,410
EAP: TX -> 127.0.0.1/1812 - sending EAP frame to RADIUS server
EAP: (01) User-Name = "fralap011.law.firm.priv"
EAP: (06) Service-Type = 2
EAP: (04) NAS-IP-Address = 0.0.0.0
EAP: (05) NAS-Port = 1
EAP: (87) NAS-Port-Id = "1"
EAP: (30) Called-Station-Id = "00-A0-57-16-83-9A:LANCOM"
EAP: (31) Calling-Station-Id = "00-1D-E0-98-68-2B"
EAP: (77) Connect-Info = "CONNECT 144 Mbps 802.11g/n"
EAP: (32) NAS-Identifier = "AP"
EAP: (61) NAS-Port-Type = 19
EAP: (79) EAP-Message[Len=28] = 02 01 00 1c 01 ...
EAP: (80) Message-Authenticator = ...
EAP: Packet Type = Access-Request

[EAP] 2011/03/08 10:18:46,308 Devicetime: 2011/03/08 10:18:46,420
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Packet
Packet Length : 28
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 1
EAP Packet Len : 28
EAP Packet Type : Identity
Identity String : fralap011.law.firm.priv
-->forwarding non-802.11i key packet to 802.1x

[EAP] 2011/03/08 10:18:46,308 Devicetime: 2011/03/08 10:18:46,420
EAP: RX <- 00:1d:e0:98:68:2b - received EAPOL frame from supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 28
EAP: Code = 2 (Response)
EAP: Ident = 1
EAP: Length = 28
EAP: Type = 1 (Identity)

[EAP] 2011/03/08 10:18:46,308 Devicetime: 2011/03/08 10:18:46,420
EAP: Warning: received Id (1) in wrong state! -> ignoring frame


[RADIUS-Client] 2011/03/08 10:18:51,152 Devicetime: 2011/03/08 10:18:51,410
Send RADIUS Authentication Request Id 24 to 127.0.0.1 Backup-Step 1 Retry 1 Auth 8cc6e35188442291e874ba5d0e07a371


[RADIUS-Client] 2011/03/08 10:18:56,152 Devicetime: 2011/03/08 10:18:56,410
Send RADIUS Authentication Request Id 24 to 127.0.0.1 Backup-Step 1 Retry 2 Auth 8cc6e35188442291e874ba5d0e07a371


[RADIUS-Client] 2011/03/08 10:19:01,152 Devicetime: 2011/03/08 10:19:01,410
Send RADIUS Authentication Request Id 24 to 127.0.0.1 Backup-Step 1 Retry 3 Auth 8cc6e35188442291e874ba5d0e07a371

[RADIUS-Server] 2011/03/08 10:19:02,089 Devicetime: 2011/03/08 10:19:02,340
Checking for dead accounting sessions:


[RADIUS-Client] 2011/03/08 10:19:06,152 Devicetime: 2011/03/08 10:19:06,410
RADIUS Request Id 24 finally timed out

[EAP] 2011/03/08 10:19:06,152 Devicetime: 2011/03/08 10:19:06,410
EAP: RX <- 127.0.0.1/1812 - received EAP frame from RADIUS server
EAP: Packet Type = Timeout

[EAP] 2011/03/08 10:19:06,152 Devicetime: 2011/03/08 10:19:06,410
EAP: TX -> 00:1d:e0:98:68:2b - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 4
EAP: Code = 4 (Failure)
EAP: Ident = 0
EAP: Length = 4

[EAP] 2011/03/08 10:19:06,323 Devicetime: 2011/03/08 10:19:06,520
EAP: Delete station 00:1d:e0:98:68:2b

[EAP] 2011/03/08 10:19:06,323 Devicetime: 2011/03/08 10:19:06,520
EAP: Delete station 00:1d:e0:98:68:2b failed (station not found)

[EAP] 2011/03/08 10:19:06,323 Devicetime: 2011/03/08 10:19:06,550
EAP: Delete station 00:1d:e0:98:68:2b failed (station not found)

[EAP] 2011/03/08 10:19:06,323 Devicetime: 2011/03/08 10:19:06,550
EAP: Delete station 00:1d:e0:98:68:2b failed (station not found)

[EAP] 2011/03/08 10:19:06,323 Devicetime: 2011/03/08 10:19:06,550
EAP: TX -> 00:1d:e0:98:68:2b - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 1
EAP: Length = 5
EAP: Type = 1 (Identity)

[EAP] 2011/03/08 10:19:06,323 Devicetime: 2011/03/08 10:19:06,550
EAP: Create station 00:1d:e0:98:68:2b

[EAP] 2011/03/08 10:19:06,402 Devicetime: 2011/03/08 10:19:06,590
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Start
Packet Length : 0
Packet Trailer : 00 .
-->forwarding non-802.11i key packet to 802.1x

[EAP] 2011/03/08 10:19:06,402 Devicetime: 2011/03/08 10:19:06,590
EAP: RX <- 00:1d:e0:98:68:2b - received EAPOL frame from supplicant
EAP: Packet Type = 1 (EAPOL-Start)
EAP: Packet Length = 0

[EAP] 2011/03/08 10:19:06,402 Devicetime: 2011/03/08 10:19:06,590
EAP: TX -> 00:1d:e0:98:68:2b - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 1
EAP: Length = 5
EAP: Type = 1 (Identity)

[EAP] 2011/03/08 10:19:06,402 Devicetime: 2011/03/08 10:19:06,650
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Packet
Packet Length : 28
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 1
EAP Packet Len : 28
EAP Packet Type : Identity
Identity String : fralap011.law.firm.priv
-->forwarding non-802.11i key packet to 802.1x

[EAP] 2011/03/08 10:19:06,402 Devicetime: 2011/03/08 10:19:06,650
EAP: RX <- 00:1d:e0:98:68:2b - received EAPOL frame from supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 28
EAP: Code = 2 (Response)
EAP: Ident = 1
EAP: Length = 28
EAP: Type = 1 (Identity)

[RADIUS-Client] 2011/03/08 10:19:06,402 Devicetime: 2011/03/08 10:19:06,650
Send RADIUS Authentication Request Id 24 to 127.0.0.1 Backup-Step 1 Retry 0 Auth 8cc6e3d148a45229b4da6d96cb4582c1

[EAP] 2011/03/08 10:19:06,402 Devicetime: 2011/03/08 10:19:06,650
EAP: TX -> 127.0.0.1/1812 - sending EAP frame to RADIUS server
EAP: (01) User-Name = "fralap011.law.firm.priv"
EAP: (06) Service-Type = 2
EAP: (04) NAS-IP-Address = 0.0.0.0
EAP: (05) NAS-Port = 1
EAP: (87) NAS-Port-Id = "1"
EAP: (30) Called-Station-Id = "00-A0-57-16-83-9A:LANCOM"
EAP: (31) Calling-Station-Id = "00-1D-E0-98-68-2B"
EAP: (77) Connect-Info = "CONNECT 144 Mbps 802.11g/n"
EAP: (32) NAS-Identifier = "AP"
EAP: (61) NAS-Port-Type = 19
EAP: (79) EAP-Message[Len=28] = 02 01 00 1c 01 ...
EAP: (80) Message-Authenticator = ...
EAP: Packet Type = Access-Request


[RADIUS-Client] 2011/03/08 10:19:11,401 Devicetime: 2011/03/08 10:19:11,650
Send RADIUS Authentication Request Id 24 to 127.0.0.1 Backup-Step 1 Retry 1 Auth 8cc6e3d148a45229b4da6d96cb4582c1


[RADIUS-Client] 2011/03/08 10:19:16,401 Devicetime: 2011/03/08 10:19:16,650
Send RADIUS Authentication Request Id 24 to 127.0.0.1 Backup-Step 1 Retry 2 Auth 8cc6e3d148a45229b4da6d96cb4582c1


[RADIUS-Client] 2011/03/08 10:19:21,401 Devicetime: 2011/03/08 10:19:21,650
Send RADIUS Authentication Request Id 24 to 127.0.0.1 Backup-Step 1 Retry 3 Auth 8cc6e3d148a45229b4da6d96cb4582c1


[RADIUS-Client] 2011/03/08 10:19:26,401 Devicetime: 2011/03/08 10:19:26,650
RADIUS Request Id 24 finally timed out

[EAP] 2011/03/08 10:19:26,401 Devicetime: 2011/03/08 10:19:26,650
EAP: RX <- 127.0.0.1/1812 - received EAP frame from RADIUS server
EAP: Packet Type = Timeout

[EAP] 2011/03/08 10:19:26,401 Devicetime: 2011/03/08 10:19:26,650
EAP: TX -> 00:1d:e0:98:68:2b - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 4
EAP: Code = 4 (Failure)
EAP: Ident = 0
EAP: Length = 4

[EAP] 2011/03/08 10:19:26,479 Devicetime: 2011/03/08 10:19:26,690
EAP: Delete station 00:1d:e0:98:68:2b

[EAP] 2011/03/08 10:19:26,479 Devicetime: 2011/03/08 10:19:26,690
EAP: Delete station 00:1d:e0:98:68:2b failed (station not found)

[EAP] 2011/03/08 10:19:26,479 Devicetime: 2011/03/08 10:19:26,720
EAP: Delete station 00:1d:e0:98:68:2b failed (station not found)

[EAP] 2011/03/08 10:19:26,479 Devicetime: 2011/03/08 10:19:26,720
EAP: Delete station 00:1d:e0:98:68:2b failed (station not found)

[EAP] 2011/03/08 10:19:26,479 Devicetime: 2011/03/08 10:19:26,720
EAP: TX -> 00:1d:e0:98:68:2b - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 1
EAP: Length = 5
EAP: Type = 1 (Identity)

[EAP] 2011/03/08 10:19:26,479 Devicetime: 2011/03/08 10:19:26,720
EAP: Create station 00:1d:e0:98:68:2b

[EAP] 2011/03/08 10:19:26,479 Devicetime: 2011/03/08 10:19:26,730
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Start
Packet Length : 0
Packet Trailer : 00 .
-->forwarding non-802.11i key packet to 802.1x

[EAP] 2011/03/08 10:19:26,479 Devicetime: 2011/03/08 10:19:26,730
EAP: RX <- 00:1d:e0:98:68:2b - received EAPOL frame from supplicant
EAP: Packet Type = 1 (EAPOL-Start)
EAP: Packet Length = 0

[EAP] 2011/03/08 10:19:26,479 Devicetime: 2011/03/08 10:19:26,730
EAP: TX -> 00:1d:e0:98:68:2b - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 1
EAP: Length = 5
EAP: Type = 1 (Identity)

[EAP] 2011/03/08 10:19:26,511 Devicetime: 2011/03/08 10:19:26,760
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Packet
Packet Length : 28
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 1
EAP Packet Len : 28
EAP Packet Type : Identity
Identity String : fralap011.law.firm.priv
-->forwarding non-802.11i key packet to 802.1x

[EAP] 2011/03/08 10:19:26,511 Devicetime: 2011/03/08 10:19:26,760
EAP: RX <- 00:1d:e0:98:68:2b - received EAPOL frame from supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 28
EAP: Code = 2 (Response)
EAP: Ident = 1
EAP: Length = 28
EAP: Type = 1 (Identity)

[RADIUS-Client] 2011/03/08 10:19:26,511 Devicetime: 2011/03/08 10:19:26,760
Send RADIUS Authentication Request Id 32 to 127.0.0.1 Backup-Step 1 Retry 0 Auth 90c8e472b97cbedf4f87e35188442211

[EAP] 2011/03/08 10:19:26,511 Devicetime: 2011/03/08 10:19:26,760
EAP: TX -> 127.0.0.1/1812 - sending EAP frame to RADIUS server
EAP: (01) User-Name = "fralap011.law.firm.priv"
EAP: (06) Service-Type = 2
EAP: (04) NAS-IP-Address = 0.0.0.0
EAP: (05) NAS-Port = 1
EAP: (87) NAS-Port-Id = "1"
EAP: (30) Called-Station-Id = "00-A0-57-16-83-9A:LANCOM"
EAP: (31) Calling-Station-Id = "00-1D-E0-98-68-2B"
EAP: (77) Connect-Info = "CONNECT 144 Mbps 802.11g/n"
EAP: (32) NAS-Identifier = "AP"
EAP: (61) NAS-Port-Type = 19
EAP: (79) EAP-Message[Len=28] = 02 01 00 1c 01 ...
EAP: (80) Message-Authenticator = ...
EAP: Packet Type = Access-Request

[EAP] 2011/03/08 10:19:26,511 Devicetime: 2011/03/08 10:19:26,760
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Packet
Packet Length : 28
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 1
EAP Packet Len : 28
EAP Packet Type : Identity
Identity String : fralap011.law.firm.priv
-->forwarding non-802.11i key packet to 802.1x

[EAP] 2011/03/08 10:19:26,511 Devicetime: 2011/03/08 10:19:26,760
EAP: RX <- 00:1d:e0:98:68:2b - received EAPOL frame from supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 28
EAP: Code = 2 (Response)
EAP: Ident = 1
EAP: Length = 28
EAP: Type = 1 (Identity)

[EAP] 2011/03/08 10:19:26,511 Devicetime: 2011/03/08 10:19:26,760
EAP: Warning: received Id (1) in wrong state! -> ignoring frame


[RADIUS-Client] 2011/03/08 10:19:31,511 Devicetime: 2011/03/08 10:19:31,760
Send RADIUS Authentication Request Id 32 to 127.0.0.1 Backup-Step 1 Retry 1 Auth 90c8e472b97cbedf4f87e35188442211

[RADIUS-Server] 2011/03/08 10:19:32,089 Devicetime: 2011/03/08 10:19:32,340
Checking for expired user accounts:

[RADIUS-Server] 2011/03/08 10:19:32,089 Devicetime: 2011/03/08 10:19:32,340
Checking for dead accounting sessions:


[RADIUS-Client] 2011/03/08 10:19:36,511 Devicetime: 2011/03/08 10:19:36,760
Send RADIUS Authentication Request Id 32 to 127.0.0.1 Backup-Step 1 Retry 2 Auth 90c8e472b97cbedf4f87e35188442211


[RADIUS-Client] 2011/03/08 10:19:41,510 Devicetime: 2011/03/08 10:19:41,760
Send RADIUS Authentication Request Id 32 to 127.0.0.1 Backup-Step 1 Retry 3 Auth 90c8e472b97cbedf4f87e35188442211

[EAP] 2011/03/08 10:19:44,354 Devicetime: 2011/03/08 10:19:44,600
EAP: Delete station 00:1d:e0:98:68:2b

[EAP] 2011/03/08 10:19:44,354 Devicetime: 2011/03/08 10:19:44,600
EAP: Delete station 00:1d:e0:98:68:2b failed (station not found)

[RADIUS-Client] 2011/03/08 10:19:46,510 Devicetime: 2011/03/08 10:19:46,760
RADIUS Request Id 32 finally timed out


[RADIUS-Server] 2011/03/08 10:20:02,088 Devicetime: 2011/03/08 10:20:02,340
Checking for dead accounting sessions:


[RADIUS-Server] 2011/03/08 10:20:32,088 Devicetime: 2011/03/08 10:20:32,340
Checking for expired user accounts:

[RADIUS-Server] 2011/03/08 10:20:32,088 Devicetime: 2011/03/08 10:20:32,340
Checking for dead accounting sessions:


[RADIUS-Server] 2011/03/08 10:21:02,088 Devicetime: 2011/03/08 10:21:02,340
Checking for dead accounting sessions:


[RADIUS-Server] 2011/03/08 10:21:32,087 Devicetime: 2011/03/08 10:21:32,340
Checking for dead accounting sessions:

[RADIUS-Server] 2011/03/08 10:21:32,087 Devicetime: 2011/03/08 10:21:32,340
Checking for expired user accounts:


[RADIUS-Server] 2011/03/08 10:22:02,087 Devicetime: 2011/03/08 10:22:02,340
Checking for dead accounting sessions:


[RADIUS-Server] 2011/03/08 10:22:32,086 Devicetime: 2011/03/08 10:22:32,340
Checking for expired user accounts:

[RADIUS-Server] 2011/03/08 10:22:32,086 Devicetime: 2011/03/08 10:22:32,340
Checking for dead accounting sessions:


[RADIUS-Server] 2011/03/08 10:23:02,086 Devicetime: 2011/03/08 10:23:02,340
Checking for dead accounting sessions:


[RADIUS-Server] 2011/03/08 10:23:32,086 Devicetime: 2011/03/08 10:23:32,340
Checking for dead accounting sessions:

[RADIUS-Server] 2011/03/08 10:23:32,086 Devicetime: 2011/03/08 10:23:32,340
Checking for expired user accounts:


[RADIUS-Server] 2011/03/08 10:24:02,085 Devicetime: 2011/03/08 10:24:02,340
Checking for dead accounting sessions:


[RADIUS-Server] 2011/03/08 10:24:32,085 Devicetime: 2011/03/08 10:24:32,340
Checking for expired user accounts:

[RADIUS-Server] 2011/03/08 10:24:32,085 Devicetime: 2011/03/08 10:24:32,340
Checking for dead accounting sessions:


[RADIUS-Server] 2011/03/08 10:25:02,084 Devicetime: 2011/03/08 10:25:02,340
Checking for dead accounting sessions:


[RADIUS-Server] 2011/03/08 10:25:32,084 Devicetime: 2011/03/08 10:25:32,340
Checking for dead accounting sessions:

[RADIUS-Server] 2011/03/08 10:25:32,084 Devicetime: 2011/03/08 10:25:32,340
Checking for expired user accounts:


[TraceStopped] 2011/03/08 10:25:45,678
Used config:
# Trace config
trace + EAP
trace + RADSEC
trace + RADIUS-Server
trace + RADIUS-Client
[/list]
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

das Gerät erreicht seinen eigenen RADIUS-Server nicht -
wie man sehen kann, schickt, der RADIUS-Client Anfragen
an die 127.0.0.1, aber im RADIUS-Server-Trace tauchen
die nicht auf. Irgendwann meldet der RADIUS-Client dann
einen Timeout. Du hast den RADIUS-Server im LANCOM
schon eingeschaltet (Auth-Port auf 1812) ?

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
dimatrix
Beiträge: 12
Registriert: 07 Feb 2011, 16:40

Beitrag von dimatrix »

Schande über mein Haupt. :oops:

Ich habe den Auth - Port ausversehen auf 1822 statt auf 1812 gestellt. Und jetzt bekomme ich im Trace ganz andere Informationen zu sehen. Siehe Trace:
Zuletzt geändert von dimatrix am 09 Mär 2011, 17:33, insgesamt 1-mal geändert.
dimatrix
Beiträge: 12
Registriert: 07 Feb 2011, 16:40

Beitrag von dimatrix »

Schande über mein Haupt. :oops:

Ich habe den Auth - Port ausversehen auf 1822 statt auf 1812 gestellt. Und jetzt bekomme ich im Trace ganz andere Informationen zu sehen. Siehe Trace:

Die Identitätsprüfung hat funktioniert, sehe ich es richtig?

Auszug Trace: "EAP/TLS negotiation for user 'fralap011.law.firm.priv' succeeded, but user not found in RADIUS user table"

Warum wird hier nach nem User gesucht? Das ganze ist doch zertifikatsbasierend. Bitte um Feedback.

Danke dir für deine Mühe. Wäre echt super, wenn man es mit deiner Hilfe endlich zum laufen bekommt.

Gruß
Zuletzt geändert von dimatrix am 09 Mär 2011, 17:32, insgesamt 1-mal geändert.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

was hast Du denn gemacht, das das Layout hier so kaputt
ist? Also so weit, wie ich's lesen kann, ist die Verhandlung in Ordnung, der Client fängt an, sein Zertifikat zu übertragen,
aber hört das wirklich danach auf?

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
dimatrix
Beiträge: 12
Registriert: 07 Feb 2011, 16:40

Beitrag von dimatrix »

Uhhh Tatsache, sieht echt schräg aus. Hatte lediglich meine letzte Nachricht editiert.

ja. Der WLAN-Client bleibt bei dem Authentifizierungsversuch stehen. Es wird keine IP vom DHCP zugewiesen. Ich hatte mal zwischenzeitig auf Intel PROSet/Wireless umgestellt. Da schaut es genauso aus.

War der Trace unvollständig? Hast du noch ne Idee woran es liegen kann. Eventuell Zertifikate? Gruß
rezzler
Beiträge: 9
Registriert: 30 Mai 2008, 18:10
Wohnort: 384kbit/s-Dorf

Beitrag von rezzler »

alf29 hat geschrieben: Kein Wunder, in der Antwort vom LANCOM ist auch gar
keine EAP-Message drin. Du hast aber schon passende
Zertifikate im LANCOM hinterlegt?
Hatte ich da noch nicht, hab ich nun aber gemacht und es kommt immer noch das gleiche...

Ich kann die Zertifkate auch nur als EAP-TLS hochladen, ich will ja aber Benutzer/Passwort-Authentifizierung machen.

Zudem find ich in Lanconfig oder Webconfig keine Übersicht, was für Zertifikate ich bereits hochgeladen habe...
Ist schon irgendwie krass
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

Auszug Trace: "EAP/TLS negotiation for user 'fralap011.law.firm.priv' succeeded, but user not found in RADIUS user table"

Warum wird hier nach nem User gesucht? Das ganze ist doch zertifikatsbasierend. Bitte um Feedback.
Das ist eine Option des RADIUS-Servers im LCOS, daß bei TLS zusätzlich der Name
gegen die Benutzertabelle geprüft werden kann. Die steht in der CLI bzw. LCOS-Menübaum
unter Setup->RADIUS->Server->EAP->TLS-Check-Username. Sollte defaultmäßig aber
ausgeschaltet sein. Hast Du die angemacht, dann wäre die Meldung normal?

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
dimatrix
Beiträge: 12
Registriert: 07 Feb 2011, 16:40

Beitrag von dimatrix »

Moin Alfred,

genau das ist der Knackpunkt. Die Einstellung, die du beschrieben hast, vorgenommen und siehe da, es funzt :lol:

Ich versuche gerade das ganze Szenario auf dem WLC - 4006 abzubilden. WLC soll die Authentifizierung vornehmen. Dran angeschlossenes AP wird von dem WLC gemanagt.

Ich habe im Augenblick das Problem, dass das im WLC von mir hochgeladene Gerätezertifikat samt Root CA radikal nach ca. 3 Minuten von WLC eigenen Zertifikaten überschrieben werden.

Warum ist es so? Gibt es eine Möglichkeit dies zu unterbinden? Soll ich zu diesem Fall besser einen neue Thread aufmachen?

Vielen Dank für deine Hilfe.

Gruß
Antworten