The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Freeradis и WI-FI"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Др. сетевые сервисы / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Freeradis и WI-FI"  +/
Сообщение от Алексей (??) on 05-Окт-13, 13:26 
Доброго времени суток.
Коллеги, подскажите куда копать, укажите нужное направление. Назрела необходимость (лишь часть обшей задачи) авторизововать Wi-Fi пользователей через Radius (wpa2 enterprice). На Фряхе зарядил Freeradius-mysql, завел в Мускул тестового пользователя, все работает без проблем (и локально и с Цисок по сетке):

#radtest user shmuser localhost 1812 123
Sending Access-Request of id 97 to 127.0.0.1 port 1812
        User-Name = "user"
        User-Password = "user123"
        NAS-IP-Address = 255.255.255.255
        NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=97, length=20

Но с точкой доступа - проблемы. В clients.conf прописана.

client 192.168.0.37 {
    secret        = 4321
    shortname    = wifi
    nastype = other
}

Tcpdump-ом смотрел - запрос на авторизацию идет, но потом - отлуп.
Я так понимаю что нужно включить шифрование? Какой метод прописать в radius.conf?
Пытался прописать $INCLUDE ${confdir}/eap.conf предварительно настроив eap.conf

eap {
   default_eap_type = tls

tls {
private_key_password = whatever
private_key_file = /usr/local/etc/raddb/certs/cert-srv.pem
certificate_file = /usr/local/etc/raddb/certs/certs/cert-srv.pem
CA_file = /usr/local/etc/raddb/certs/certs/demoCA/cacert.pem
dh_file = /usr/local/etc/raddb/certs/certs/dh
random_file = /usr/local/etc/raddb/certs/certs/random
   }
}

Все равно не работает. Вот что в логах:
Fri Oct  4 15:07:34 2013 : Info: Ready to process requests.
Fri Oct  4 15:07:40 2013 : Auth: Login OK: [user] (from client localhost port 1812)
Fri Oct  4 15:08:57 2013 : Error: TLS Alert read:fatal:certificate unknown
Fri Oct  4 15:08:57 2013 : Error:     TLS_accept:failed in SSLv3 read client certificate A
Fri Oct  4 15:08:57 2013 : Error: rlm_eap: SSL error error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown
Fri Oct  4 15:08:57 2013 : Error: rlm_eap_tls: SSL_read failed inside of TLS (-1), TLS session fails.
Fri Oct  4 15:08:57 2013 : Auth: Login incorrect: [anonymous/<no User-Password attribute>] (from client wifi port 1 cli 9C-02-98-E5-D9-C9)
Fri Oct  4 15:09:07 2013 : Auth: Login OK: [user] (from client localhost port 1812)
Fri Oct  4 15:09:28 2013 : Error: TLS Alert read:fatal:certificate unknown
Fri Oct  4 15:09:28 2013 : Error:     TLS_accept:failed in SSLv3 read client certificate A
Fri Oct  4 15:09:28 2013 : Error: rlm_eap: SSL error error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown
Fri Oct  4 15:09:28 2013 : Error: rlm_eap_tls: SSL_read failed inside of TLS (-1), TLS session fails.
Fri Oct  4 15:09:28 2013 : Auth: Login incorrect: [anonymous/<no User-Password attribute>] (from client wifi port 1 cli 9C-02-98-E5-D9-C9)
Sat Oct  5 13:10:45 2013 : Info: Using deprecated naslist file.  Support for this will go away soon.


Прошу помощи раскрутить.


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Freeradis и WI-FI"  +/
Сообщение от PJ (ok) on 05-Окт-13, 20:14 

>[оверквотинг удален]
> TLS_accept:failed in SSLv3 read client certificate A
> Fri Oct  4 15:09:28 2013 : Error: rlm_eap: SSL error error:14094416:SSL
> routines:SSL3_READ_BYTES:sslv3 alert certificate unknown
> Fri Oct  4 15:09:28 2013 : Error: rlm_eap_tls: SSL_read failed inside
> of TLS (-1), TLS session fails.
> Fri Oct  4 15:09:28 2013 : Auth: Login incorrect: [anonymous/<no User-Password
> attribute>] (from client wifi port 1 cli 9C-02-98-E5-D9-C9)
> Sat Oct  5 13:10:45 2013 : Info: Using deprecated naslist file.
>  Support for this will go away soon.
> Прошу помощи раскрутить.

Для клиента сертификат сделали? На клиентском компьютере сертификаты клиента и CA установлены? В свойствах беспроводной сети нужный CA выбран?

Посмотрите тут http://www.lissyara.su/articles/freebsd/security/wpa2_radius.../

(в скриптах, прилагаемых к статье возможно, есть опечатки/ошибки. Мне пришлось в паре мест ' на ` менять)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Freeradis и WI-FI"  +/
Сообщение от Алексей (??) on 06-Окт-13, 12:48 
> Для клиента сертификат сделали? На клиентском компьютере сертификаты клиента и CA установлены?
> В свойствах беспроводной сети нужный CA выбран?
> Посмотрите тут http://www.lissyara.su/articles/freebsd/security/wpa2_radius.../
> (в скриптах, прилагаемых к статье возможно, есть опечатки/ошибки. Мне пришлось в паре
> мест ' на ` менять)

Спасибо! Почитаю. Статью эту видел, но пролетел мимо. Серты клиентам не ставил, т. к. в 90% случаем это будут смартовые мобилки,  т.е. peap нужен. В общем буду изучать вопрос далее.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Freeradis и WI-FI"  +/
Сообщение от PJ (ok) on 06-Окт-13, 19:03 
>> Для клиента сертификат сделали? На клиентском компьютере сертификаты клиента и CA установлены?
>> В свойствах беспроводной сети нужный CA выбран?
>> Посмотрите тут http://www.lissyara.su/articles/freebsd/security/wpa2_radius.../
>> (в скриптах, прилагаемых к статье возможно, есть опечатки/ошибки. Мне пришлось в паре
>> мест ' на ` менять)
> Спасибо! Почитаю. Статью эту видел, но пролетел мимо. Серты клиентам не ставил,
> т. к. в 90% случаем это будут смартовые мобилки,  т.е.
> peap нужен. В общем буду изучать вопрос далее.

Обратите внимание на то, что тип EAP может быть только один (а не одновременно 2 и это еще одна ошибка в статье) - или PEAP, или TLS. Сертификаты в Андроид религия вроде как не запрещает импортировать - нужно только сконвертировать корневой .pem-сертификат в .crt и поместить его на SD-карту, и туда же поместить .p12-сертификат клиента  (см., например, http://habrahabr.ru/post/128405/ )


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру