Integrierter Radius Server in LCOS 7.20

schibulski · Beitrag von **schibulski** » 21 Aug 2007, 15:10

Hallo Zusammen,

ich versuche den integrierten Radius Server in Gang zu setzen. Ziel ist eine 802.1X Authentifizierung in der Geschmacksrichtung PEAP (EAP-MSCHAPv2) mittels Username/Password.

Dazu habe ich im Lanconfig einen Radius Server (Thron) konfiguriert der auf die eigene Intranet Adresse (10.68.108.3) verweist. Zudem habe ich eine 802.1X SSID aufgespannt mit dem Radius Server als Passphrase. In der Experten-Konfiguration habe ich unter Radius -> Server die Clients eingetragen (10.68.108.0/24 <- weil ich faul bin habe ich gleich das ganze Netz genommen), Benutzer mit Passwort eingerichtet und den Rest unangetastet gelassen.

Verbinde ich mich nun mit einem WinXP Laptop, habe ich die Moeglichkeit meine Credentials einzugeben, es kommt aber leider Gottes keine Verbindung zustande. Hier der Trace:

Code: Alles auswählen

[EAP] 2007/08/21 14:51:49,960
EAP: TX -> 00:05:4e:43:f8:1c - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 5
EAP:     Code        = 1 (Request)
EAP:     Ident       = 1
EAP:     Length      = 5
EAP:       Type      = 1 (Identity)


[EAP] 2007/08/21 14:51:50,050
***Received EAP packet:
-->EAPOL Header
Protocol Version    : 1
Packet Type         : Start
Packet Length       : 0
Body                : 00                      .
-->forwarding non-key packet to 802.1x


[EAP] 2007/08/21 14:51:50,050
EAP: RX <- 00:05:4e:43:f8:1c - received EAPOL frame from supplicant
EAP:   Packet Type   = 1 (EAPOL-Start)
EAP:   Packet Length = 0


[EAP] 2007/08/21 14:51:50,050
EAP: TX -> 00:05:4e:43:f8:1c - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 5
EAP:     Code        = 1 (Request)
EAP:     Ident       = 1
EAP:     Length      = 5
EAP:       Type      = 1 (Identity)


[EAP] 2007/08/21 14:51:54,900
***Received EAP packet:
-->EAPOL Header
Protocol Version    : 1
Packet Type         : Packet
Packet Length       : 9
-->EAP Header
EAP Packet Code     : Response
EAP Packet Id       : 1
EAP Packet Len      : 9
EAP Packet Type     : Identity
Identity String     : jupp
-->forwarding non-key packet to 802.1x


[EAP] 2007/08/21 14:51:54,900
EAP: RX <- 00:05:4e:43:f8:1c - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 9
EAP:     Code        = 2 (Response)
EAP:     Ident       = 1
EAP:     Length      = 9
EAP:       Type      = 1 (Identity)


[RADIUS] 2007/08/21 14:51:54,910
Send RADIUS Authentication Request Id 54 to 10.68.108.3 Backup-Step 1 Retry 0


[EAP] 2007/08/21 14:51:54,900
EAP: TX -> 10.68.108.3/1812 - sending EAP frame to RADIUS server
EAP:   (01) User-Name             = "jupp"
EAP:   (04) NAS-IP-Address        = 0.0.0.0
EAP:   (05) NAS-Port              = 00000001
EAP:   (30) Called-Station-Id    = 02-0f-a3-10-11-43:BLUBB
EAP:   (31) Calling-Station-Id    = 00-05-4e-43-f8-1c
EAP:   (32) NAS-Identifier        = LC_Test
EAP:   (41) NAS-Port-Type         = 19
EAP:   (79) EAP-Message[Len=0009] = 02 01 00 09 01 ...
EAP:   (80) Message-Authenticator = ...
EAP:   Packet Type = Access-Request


[RADIUS] 2007/08/21 14:51:54,910
Received RADIUS request 54 from client 10.68.108.3:
-->known attributes of request:
   User-Name                 : jupp
   NAS-Identifier            : LC_Test
   Called-Station-Id         : 02-0f-a3-10-11-43:BLUBB
   Calling-Station-Id        : 00-05-4e-43-f8-1c
   EAP-Message:
   0000: 02 01 00 09 01 6a 75 70 70                       .....jupp
   Message-Authenticator:
   0000: a9 1a 2a 0a 36 70 b6 82 92 39 ef b3 1d 40 8b 42  ..*.6p...9...@.B
-->realm of user is ''
-->authenticating locally
-->found user in database(s)
-->authenticating via EAP
-->queueing request for later response


[RADIUS] 2007/08/21 14:51:54,920
Got Response for queued RADIUS request 54 from client 10.68.108.3:
-->response type is Challenge, response attributes:
   State:
   0000: ac 36 c2 a6 56 1b 61 53 c6 b5 33 89 8e e2 1a e4  .6..V.aS..3.....
   EAP-Message:
   0000: 01 02 00 16 04 10 55 fb 7a 50 d0 65 89 60 df ca  ......U.zP.e.`..
   0010: 73 67 a3 de 7b 63                                sg..{c
-->sending response


[RADIUS] 2007/08/21 14:51:54,930
Received RADIUS Challenge Id 54 from 10.68.108.3
-->found corr. request 54
-->trigger requester


[EAP] 2007/08/21 14:51:54,930
EAP: RX <- 10.68.108.3/1812 - received EAP frame from RADIUS server
EAP:   (24) State[Len=10]           = ac 36 c2 a6 56 1b 61 53 c6 b5 33 89 8e e2 1a e4
EAP:   (80) Message-Authenticator   = ...
EAP:   (79) EAP-Message[Len=0016]   = 01 02 00 16 04 ...
EAP:   Packet Type = Access-Challenge


[EAP] 2007/08/21 14:51:54,930
EAP: TX -> 00:05:4e:43:f8:1c - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 22
EAP:     Code        = 1 (Request)
EAP:     Ident       = 2
EAP:     Length      = 22
EAP:       Type      = 4 (MD5-Challenge)


[EAP] 2007/08/21 14:51:54,930
***Received EAP packet:
-->EAPOL Header
Protocol Version    : 1
Packet Type         : Packet
Packet Length       : 6
-->EAP Header
EAP Packet Code     : Response
EAP Packet Id       : 2
EAP Packet Len      : 6
EAP Packet Type     : NAK
Desired EAP Type(s) : PEAP
-->forwarding non-key packet to 802.1x


[EAP] 2007/08/21 14:51:54,930
EAP: RX <- 00:05:4e:43:f8:1c - received EAPOL frame from supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 6
EAP:     Code        = 2 (Response)
EAP:     Ident       = 2
EAP:     Length      = 6
EAP:       Type      = 3 (Nak)


[RADIUS] 2007/08/21 14:51:54,930
Send RADIUS Authentication Request Id 54 to 10.68.108.3 Backup-Step 1 Retry 0


[EAP] 2007/08/21 14:51:54,930
EAP: TX -> 10.68.108.3/1812 - sending EAP frame to RADIUS server
EAP:   (01) User-Name             = "jupp"
EAP:   (04) NAS-IP-Address        = 0.0.0.0
EAP:   (05) NAS-Port              = 00000001
EAP:   (24) State[Len=10]         = ac 36 c2 a6 56 1b 61 53 c6 b5 33 89 8e e2 1a e4
EAP:   (30) Called-Station-Id    = 02-0f-a3-10-11-43:BLUBB
EAP:   (31) Calling-Station-Id    = 00-05-4e-43-f8-1c
EAP:   (32) NAS-Identifier        = LC_Test
EAP:   (41) NAS-Port-Type         = 19
EAP:   (79) EAP-Message[Len=0006] = 02 02 00 06 03 ...
EAP:   (80) Message-Authenticator = ...
EAP:   Packet Type = Access-Request


[RADIUS] 2007/08/21 14:51:54,950
Received RADIUS request 54 from client 10.68.108.3:
-->known attributes of request:
   User-Name                 : jupp
   NAS-Identifier            : LC_Test
   State:
   0000: ac 36 c2 a6 56 1b 61 53 c6 b5 33 89 8e e2 1a e4  .6..V.aS..3.....
   Called-Station-Id         : 02-0f-a3-10-11-43:BLUBB
   Calling-Station-Id        : 00-05-4e-43-f8-1c
   EAP-Message:
   0000: 02 02 00 06 03 19                                ......
   Message-Authenticator:
   0000: 9e a8 76 2d eb c4 d8 62 c3 95 90 0a 2a 99 c3 ac  ..v-...b....*...
-->realm of user is ''
-->authenticating locally
-->found user in database(s)
-->authenticating via EAP
-->queueing request for later response


[RADIUS] 2007/08/21 14:51:54,950
Got Response for queued RADIUS request 54 from client 10.68.108.3:
-->response type is Reject, response attributes:
-->sending response


[RADIUS] 2007/08/21 14:51:54,950
Received RADIUS Reject Id 54 from 10.68.108.3
-->found corr. request 54
-->trigger requester


[EAP] 2007/08/21 14:51:54,950
EAP: RX <- 10.68.108.3/1812 - received EAP frame from RADIUS server
EAP:   Packet Type = Access-Reject


[EAP] 2007/08/21 14:51:54,950
EAP: TX -> 00:05:4e:43:f8:1c - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 4
EAP:     Code        = 4 (Failure)
EAP:     Ident       = 2
EAP:     Length      = 4


[EAP] 2007/08/21 14:51:54,990
EAP: Delete station 00:05:4e:43:f8:1c


[EAP] 2007/08/21 14:51:54,990
EAP: Delete station 00:05:4e:43:f8:1c failed (station not found)

Nach dem er meldet, das er Lokal Authentifizieren will und er den User auch in seiner Datenbank findet, scheint es schief zu gehen.

Code: Alles auswählen

-->authenticating locally 
-->found user in database(s) 
-->authenticating via EAP 
-->queueing request for later response

Meines Erachtens scheint er mit dem Passwort nicht umgehen zu koennen. Lege ich einen neuen User ohne Passwort an, kommt es zu dem gleichem Traceergebnis.

Irgendwelche Ideen was da schief geht?

Gruesse, Schibulski

alf29 · Beitrag von **alf29** » 21 Aug 2007, 15:41

Moin,

es ist in diesem Falle ja noch überhaupt nicht zur Etablierung des äußeren
TLS-Tunnels gekommen, in dem bei PEAP dann die Authentifizierung mit
Benutzernamen/Paßwort laufen würde - wie man bei etwas genauerer
Betrachtung sehen kann, bricht der RADIUS-Server die Verhandlung mit
einem Reject ab, sobald der Client PEAP fordert.

Sind in dem Gerät, das als RADIUS-Server läuft, mindestens ein
EAP/TLS-Zertifikat und der dazu passende private Schlüssel installiert?
Denn auch bei PEAP weist sich der Server gegenüber dem Client über
ein Zertifikat aus.

Mit PEAP und dem Microsoft-Supplicant habe ich übrigens selber bisher keine
einzige Verbindung hinbekommen - die Phase 1 mit der Etablierung des
TLS-Tunnels läuft durch, aber in der Phase mit der Paßwortprüfung im
Tunnel tut sich irgendwie nichts

Mit dem im AirLancer-Client enthaltenen
Supplicant von Meetinghouse gehts...ich habe im Moment keine Idee, woran
das liegen könnte, weil ich in den Microsoft-Supplicant nicht reinschauen
kann.

Gruß Alfred

schibulski · Beitrag von **schibulski** » 21 Aug 2007, 17:09

Hallo Alfred,

danke fuer den Hinweis. An das Zertifikat habe ich natuerlich nicht gedacht... Da werde ich wohl mal wieder openssl entstauben duerfen.

Danke + Gruesse, Schibulski

schibulski · Beitrag von **schibulski** » 23 Aug 2007, 13:37

Hallo Alfred,

ich kann die Erfahrung mit dem in Windows integrierten Peap Client bestätigen. Versuche ich eine Verbindung mit dem nativen Peap Client herzustellen bleibt er an dieser Stelle hängen:

Code: Alles auswählen

[EAP] 2007/08/23 13:25:54,670
EAP: RX <- 10.68.108.3/1812 - received EAP frame from RADIUS server
EAP:   (24) State[Len=10]           = 3d 48 a6 f6 1e a4 53 7b e2 ea aa 9d 9c cd d6 6e
EAP:   (80) Message-Authenticator   = ...
EAP:   (79) EAP-Message[Len=0024]   = 01 06 00 24 19 ...
EAP:   Packet Type = Access-Challenge


[EAP] 2007/08/23 13:25:54,670
EAP: TX -> 00:05:4e:43:f8:1c - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 36
EAP:     Code        = 1 (Request)
EAP:     Ident       = 6
EAP:     Length      = 36
EAP:       Type      = 25 (EAP-PEAP)

Auf das letzte Paket reagiert Windows nicht mehr. Das passiert sowohl mit WinXP als auch mit WinVista.

Daraufhin habe ich mir den Odyssey Client von Ex-Funk installiert; mit dem funktioniert es einwandfrei.

Danke + Gruesse, Schibulski