RADIUS und ACL

[sabeth]

Hallo,

ich hoffe hier kann mir jemand weiter helfen! Google war leider bisher nicht sehr hilfreich und ich habe keine Ideen mehr was ich falsch mache!

Ich habe einen Freeradius-Server (IP 192.168.1.10), die Authentifizierung läuft! Nun habe ich eine einfache ACL auf meinem Access Point (Cisco Aironet 1200) liegen:

Code:

ip access-list extended test11
  permit udp any host 192.168.1.10 eq 1812   <- für Radius
  permit udp any host 192.168.1.10 eq 80       <- für meinen Webserver
  permit udp any any eq bootps <- DHCP

Wenn ich diese ACL auf ein VLAN Interface direct anwende (ip access-group test11 in) funktioniert es!

Der Eintrag bei users sieht so aus:

Code:

client  Auth-Type := EAP, User-Password == "xxx"
          Tunnel-Type = 13,
          Tunnel-Medium-Type = 6
          Tunnel-Private-Group-Id = 11,
          Filter-Id = "test11"

Ich habe es auch schon mit "test11.in" versucht, sowie mit cisco-avpair, kein Erfolg! Wenn ich debug radius aktiviere erscheint keine ersichtliche Fehlermeldung:

*Mar 1 06:55:13.743 RADIUS: Filter-Id [11] 8
*Mar 1 06:55:13.743 RADIUS: 31 31 31 3E... [test11]


Ich bin für jeden Hinweis dankbar!!

Gruß Franka

[rob_67]

Hi Franka,

...und was funktioniert jetzt nicht, ich versteh das Problem nicht ganz...


Gruss

Rob

[sabeth]

LOL... äh ja!

Also wenn ich es über RADIUS laufen lasse, geht es nicht! Der Eintrag scheint keinen Effekt zu haben!

[tom12]

Hi,

also allzugut kenn ich mich mit Radius nicht aus, allerdings benötigst du ev. auch udp 1813 fürs Accounting...

Füge an der ACL am Ende "deny ip any any log" ein.
Dann noch im global Mode
#terminal monitor

und versuchs nochmal.
..vielleicht wird irgendwas geblockt..


Gruss
THomas

[Wordo]

ich glaub aeltere (oder alle?) Systeme benutzen als Port fuer Radius 1645, FreeRadius allerdings 1812. Ich hab das bei mir fest eingetragen
aaa group server radius radius01
server 81.24.66.7 auth-port 1812 acct-port 1813

Schau doch mal bei deinem Radiusserver was fuer Ports offen sind ob da Pakete ankommen?
Ich unterstelle mal du hast Linux:
netstat -tupan <-- welche Ports offen
tcpdump host <ciscoip> -n <-- schauen ob Pakete ankommen

[sabeth]

Hi, danke für eure Antworten, leider klappt es immer noch nicht!

Meine Access Liste sieht nun so aus:

Code:

ip access-list extended test11
  permit udp any host 192.168.1.10 eq 1812   
  permit udp any host 192.168.1.10 eq 1813   
  permit udp any host 192.168.1.10 eq 80  
  permit udp any any eq bootps
  deny ip any any log

Die Ports stimmen!

Er blockt nur leider gar nichts! Die Verbindung wird hergestellt (das ist ja auch erlaubt) aber ich kann zum Beispiel weiterhin pings absenden! Das sollte ja nun eigentlich nicht mehr gehen!
Mein AP verwendet die ACL gar nicht, wenn ich es ihm über RADIUS sage, scheinbar ist dort irgendwas falsch, aber ich weiß leider nicht was!?

[Wordo]

Dann starte doch deinen Radius mit "-x" damit er nicht in den Background geht und die Debugs auf die Console schmeisst. Und beim tcpdump kannste noch -X -s 0 angeben dann wird dir noch der Inhalt der Radiuspakete angezeigt. Da stehen dann meisstens auch Fehlermeldungen drin (im Klartext)

[sabeth]

Also hier ein ausschnitt des tcpdumps:

Code:

10:25:18.943436 IP 192.168.2.10.21645 > 192.168.1.10.radius: RADIUS, Access Request (1), id: 0x1f length: 138
    0x0000:  4500 00a6 0032 0000 fe11 37b0 c0a8 020a  E....2....7.....
    0x0010:  c0a8 010a 548d 0714 0092 503c 011f 008a  ....T.....P<....
    0x0020:  4e32 6bc7 560b 61e5 7100 83d9 cdf0 fd81  N2k.V.a.q.......
    0x0030:  010a 636c 6965 6e74 3031 0c06 0000 0578  ..client01.....x
    0x0040:  1e10 3030 3065 2e38 3362 362e 3732 3032  ..000e.83b6.7202
    0x0050:  1f10 3030 3930 2e34 6237 642e 6230 6665  ..0090.4b7d.b0fe
    0x0060:  5012 2156 373d 1bf6 d79d 553c fae0 5013  P.!V7=....U<..P.
    0x0070:  30cb 4f0f 0202 000d 0163 6c69 656e 7430  0.O......client0
    0x0080:  313d 0600 0000 1305 0600 0001 1b06 0600  1=..............
    0x0090:  0000 0204 06c0 a802 0a20 0d41 6363 6573  ...........Acces
    0x00a0:  7350 6f69 6e74                           sPoint
10:25:18.944774 IP 192.168.1.10.radius > 192.168.2.10.21645: RADIUS, Access Challenge (11), id: 0x1f length: 88
    0x0000:  4500 0074 0000 4000 4011 b614 c0a8 010a  E..t..@.@.......
    0x0010:  c0a8 020a 0714 548d 0060 da14 0b1f 0058  ......T..`.....X
    0x0020:  3b73 6c7a 2fdd fee9 3049 302d 432d 209c  ;slz/...0I0-C-..
    0x0030:  4006 0000 000d 4106 0000 0006 5104 3131  @.....A.....Q.11
    0x0040:  0b08 3131 312e 696e 4f08 0103 0006 0d20  ..111.inO.......
    0x0050:  5012 5d5b 6041 dc65 a135 e6f3 d499 3bc0  P.][`A.e.5....;.
    0x0060:  2afd 1812 60e4 a09a 5a6b 06a9 1079 c1e3  *...`...Zk...y..
    0x0070:  a6b3 c5ff                                ....

[sabeth]

Und vom Radiuslog

Code:

rad_recv: Access-Request packet from host 192.168.2.10:21645, id=87, length=255
    User-Name = "client01"
    Framed-MTU = 1400
    Called-Station-Id = "000e.83b6.7202"
    Calling-Station-Id = "0090.4b7d.b0fe"
    Message-Authenticator = 0x01f184ff7a9d84666d716b0bee9719ba
    EAP-Message = 000a000900640062000300060013001200630100...
    NAS-Port-Type = Wireless-802.11
    NAS-Port = 290
    State = 0xb4f38bb446fa5dc1dd4bfb1f82e68ae8
    Service-Type = Framed-User
    NAS-IP-Address = 192.168.2.10
    NAS-Identifier = "AccessPoint"
  Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 1
  modcall[authorize]: module "preprocess" returns ok for request 1
  modcall[authorize]: module "chap" returns noop for request 1
  modcall[authorize]: module "mschap" returns noop for request 1
    rlm_realm: No '@' in User-Name = "client01", looking up realm NULL
    rlm_realm: No such realm "NULL"
  modcall[authorize]: module "suffix" returns noop for request 1
  rlm_eap: EAP packet type response id 3 length 112
  rlm_eap: No EAP Start, assuming it's an on-going EAP conversation
  modcall[authorize]: module "eap" returns updated for request 1
    users: Matched entry client01 at line 98
  modcall[authorize]: module "files" returns ok for request 1
modcall: group authorize returns updated for request 1
  rad_check_password:  Found Auth-Type EAP
auth: type "EAP"
  Processing the authenticate section of radiusd.conf
modcall: entering group authenticate for request 1
  rlm_eap: Request found, released from the list
  rlm_eap: EAP/tls
  rlm_eap: processing type tls
  rlm_eap_tls: Authenticate
  rlm_eap_tls: processing TLS
rlm_eap_tls:  Length Included
  eaptls_verify returned 11
    (other): before/accept initialization
    TLS_accept: before/accept initialization
  rlm_eap_tls: <<< TLS 1.0 Handshake [length 0061], ClientHello  
    TLS_accept: SSLv3 read client hello A
  rlm_eap_tls: >>> TLS 1.0 Handshake [length 004a], ServerHello  
    TLS_accept: SSLv3 write server hello A
  rlm_eap_tls: >>> TLS 1.0 Handshake [length 0da9], Certificate  
    TLS_accept: SSLv3 write certificate A
  rlm_eap_tls: >>> TLS 1.0 Handshake [length 0093], CertificateRequest  
    TLS_accept: SSLv3 write certificate request A
    TLS_accept: SSLv3 flush data
    TLS_accept:error in SSLv3 read client certificate A
In SSL Handshake Phase
In SSL Accept mode  
  eaptls_process returned 13
  modcall[authenticate]: module "eap" returns handled for request 1
modcall: group authenticate returns handled for request 1
Sending Access-Challenge of id 87 to 192.168.2.10:21645
    Tunnel-Type:0 = VLAN
    Tunnel-Medium-Type:0 = IEEE-802
    Tunnel-Private-Group-Id:0 = "11"
    Filter-Id = "test11"
    EAP-Message = 0x0104040a0dc000000e95160301004a02000...
    EAP-Message = 0x864886f70d010901160433363530301e170...
    EAP-Message = 0x6e658fce087394c2701545de389be5a1265...
    EAP-Message = 0x19d835795cef6bff6f2221593ff178b7b1840...
    EAP-Message = 0x480186f842010d041e161c54696e7943412047656e65
    Message-Authenticator = 0x00000000000000000000000000000000
    State = 0xd9a52f6478376abbc843edcdb1eece8f
Finished request 1

ALso der RADIUS-Log gibt keine Fehlermeldung aus!
Durch den TCPdump steig ich nicht durch! Sieht aber ok aus auf den ersten Blick!

[sabeth]

Ok, ich konnte das Problem weiter einkreisen! Es liegt wohl an den VLAN die ich besitze!

Allerdings endet da auch schon mein Wissen!