• Zarejestrowany: 2010-02-18
  • Posty: 99

Temat: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

Cześć,

Mam tl-wr1043ND z polskim gargulcem. Dodałem do tego wszystkiego freeradius  mniej więcej z instrukcją na http://rpc.one.pl/index.php/lista-artyk … od-openwrt
Mniej więcej bo wgrałem freeradius a nie freeradius2. Nie chciało mi się generować certyfikatów a w wersji 1 są gotowe przykładowe:]

Więc do rzeczy..
Wszystko sobie śmiga a co jakiś czas.. głównie wieczorami zrywa mi połączenie z laptopem (Windows 7 EAP-PEAP-mschapv2)
Objawią się to brakiem możliwości ping'owania routera i komunikatem "limited access" przy połączeniu sieciowym. Po 1-2 min wszystko wraca do normy. Czasami trzeba dać ręcznie "rozłącz" "połącz".

radius.log

Wed Jan  5 20:35:10 2011 : Info: rlm_eap_mschapv2: Issuing Challenge
Wed Jan  5 20:35:10 2011 : Error: Trying to look up name of unknown client 127.0.0.1.
Wed Jan  5 20:35:10 2011 : Auth: Login OK: [pawel.xx] (from client UNKNOWN-CLIENT port 0)
Wed Jan  5 20:35:10 2011 : Auth: Login OK: [pawel.xx] (from client localhost port 3 cli 00-22-FB-C2-4B-xx)
Wed Jan  5 20:36:31 2011 : Info: rlm_eap_mschapv2: Issuing Challenge
Wed Jan  5 20:36:31 2011 : Error: Trying to look up name of unknown client 127.0.0.1.
Wed Jan  5 20:36:31 2011 : Auth: Login OK: [pawel.xx] (from client UNKNOWN-CLIENT port 0)
Wed Jan  5 20:36:31 2011 : Auth: Login OK: [pawel.xx] (from client localhost port 3 cli 00-22-FB-C2-4B-xx)

Zrobiłem test i połączyłem WRT54GL jako AP do sieci. Ustawiłem WPA2 i radius'a z tl-wr1043ND... problem nie wystąpił:]

Jak się za to zabrać?

TL-WR1043ND + Gargoyle PL || WRT54GL

2 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

nie musisz mieć freeradius. Możesz wykorzystać hostapd i będziesz miał mniej na głowie http://rpc.one.pl/index.php/lista-artyk … -w-openwrt

nie testowałem freeradius więc w sumie to nie wiem co może być.

wieczorami zrywa bo pewnie wtedy dłużej siedzisz ? czy to raczej nie ma znaczenia ?

ja bym jeszcze mimo wszystko zobaczył jeszcze logi hostapd z momentu rozłączenia

hostapd var/run/hostapd-phy0.conf -dd

co do freeradius mozna zwiększyć poziom logowania
debug_level = 2

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

3 Odpowiedź przez micolajevicz

  • Zarejestrowany: 2010-02-18
  • Posty: 99

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

No ale jak chce mieć kilka AP'ków podłączonych to chyba potrzebuję jednak radiusa, czy nie?

Nie siedzę więcej wieczorami, komp jest włączony w od rana do wieczora.
W sumie są u mnie 4 komputery i 2 telefony na androidzie. Na telefonach nic się nie dzieje. Na XP też nie. Na jednym z 7 też a na dwóch z windows 7 co jakiś czas zrywa połączenie.
Są to dwa kompy które w sumie chodzą non stop. Mój i siostry. U niej co jakiś czas robi się jeszcze coś takiego, że trzeba wpisać od nowa login i hasło do sieci.

Odpaliłem debug na hostapd w putty i czekam aż się coś wywali to wrzucę loga:)

A ten debug_level  to gdzie ma być w freeradius?

TL-WR1043ND + Gargoyle PL || WRT54GL

4 Odpowiedź przez micolajevicz

  • Zarejestrowany: 2010-02-18
  • Posty: 99

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

Log z hostapd.

Attribute 61 (NAS-Port-Type) length=6
      Value: 19
   Attribute 77 (Connect-Info) length=24
      Value: 'CONNECT 54Mbps 802.11g'
   Attribute 79 (EAP-Message) length=61
      Value: 02 8d 00 3b 19 00 17 03 01 00 30 1a f9 50 21 89 36 3f b1 38 aa 00 d6 0a 90 83 cd 7d 46 c6 fe d0 6b 2d 21 e4 40 40 3b 3c 1e 43 54 97 39 be f1 94 e0 f1 71 9e 25 70 d7 e6 3c f3 05
   Attribute 24 (State) length=18
      Value: 04 84 40 c4 51 d6 5f c6 8d 41 6a 82 b5 59 25 5a
   Attribute 80 (Message-Authenticator) length=18
      Value: a2 fd a3 df cb 77 2b eb 92 af 0f ff de 94 3b df
1295025550.238207: wlan0: RADIUS Next RADIUS client retransmit in 3 seconds

1295025550.241713: wlan0: RADIUS Received 133 bytes from RADIUS server
1295025550.241823: wlan0: RADIUS Received RADIUS message
RADIUS message: code=11 (Access-Challenge) identifier=56 length=133
   Attribute 79 (EAP-Message) length=77
      Value: 01 8e 00 4b 19 00 17 03 01 00 40 61 fd 87 11 94 63 c9 52 f3 de 6a 7a 17 4a 17 4d cd 5a 70 86 f5 ae c2 b2 3d c1 84 04 bc 52 60 2d 3b 02 71 6b 62 c0 b8 ed ba ce a3 2a 04 1c 19 1c 6d 57 18 57 d9 e2 fe de 37 13 99 a8 55 69 03 79
   Attribute 80 (Message-Authenticator) length=18
      Value: e2 a9 1f 6c e5 da 3f bb 8b b3 95 28 aa 37 a4 a7
   Attribute 24 (State) length=18
      Value: 65 13 06 2c b5 13 70 1d 86 ae 6d 00 1c 65 51 2e
1295025550.242781: wlan0: STA 1c:4b:d6:6e:2a:7f RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec
1295025550.242879: RADIUS packet matching with station 1c:4b:d6:6e:2a:7f
1295025550.243050: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: decapsulated EAP packet (code=1 id=142 len=75) from RADIUS server: EAP-Request-PEAP (25)
1295025550.243141: EAP: EAP entering state AAA_RESPONSE
1295025550.243182: EAP: getId: id=142
1295025550.243216: EAP: EAP entering state SEND_REQUEST2
1295025550.243255: EAP: EAP entering state IDLE2
1295025550.243287: EAP: retransmit timeout 3 seconds (from dynamic back off; retransCount=0)
1295025550.243336: IEEE 802.1X: 1c:4b:d6:6e:2a:7f BE_AUTH entering state REQUEST
1295025550.243478: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: Sending EAP Packet (identifier 142)
1295025550.243854: IEEE 802.1X: 1c:4b:d6:6e:2a:7f TX status - version=2 type=0 length=75 - ack=1
1295025550.265136: IEEE 802.1X: 111 bytes from 1c:4b:d6:6e:2a:7f
1295025550.265254:    IEEE 802.1X: version=1 type=0 length=107
1295025550.265302: EAP: code=2 identifier=142 length=107
1295025550.265348:  (response)
1295025550.265475: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: received EAP packet (code=2 id=142 len=107) from STA: EAP Response-PEAP (25)
1295025550.265560: IEEE 802.1X: 1c:4b:d6:6e:2a:7f BE_AUTH entering state RESPONSE
1295025550.265640: EAP: EAP entering state RECEIVED2
1295025550.265674: EAP: parseEapResp: rxResp=1 respId=142 respMethod=25 respVendor=0 respVendorMethod=0
1295025550.265736: EAP: EAP entering state AAA_REQUEST
1295025550.265773: EAP: EAP entering state AAA_IDLE
1295025550.265811: Encapsulating EAP message into a RADIUS packet
1295025550.265984: Copied RADIUS State Attribute
1295025550.266088: wlan0: RADIUS Sending RADIUS message to authentication server
RADIUS message: code=1 (Access-Request) identifier=57 length=272
   Attribute 1 (User-Name) length=16
      Value: 'urszula.stojak'
   Attribute 32 (NAS-Identifier) length=2
      Value: ''
   Attribute 5 (NAS-Port) length=6
      Value: 1
   Attribute 30 (Called-Station-Id) length=28
      Value: '94-0C-6D-AC-51-1A:Gargoyle'
   Attribute 31 (Calling-Station-Id) length=19
      Value: '1C-4B-D6-6E-2A-7F'
   Attribute 12 (Framed-MTU) length=6
      Value: 1400
   Attribute 61 (NAS-Port-Type) length=6
      Value: 19
   Attribute 77 (Connect-Info) length=24
      Value: 'CONNECT 54Mbps 802.11g'
   Attribute 79 (EAP-Message) length=109
      Value: 02 8e 00 6b 19 00 17 03 01 00 60 79 19 8a 25 56 3b e1 f4 2f 8c 83 45 6b db ef bc 4e 13 fc a0 4c a1 eb 3e fd b1 11 9f c3 dd 66 3c c1 be 29 06 ea 43 f2 79 8b 64 f5 04 e8 20 1e aa 08 37 42 ab 67 d9 31 2b 97 da b5 f7 86 03 b9 bc ef 62 14 7e 5d 35 33 14 ba 96 6d 78 02 e2 86 eb 5f cd 59 84 35 b2 bd ea a4 70 05 b5 56 4f 5c d0
   Attribute 24 (State) length=18
      Value: 65 13 06 2c b5 13 70 1d 86 ae 6d 00 1c 65 51 2e
   Attribute 80 (Message-Authenticator) length=18
      Value: 7a 19 cf d9 d0 fd 61 3b ce 08 a1 50 e3 47 ef f5
1295025550.267816: wlan0: RADIUS Next RADIUS client retransmit in 3 seconds

1295025550.272750: wlan0: RADIUS Received 149 bytes from RADIUS server
1295025550.272861: wlan0: RADIUS Received RADIUS message
RADIUS message: code=11 (Access-Challenge) identifier=57 length=149
   Attribute 79 (EAP-Message) length=93
      Value: 01 8f 00 5b 19 00 17 03 01 00 50 02 2e 89 ad e4 28 d3 0c e5 c4 7c 61 6c 48 41 5f 58 21 36 6f cf c0 7e f9 07 59 70 41 51 61 9b d3 16 92 1b 9f 01 30 0e 2d da 3d f9 53 fb 38 16 8f 55 24 1f 56 9d 4f 7f 28 75 91 e3 61 69 d0 a8 d9 2b 55 f4 bb ac 13 76 76 47 f0 5f ec 3b 8c 16 b1
   Attribute 80 (Message-Authenticator) length=18
      Value: 8d 60 04 84 84 03 90 cf e4 cd b5 9f d9 3a 7b e0
   Attribute 24 (State) length=18
      Value: 1b 0f 29 81 30 8c 48 75 da 9a 72 ad 44 2b 6c 1c
1295025550.273930: wlan0: STA 1c:4b:d6:6e:2a:7f RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec
1295025550.274027: RADIUS packet matching with station 1c:4b:d6:6e:2a:7f
1295025550.274198: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: decapsulated EAP packet (code=1 id=143 len=91) from RADIUS server: EAP-Request-PEAP (25)
1295025550.274291: EAP: EAP entering state AAA_RESPONSE
1295025550.274332: EAP: getId: id=143
1295025550.274367: EAP: EAP entering state SEND_REQUEST2
1295025550.274406: EAP: EAP entering state IDLE2
1295025550.274439: EAP: retransmit timeout 3 seconds (from dynamic back off; retransCount=0)
1295025550.274489: IEEE 802.1X: 1c:4b:d6:6e:2a:7f BE_AUTH entering state REQUEST
1295025550.274628: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: Sending EAP Packet (identifier 143)
1295025550.275001: IEEE 802.1X: 1c:4b:d6:6e:2a:7f TX status - version=2 type=0 length=91 - ack=1
1295025550.285560: IEEE 802.1X: 47 bytes from 1c:4b:d6:6e:2a:7f
1295025550.285677:    IEEE 802.1X: version=1 type=0 length=43
1295025550.285726: EAP: code=2 identifier=143 length=43
1295025550.285772:  (response)
1295025550.285897: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: received EAP packet (code=2 id=143 len=43) from STA: EAP Response-PEAP (25)
1295025550.285982: IEEE 802.1X: 1c:4b:d6:6e:2a:7f BE_AUTH entering state RESPONSE
1295025550.286062: EAP: EAP entering state RECEIVED2
1295025550.286096: EAP: parseEapResp: rxResp=1 respId=143 respMethod=25 respVendor=0 respVendorMethod=0
1295025550.286159: EAP: EAP entering state AAA_REQUEST
1295025550.286197: EAP: EAP entering state AAA_IDLE
1295025550.286235: Encapsulating EAP message into a RADIUS packet
1295025550.286409: Copied RADIUS State Attribute
1295025550.286510: wlan0: RADIUS Sending RADIUS message to authentication server
RADIUS message: code=1 (Access-Request) identifier=58 length=208
   Attribute 1 (User-Name) length=16
      Value: 'urszula.stojak'
   Attribute 32 (NAS-Identifier) length=2
      Value: ''
   Attribute 5 (NAS-Port) length=6
      Value: 1
   Attribute 30 (Called-Station-Id) length=28
      Value: '94-0C-6D-AC-51-1A:Gargoyle'
   Attribute 31 (Calling-Station-Id) length=19
      Value: '1C-4B-D6-6E-2A-7F'
   Attribute 12 (Framed-MTU) length=6
      Value: 1400
   Attribute 61 (NAS-Port-Type) length=6
      Value: 19
   Attribute 77 (Connect-Info) length=24
      Value: 'CONNECT 54Mbps 802.11g'
   Attribute 79 (EAP-Message) length=45
      Value: 02 8f 00 2b 19 00 17 03 01 00 20 a4 bc a7 aa 3b a3 06 5f 20 9c 4f 48 98 32 24 ec 30 b5 b0 2f 66 c5 41 2e da 09 80 85 10 4d 7a 52
   Attribute 24 (State) length=18
      Value: 1b 0f 29 81 30 8c 48 75 da 9a 72 ad 44 2b 6c 1c
   Attribute 80 (Message-Authenticator) length=18
      Value: 60 70 b7 fd 03 f0 2c e9 d0 c1 27 8f 43 11 41 3a
1295025550.287795: wlan0: RADIUS Next RADIUS client retransmit in 3 seconds

1295025550.291443: wlan0: RADIUS Received 101 bytes from RADIUS server
1295025550.291552: wlan0: RADIUS Received RADIUS message
RADIUS message: code=11 (Access-Challenge) identifier=58 length=101
   Attribute 79 (EAP-Message) length=45
      Value: 01 90 00 2b 19 00 17 03 01 00 20 1d bd 80 16 05 72 56 86 73 9b 7f f2 00 41 9d 75 e0 66 d9 9d 3e f9 a4 55 ae 66 f7 81 db 31 0d 4f
   Attribute 80 (Message-Authenticator) length=18
      Value: 90 fe dc bb 53 f9 23 ff 17 c9 d9 5e 90 ca 07 d5
   Attribute 24 (State) length=18
      Value: 35 bc 12 8f 72 7a 4c eb 8a 9b f8 e9 e7 c9 ae a1
1295025550.292477: wlan0: STA 1c:4b:d6:6e:2a:7f RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec
1295025550.292586: RADIUS packet matching with station 1c:4b:d6:6e:2a:7f
1295025550.292761: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: decapsulated EAP packet (code=1 id=144 len=43) from RADIUS server: EAP-Request-PEAP (25)
1295025550.292858: EAP: EAP entering state AAA_RESPONSE
1295025550.292900: EAP: getId: id=144
1295025550.292935: EAP: EAP entering state SEND_REQUEST2
1295025550.292972: EAP: EAP entering state IDLE2
1295025550.293005: EAP: retransmit timeout 3 seconds (from dynamic back off; retransCount=0)
1295025550.293056: IEEE 802.1X: 1c:4b:d6:6e:2a:7f BE_AUTH entering state REQUEST
1295025550.293196: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: Sending EAP Packet (identifier 144)
1295025550.293547: IEEE 802.1X: 1c:4b:d6:6e:2a:7f TX status - version=2 type=0 length=43 - ack=1
1295025550.303601: IEEE 802.1X: 47 bytes from 1c:4b:d6:6e:2a:7f
1295025550.303720:    IEEE 802.1X: version=1 type=0 length=43
1295025550.303770: EAP: code=2 identifier=144 length=43
1295025550.303815:  (response)
1295025550.303940: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: received EAP packet (code=2 id=144 len=43) from STA: EAP Response-PEAP (25)
1295025550.304021: IEEE 802.1X: 1c:4b:d6:6e:2a:7f BE_AUTH entering state RESPONSE
1295025550.304100: EAP: EAP entering state RECEIVED2
1295025550.304134: EAP: parseEapResp: rxResp=1 respId=144 respMethod=25 respVendor=0 respVendorMethod=0
1295025550.304196: EAP: EAP entering state AAA_REQUEST
1295025550.304233: EAP: EAP entering state AAA_IDLE
1295025550.304272: Encapsulating EAP message into a RADIUS packet
1295025550.304446: Copied RADIUS State Attribute
1295025550.304546: wlan0: RADIUS Sending RADIUS message to authentication server
RADIUS message: code=1 (Access-Request) identifier=59 length=208
   Attribute 1 (User-Name) length=16
      Value: 'urszula.stojak'
   Attribute 32 (NAS-Identifier) length=2
      Value: ''
   Attribute 5 (NAS-Port) length=6
      Value: 1
   Attribute 30 (Called-Station-Id) length=28
      Value: '94-0C-6D-AC-51-1A:Gargoyle'
   Attribute 31 (Calling-Station-Id) length=19
      Value: '1C-4B-D6-6E-2A-7F'
   Attribute 12 (Framed-MTU) length=6
      Value: 1400
   Attribute 61 (NAS-Port-Type) length=6
      Value: 19
   Attribute 77 (Connect-Info) length=24
      Value: 'CONNECT 54Mbps 802.11g'
   Attribute 79 (EAP-Message) length=45
      Value: 02 90 00 2b 19 00 17 03 01 00 20 66 92 8c bc 99 ca 65 90 08 2d 6b 50 26 36 87 90 2b 90 77 8c b8 2c 6f 1c a4 05 f3 f5 e0 3b 7c b9
   Attribute 24 (State) length=18
      Value: 35 bc 12 8f 72 7a 4c eb 8a 9b f8 e9 e7 c9 ae a1
   Attribute 80 (Message-Authenticator) length=18
      Value: 25 4e 84 3c 22 0b 57 d5 1c cf 07 8e 1c 9a 35 4a
1295025550.305833: wlan0: RADIUS Next RADIUS client retransmit in 3 seconds

1295025550.307919: wlan0: RADIUS Received 176 bytes from RADIUS server
1295025550.308028: wlan0: RADIUS Received RADIUS message
RADIUS message: code=2 (Access-Accept) identifier=59 length=176
   Attribute 26 (Vendor-Specific) length=58
      Value: 00 00 01 37 11 34 a0 70 85 b4 87 b7 0a 4f 55 c7 f2 9a b0 9a cb 68 0a cc c5 ad 7d 41 62 a2 26 50 2e 23 ad e2 2f 28 f8 0e e2 f6 50 50 90 43 74 7e 30 fe 31 67 29 01 ce 31
   Attribute 26 (Vendor-Specific) length=58
      Value: 00 00 01 37 10 34 af da 35 0f 41 c8 3c aa 79 6f e5 c6 ed e0 81 9c 0c eb 1d 62 cd 62 af dd 1c 88 fc c1 b9 1d 56 49 32 0e 47 1a 2b 91 f1 b2 98 23 6f b9 ba 53 83 8f e2 6c
   Attribute 79 (EAP-Message) length=6
      Value: 03 90 00 04
   Attribute 80 (Message-Authenticator) length=18
      Value: ae cf 73 38 83 98 93 ba a7 e0 5d 3d 57 a5 9a cb
   Attribute 1 (User-Name) length=16
      Value: 'urszula.stojak'
1295025550.311471: wlan0: STA 1c:4b:d6:6e:2a:7f RADIUS: Received RADIUS packet matched with a pending request, round trip time 0.00 sec
1295025550.311573: RADIUS packet matching with station 1c:4b:d6:6e:2a:7f
1295025550.311690: MS-MPPE-Send-Key - hexdump(len=32): [REMOVED]
1295025550.311739: MS-MPPE-Recv-Key - hexdump(len=32): [REMOVED]
1295025550.311858: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: old identity 'urszula.stojak' updated with User-Name from Access-Accept 'urszula.stojak'
1295025550.311983: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: decapsulated EAP packet (code=3 id=144 len=4) from RADIUS server: EAP Success
1295025550.312083: EAP: EAP entering state SUCCESS2
1295025550.312127: IEEE 802.1X: 1c:4b:d6:6e:2a:7f BE_AUTH entering state SUCCESS
1295025550.312269: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: Sending EAP Packet (identifier 144)
1295025550.312457: IEEE 802.1X: 1c:4b:d6:6e:2a:7f BE_AUTH entering state IDLE
1295025550.312672: WPA: 1c:4b:d6:6e:2a:7f WPA_PTK entering state INITPMK
1295025550.312744: WPA: PMK from EAPOL state machine (len=64)
1295025550.312788: WPA: 1c:4b:d6:6e:2a:7f WPA_PTK entering state PTKSTART
1295025550.312922: wlan0: STA 1c:4b:d6:6e:2a:7f WPA: sending 1/4 msg of 4-Way Handshake
1295025550.313018: WPA: Send EAPOL(version=2 secure=0 mic=0 ack=1 install=0 pairwise=8 kde_len=22 keyidx=0 encr=0)
1295025550.313269: IEEE 802.1X: 1c:4b:d6:6e:2a:7f TX status - version=2 type=0 length=4 - ack=1
1295025550.313486: IEEE 802.1X: 1c:4b:d6:6e:2a:7f TX status - version=2 type=3 length=117 - ack=1
1295025550.341078: IEEE 802.1X: 121 bytes from 1c:4b:d6:6e:2a:7f
1295025550.341197:    IEEE 802.1X: version=1 type=3 length=117
1295025550.341340: wlan0: STA 1c:4b:d6:6e:2a:7f WPA: received EAPOL-Key frame (2/4 Pairwise)
1295025550.341390: WPA: 1c:4b:d6:6e:2a:7f WPA_PTK entering state PTKCALCNEGOTIATING
1295025550.341585: WPA: PTK derivation - A1=94:0c:6d:ac:51:1a A2=1c:4b:d6:6e:2a:7f
1295025550.341684: WPA: PMK - hexdump(len=32): [REMOVED]
1295025550.341726: WPA: PTK - hexdump(len=48): [REMOVED]
1295025550.341828: WPA: 1c:4b:d6:6e:2a:7f WPA_PTK entering state PTKCALCNEGOTIATING2
1295025550.341898: WPA: 1c:4b:d6:6e:2a:7f WPA_PTK entering state PTKINITNEGOTIATING
1295025550.342602: wlan0: STA 1c:4b:d6:6e:2a:7f WPA: sending 3/4 msg of 4-Way Handshake
1295025550.342679: WPA: Send EAPOL(version=2 secure=1 mic=1 ack=1 install=1 pairwise=8 kde_len=46 keyidx=1 encr=1)
1295025550.342772: Plaintext EAPOL-Key Key Data - hexdump(len=56): [REMOVED]
1295025550.343372: IEEE 802.1X: 1c:4b:d6:6e:2a:7f TX status - version=2 type=3 length=151 - ack=1
1295025550.346062: IEEE 802.1X: 99 bytes from 1c:4b:d6:6e:2a:7f
1295025550.346153:    IEEE 802.1X: version=1 type=3 length=95
1295025550.346289: wlan0: STA 1c:4b:d6:6e:2a:7f WPA: received EAPOL-Key frame (4/4 Pairwise)
1295025550.346394: WPA: 1c:4b:d6:6e:2a:7f WPA_PTK entering state PTKINITDONE
1295025550.346849: wpa_driver_nl80211_set_key: ifindex=9 alg=3 addr=0x494318 key_idx=0 set_tx=1 seq_len=0 key_len=16
1295025550.346981:    addr=1c:4b:d6:6e:2a:7f
1295025550.347441: wlan0: STA 1c:4b:d6:6e:2a:7f WPA: pairwise key handshake completed (RSN)
1295025550.347752: IEEE 802.1X: 1c:4b:d6:6e:2a:7f AUTH_PAE entering state AUTHENTICATED
1295025550.347873: AP-STA-CONNECTED 1c:4b:d6:6e:2a:7f
1295025550.348616: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: authorizing port
1295025550.348752: wlan0: STA 1c:4b:d6:6e:2a:7f RADIUS: starting accounting session 4D306945-0000000D
1295025550.350721: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.1X: authenticated - EAP type: 25 (PEAP)
1295025550.351372: RSN: added PMKSA cache entry for 1c:4b:d6:6e:2a:7f
1295025550.351460: RSN: added PMKID - hexdump(len=16): e1 99 b8 3f 67 08 58 6f dd e8 1f 17 c0 21 ed b7
1295025550.351670: wlan0: STA 1c:4b:d6:6e:2a:7f WPA: Added PMKSA cache entry (IEEE 802.1X)
1295025550.406817: mgmt::action cb
1295025550.413150: mgmt::action
1295025550.413302: wlan0: STA 1c:4b:d6:6e:2a:7f IEEE 802.11: handle_action - unknown action category 3 or invalid frame
1295025550.413347: IEEE 802.11: Return unknown Action frame back to sender
1295025550.414396: mgmt::action cb
1295025553.008904: IEEE 802.1X: 1c:4b:d6:6e:2a:7f - (EAP) retransWhile --> 0
1295025553.335006: mgmt::action cb
1295025580.033628: IEEE 802.1X: 1c:4b:d6:6e:2a:7f - aWhile --> 0

TL-WR1043ND + Gargoyle PL || WRT54GL

5 Odpowiedź przez micolajevicz

  • Zarejestrowany: 2010-02-18
  • Posty: 99

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

Jako że odpowiedzi brak ;-) , postanowiłem wykasować wszystko z routera i wgrać jeszcze raz na spokojnie zgodnie z http://rpc.one.pl/index.php/lista-artyk … od-openwrt

Mam najnowszego Gargoyle PL w którym nie ma hostapd ani hostapd-mini. Ostatnio wrzuciłem na siłę hostapd i był właśnie efekt zrywania połączenia.
Teraz postawiłem freeradius2.
Testowanie

http://rpc.one.pl/index.php/lista-artyk … od-openwrt

działa bez problemu.
Po wpisaniu do GUI gargulca ustawień WPA2 i reszty z radiusem daję ok. Wszystko jest ok ale sieć się nie pojawia (komputer jej nie wykrywa). Kontrolka WLAN też się nie świeci na routerze.
Nie widzę pliku /etc/init.d/wireless aby zrestartować usługę.
Jest /etc/config/wireless z ustawieniami

config 'wifi-device' 'radio0'
        option 'type' 'mac80211'
        option 'macaddr' '94:0c:6d:ac:51:1a'
        option 'htmode' 'HT20'
        list 'ht_capab' 'SHORT-GI-40'
        list 'ht_capab' 'DSSS_CCK-40'
        option 'channel' '7'
        option 'txpower' '10'
        option 'hwmode' '11ng'

config 'wifi-iface' 'cfg2'
        option 'device' 'radio0'
        option 'mode' 'ap'
        option 'network' 'lan'
        option 'ssid' 'gargoyle'
        option 'encryption' 'wpa2'
        option 'key' 'haslo'
        option 'server' '192.168.2.1'
        option 'port' '1812'

Ktoś z forumowiczów może podpowiedzieć jak się za to zabrać:)?

TL-WR1043ND + Gargoyle PL || WRT54GL

6 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,881

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

Polecenie "wifi". Tak po prostu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

7 Odpowiedź przez micolajevicz (edytowany przez micolajevicz 2011-01-18 12:51:43)

  • Zarejestrowany: 2010-02-18
  • Posty: 99

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

root@Gargoyle:/etc/config# wifi
Configuration file: /var/run/hostapd-phy0.conf
Line 47: unknown configuration item 'auth_server_addr'
Line 48: unknown configuration item 'auth_server_port'
Line 49: unknown configuration item 'auth_server_shared_secret'
Line 52: unknown configuration item 'radius_acct_interim_interval'
Invalid IEEE 802.1X configuration (no EAP authenticator configured).
5 errors found in configuration file '/var/run/hostapd-phy0.conf'
Failed to start hostapd for phy0

czyli co??

ctrl_interface=/var/run/hostapd-phy0
driver=nl80211
wmm_ac_bk_cwmin=4
wmm_ac_bk_cwmax=10
wmm_ac_bk_aifs=7
wmm_ac_bk_txop_limit=0
wmm_ac_bk_acm=0
wmm_ac_be_aifs=3
wmm_ac_be_cwmin=4
wmm_ac_be_cwmax=10
wmm_ac_be_txop_limit=0
wmm_ac_be_acm=0
wmm_ac_vi_aifs=2
wmm_ac_vi_cwmin=3
wmm_ac_vi_cwmax=4
wmm_ac_vi_txop_limit=94
wmm_ac_vi_acm=0
wmm_ac_vo_aifs=2
wmm_ac_vo_cwmin=2
wmm_ac_vo_cwmax=3
wmm_ac_vo_txop_limit=47
wmm_ac_vo_acm=0
tx_queue_data3_aifs=7
tx_queue_data3_cwmin=15
tx_queue_data3_cwmax=1023
tx_queue_data3_burst=0
tx_queue_data2_aifs=3
tx_queue_data2_cwmin=15
tx_queue_data2_cwmax=63
tx_queue_data2_burst=0
tx_queue_data1_aifs=1
tx_queue_data1_cwmin=7
tx_queue_data1_cwmax=15
tx_queue_data1_burst=3.0
tx_queue_data0_aifs=1
tx_queue_data0_cwmin=3
tx_queue_data0_cwmax=7
tx_queue_data0_burst=1.5
hw_mode=g
channel=7


ieee80211n=1
ht_capab=[HT20][SHORT-GI-40][DSSS_CCK-40]

interface=wlan0
auth_server_addr=192.168.2.1
auth_server_port=1812
auth_server_shared_secret=haslo
nas_identifier=
eapol_key_index_workaround=1
radius_acct_interim_interval=300
ieee8021x=1
wpa_key_mgmt=WPA-EAP
wpa_group_rekey=300
wpa_gmk_rekey=640
auth_algs=1
wpa=2
wpa_pairwise=CCMP
ssid=gargoyle
bridge=br-lan
wmm_enabled=1
bssid=94:0c:6d:ac:51:1a
ignore_broadcast_ssid=0

TL-WR1043ND + Gargoyle PL || WRT54GL

8 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,881

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

Czyli masz zapewne doinstalować hostapd, bo na chwilę obecną nie zna tych parametrów. wpad-mini który jest w moich Obrazach jest okrojony z tego. Wywal wpad-mini na rzecz hostapd.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

9 Odpowiedź przez micolajevicz

  • Zarejestrowany: 2010-02-18
  • Posty: 99

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

OK. To podmieniam. Tylko że ostatnio tez tak zrobiłem i się właśnie to zrywanie połączenia pojawiło.

A jak to się ma do obrazów na WRT54GL? mam tam twojego gargulca i podłączam go jako AP do wr1043 z freeradiusem i wszystko śmiga bez podmieniana wpad-mini na hostapd?

TL-WR1043ND + Gargoyle PL || WRT54GL

10 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,881

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

Ja nie budowałem już od wieków gargoryle dla brcm. Wiec może to być bardzo pierwotny obraz.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

11 Odpowiedź przez rpc (edytowany przez rpc 2011-01-18 15:12:21)

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

a wracając do hostapd to on może tez działać jako prosty serwer radiusa. Więc można autoryzować na nim ( w prosty sposób ale zawsze).

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

12 Odpowiedź przez micolajevicz

  • Zarejestrowany: 2010-02-18
  • Posty: 99

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

No ok. Jak nic z tego freeradiusa nie wyjdzie to przerzucę się na twój pomysł z hostapd:)
Dzięki za pomoc Panowie:)

TL-WR1043ND + Gargoyle PL || WRT54GL

13 Odpowiedź przez micolajevicz

  • Zarejestrowany: 2010-02-18
  • Posty: 99

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

Wracając do http://rpc.one.pl/index.php/lista-arty … od-openwrt

jak mam wygenerować plik dh?
jest on wymieniony w eap.conf

TL-WR1043ND + Gargoyle PL || WRT54GL

14 Odpowiedź przez rpc (edytowany przez rpc 2011-01-18 19:01:37)

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

np. tak

openssl dhparam -out /etc/certs/dh 1024

fakt przeoczyłem dopisałem na końcu dokumentu o certyfikatach:
http://rpc.one.pl/index.php/lista-artyk … enssl-x509

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

15 Odpowiedź przez rpc (edytowany przez rpc 2011-01-18 19:05:24)

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

a propo zamiast wpad-mini może być samo wpad to jest to samo co hostapd_full+wpa_supplicant.

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

16 Odpowiedź przez micolajevicz (edytowany przez micolajevicz 2011-01-18 19:30:43)

  • Zarejestrowany: 2010-02-18
  • Posty: 99

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

Dopisz:)

Dzięki, już dograłem hostapd:)

Możesz mi opisać w 3 zdaniach jak ogarnąć te certyfikaty.. kombinuje kiedyś mi się to jakoś (raczej przez przypadek udało) a teraz nie bardzo.

Robię wszystko mniej więcej zgodnie z http://rpc.one.pl/index.php/lista-artyk … enssl-x509.
Mniej więcej bo nie jest to dla mnie jasno opisane.
Na OpenWRT 10.03 Gargoyle PL

1) generuje centrum certyfikacji zgodnie z punktem 1. Pojawia mi się folder demoCA z którego kopiuje plik cacert.pem
2) robię zmiany w pliku zgodnie z twoim punktem 10. Następnie generuje newcert.pem i newkey.pem zgodnie z punktem 2. Znaczy w nim jest coś nie tak, bo jest znowu .CA.sh -newca.  Więc.. daje najpierw ./CA.pl -newreq-nodes potem podpisuje ./CA.pl -sign .
3) generuje dh zgodnie z tym co napisałeś. Potem kopiuje i podpinam w pliku eap.conf

Przy próbie podłączenia klienta po eap-peap (windows 7)
dostaje coś o nieznanym ca "unknow CA"

Ready to process requests.
rad_recv: Access-Request packet from host 192.168.2.1 port 56049, id=4, length=1                                                                             62
        User-Name = "pawel.stojak"
        NAS-Port = 1
        Called-Station-Id = "94-0C-6D-AC-51-1A:gargoyle"
        Calling-Station-Id = "00-14-85-C6-2D-CA"
        Framed-MTU = 1400
        NAS-Port-Type = Wireless-802.11
        Connect-Info = "CONNECT 54Mbps 802.11g"
        EAP-Message = 0x02cd001101706177656c2e73746f6a616b
        Message-Authenticator = 0x0521b3d63d4105f3b8b5bc4f43c9be06
+- entering group authorize {...}
[eap] EAP packet type response id 205 length 17
[eap] No EAP Start, assuming it's an on-going EAP conversation
++[eap] returns updated
++[mschap] returns noop
[files] users: Matched entry pawel.stojak at line 5
++[files] returns ok
Found Auth-Type = EAP
+- entering group authenticate {...}
[eap] EAP Identity
[eap] processing type tls
[tls] Initiate
[tls] Start returned 1
++[eap] returns handled
Sending Access-Challenge of id 4 to 192.168.2.1 port 56049
        EAP-Message = 0x01ce00061920
        Message-Authenticator = 0x00000000000000000000000000000000
        State = 0x7ff3461a7f3d5f2db76e64fa567da44a
Finished request 0.
Going to the next request
Waking up in 4.9 seconds.
rad_recv: Access-Request packet from host 192.168.2.1 port 56049, id=5, length=2                                                                             89
        User-Name = "pawel.stojak"
        NAS-Port = 1
        Called-Station-Id = "94-0C-6D-AC-51-1A:gargoyle"
        Calling-Station-Id = "00-14-85-C6-2D-CA"
        Framed-MTU = 1400
        NAS-Port-Type = Wireless-802.11
        Connect-Info = "CONNECT 54Mbps 802.11g"
        EAP-Message = 0x02ce007e198000000074160301006f0100006b03014d35db858001a6                                                                             f7162b1d3b86a6f96011ef495cacc7fcbd03b8f561f6ae4c1b000018002f00350005000ac013c014                                                                             c009c00a00320038001300040100002aff0100010000000011000f00000c706177656c2e73746f6a                                                                             616b000a0006000400170018000b00020100
        State = 0x7ff3461a7f3d5f2db76e64fa567da44a
        Message-Authenticator = 0x50271bdc360923add577fdc6c19ab2b7
+- entering group authorize {...}
[eap] EAP packet type response id 206 length 126
[eap] Continuing tunnel setup.
++[eap] returns ok
++[mschap] returns noop
[files] users: Matched entry pawel.stojak at line 5
++[files] returns ok
Found Auth-Type = EAP
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/peap
[eap] processing type peap
[peap] processing EAP-TLS
  TLS Length 116
[peap] Length Included
[peap] eaptls_verify returned 11
[peap]     (other): before/accept initialization
[peap]     TLS_accept: before/accept initialization
[peap] <<< TLS 1.0 Handshake [length 006f], ClientHello
[peap]     TLS_accept: SSLv3 read client hello A
[peap] >>> TLS 1.0 Handshake [length 0031], ServerHello
[peap]     TLS_accept: SSLv3 write server hello A
[peap] >>> TLS 1.0 Handshake [length 0668], Certificate
[peap]     TLS_accept: SSLv3 write certificate A
[peap] >>> TLS 1.0 Handshake [length 0004], ServerHelloDone
[peap]     TLS_accept: SSLv3 write server done A
[peap]     TLS_accept: SSLv3 flush data
[peap]     TLS_accept: Need to read more data: SSLv3 read client certificate A
In SSL Handshake Phase
In SSL Accept mode
[peap] eaptls_process returned 13
[peap] EAPTLS_HANDLED
++[eap] returns handled
Sending Access-Challenge of id 5 to 192.168.2.1 port 56049
        EAP-Message = 0x01cf040019c0000006ac16030100310200002d03014d35db815a8760                                                                             a76c6377fa66cc70dcfc7da6293005378d774349d42ec17e7300002f000005ff0100010016030106                                                                             680b00066400066100031e3082031a30820283a003020102020101300d06092a864886f70d010105                                                                             05003077310b300906035504061302504c310e300c06035504081305736c61736b310c300a060355                                                                             040a1303484f57310c300a060355040b1303484f57311530130603550403130c506177656c205374                                                                             6f6a616b3125302306092a864886f70d0109011616706177656c2e73746f6a616b40676d61696c2e                                                                             636f6d301e170d3131303131383137353135345a170d323130
        EAP-Message = 0x3131353137353135345a308187310b300906035504061302504c310e                                                                             300c06035504081305536c61736b310e300c06035504071305506f72616a310c300a060355040a13                                                                             03484f57310c300a060355040b1303484f57311530130603550403130c706177656c2073746f6a61                                                                             6b3125302306092a864886f70d0109011616706177656c2e73746f6a616b40676d61696c2e636f6d                                                                             30819f300d06092a864886f70d010101050003818d0030818902818100bbf7282d1d0633f8bf1c4c                                                                             9f991d43cba1f0098d96220e347b945a574b33cdf96e4479cc9b67ff5954b999c4697b121a09ce32                                                                             2a4d77b26e88f6350bc5b3f8f8309b872ddbe1e2a4585d5540
        EAP-Message = 0x76d7a6dd2056c97d3fa664e84df7a427f017420f515710e532d15643                                                                             54856c91f34135a51b29d01b9c84d69eb582c0aede0da4dd0203010001a381a43081a13009060355                                                                             1d1304023000301106096086480186f842010104040302064030130603551d25040c300a06082b06                                                                             010505070301302c06096086480186f842010d041f161d4f70656e53534c2047656e657261746564                                                                             204365727469666963617465301d0603551d0e04160414d29a6a0fe21b00eaf5dd4ca118ee7006d1                                                                             049a94301f0603551d230418301680142e3d53cce71f100424349f58897270ddcd843a10300d0609                                                                             2a864886f70d0101050500038181006f1f328110331d55c6c1
        EAP-Message = 0xeee22db565ea73491541f240f47d65b3f32f0ea152811f8dbd38eacb                                                                             e61327833e22cc5a5fec7af9e09aaf7e0d39f5c52d273b1a3ddba42be38e73387a5aa351bded616a                                                                             4ca4ddedf7ad4fe02deaace39bb7991613c31800a34f0776d0d1a4d095ff30bfb378be66bb257998                                                                             4da68327929b3495d70f00033d30820339308202a2a003020102020100300d06092a864886f70d01                                                                             010505003077310b300906035504061302504c310e300c06035504081305736c61736b310c300a06                                                                             0355040a1303484f57310c300a060355040b1303484f57311530130603550403130c506177656c20                                                                             53746f6a616b3125302306092a864886f70d01090116167061
        EAP-Message = 0x77656c2e73746f6a616b4067
        Message-Authenticator = 0x00000000000000000000000000000000
        State = 0x7ff3461a7e3c5f2db76e64fa567da44a
Finished request 1.
Going to the next request
Waking up in 4.9 seconds.
rad_recv: Access-Request packet from host 192.168.2.1 port 56049, id=6, length=1                                                                             69
        User-Name = "pawel.stojak"
        NAS-Port = 1
        Called-Station-Id = "94-0C-6D-AC-51-1A:gargoyle"
        Calling-Station-Id = "00-14-85-C6-2D-CA"
        Framed-MTU = 1400
        NAS-Port-Type = Wireless-802.11
        Connect-Info = "CONNECT 54Mbps 802.11g"
        EAP-Message = 0x02cf00061900
        State = 0x7ff3461a7e3c5f2db76e64fa567da44a
        Message-Authenticator = 0x8334db4c71987ee1ebc1b466ebd94cd6
+- entering group authorize {...}
[eap] EAP packet type response id 207 length 6
[eap] Continuing tunnel setup.
++[eap] returns ok
++[mschap] returns noop
[files] users: Matched entry pawel.stojak at line 5
++[files] returns ok
Found Auth-Type = EAP
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/peap
[eap] processing type peap
[peap] processing EAP-TLS
[peap] Received TLS ACK
[peap] ACK handshake fragment handler
[peap] eaptls_verify returned 1
[peap] eaptls_process returned 13
[peap] EAPTLS_HANDLED
++[eap] returns handled
Sending Access-Challenge of id 6 to 192.168.2.1 port 56049
        EAP-Message = 0x01d002bc19006d61696c2e636f6d301e170d31313031313831373437                                                                             34345a170d3134303131373137343734345a3077310b300906035504061302504c310e300c060355                                                                             04081305736c61736b310c300a060355040a1303484f57310c300a060355040b1303484f57311530                                                                             130603550403130c506177656c2053746f6a616b3125302306092a864886f70d0109011616706177                                                                             656c2e73746f6a616b40676d61696c2e636f6d30819f300d06092a864886f70d010101050003818d                                                                             0030818902818100d5f1757ec4f548606eae29a407dfd4ed5f10949de68d329e9a2ee020fe056894                                                                             9583af0056b674a2d167a06c70859498a2e6915d67fdfad1f7
        EAP-Message = 0x951250ab58d30176d603d5c0365ffe4d77395fb43ff4d66e5b28b8bc                                                                             e7fa09025faafb129515e20d2c7cebc695652981362d530d12c1eddccd0eda78d8884a67d6d54993                                                                             3ba3f50203010001a381d43081d1301d0603551d0e041604142e3d53cce71f100424349f58897270                                                                             ddcd843a103081a10603551d2304819930819680142e3d53cce71f100424349f58897270ddcd843a                                                                             10a17ba4793077310b300906035504061302504c310e300c06035504081305736c61736b310c300a                                                                             060355040a1303484f57310c300a060355040b1303484f57311530130603550403130c506177656c                                                                             2053746f6a616b3125302306092a864886f70d010901161670
        EAP-Message = 0x6177656c2e73746f6a616b40676d61696c2e636f6d820100300c0603                                                                             551d13040530030101ff300d06092a864886f70d0101050500038181004722a3039adb1f4a3631d2                                                                             6c77347202290bf4df64a335eeb319706941ac2341efcf1428818e330a03f007b1d2cd3a34ea90ff                                                                             382433582b5a9ee71d71ba553cdee28e539fcc2b922e33f22759d81fc19b6051e6abb003b020669f                                                                             13d18deff5f3b68f3f64a2827db98d8a16c49891ccaec0b3b686f3761870fc6bbd9272d846160301                                                                             00040e000000
        Message-Authenticator = 0x00000000000000000000000000000000
        State = 0x7ff3461a7d235f2db76e64fa567da44a
Finished request 2.
Going to the next request
Waking up in 4.9 seconds.
rad_recv: Access-Request packet from host 192.168.2.1 port 56049, id=7, length=1                                                                             80
        User-Name = "pawel.stojak"
        NAS-Port = 1
        Called-Station-Id = "94-0C-6D-AC-51-1A:gargoyle"
        Calling-Station-Id = "00-14-85-C6-2D-CA"
        Framed-MTU = 1400
        NAS-Port-Type = Wireless-802.11
        Connect-Info = "CONNECT 54Mbps 802.11g"
        EAP-Message = 0x02d0001119800000000715030100020230
        State = 0x7ff3461a7d235f2db76e64fa567da44a
        Message-Authenticator = 0xb1b23f35844012012d6b9a5742569c02
+- entering group authorize {...}
[eap] EAP packet type response id 208 length 17
[eap] Continuing tunnel setup.
++[eap] returns ok
++[mschap] returns noop
[files] users: Matched entry pawel.stojak at line 5
++[files] returns ok
Found Auth-Type = EAP
+- entering group authenticate {...}
[eap] Request found, released from the list
[eap] EAP/peap
[eap] processing type peap
[peap] processing EAP-TLS
  TLS Length 7
[peap] Length Included
[peap] eaptls_verify returned 11
[peap] <<< TLS 1.0 Alert [length 0002], fatal unknown_ca
TLS Alert read:fatal:unknown CA
    TLS_accept:failed in SSLv3 read client certificate A
rlm_eap: SSL error error:14094418:lib(20):func(148):reason(1048)
SSL: SSL_read failed inside of TLS (-1), TLS session fails.
TLS receive handshake failed during operation
[peap] eaptls_process returned 4
[peap] EAPTLS_OTHERS
[eap] Handler failed in EAP/peap
[eap] Failed in EAP select
++[eap] returns invalid
Failed to authenticate the user.
Login incorrect: [pawel.stojak/<via Auth-Type = EAP>] (from client localhost por                                                                             t 1 cli 00-14-85-C6-2D-CA)
Delaying reject of request 3 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 3
Sending Access-Reject of id 7 to 192.168.2.1 port 56049
        EAP-Message = 0x04d00004
        Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 3.7 seconds.
Cleaning up request 0 ID 4 with timestamp +13
Cleaning up request 1 ID 5 with timestamp +13
Cleaning up request 2 ID 6 with timestamp +13
Waking up in 1.2 seconds.
Cleaning up request 3 ID 7 with timestamp +13
Ready to process requests.

TL-WR1043ND + Gargoyle PL || WRT54GL

17 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

hehe logi niepotrzebne

zainstalowałeś certyfikat CA w windows7 ?

ogólnie
z certyfikatami jest tak albo są uznawane albo nie. Te uznawane to takie które sa podpisywane przez np. verisign. Są to certyfikaty umieszczane z automatu w systemie,przeglądarkach,itd.
Niestety to kosztuje jak wszystko

Aby to obejść tworzysz własne CA centrum certyfikacji. Normalne iż takie centrum nie jest uznawane więc nie instaluje się domyślnie w systemie. Musisz zrobić to sam. Jak będziesz miał CA zainstalowane np. "Zaufane główne urzędy certyfikacji" - windowsXP to każdy certyfikat podpisany przez to CA będzie uznany za ważny.

Tą metodą masz darmo swoje certyfikaty.

obejrzyj sposób dodawania certyfikatu klienta
http://rpc.one.pl/index.php/lista-artyk … od-openwrt
masz zrzuty vista i windows7 ostatni obrazek to CA

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

18 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

co do zmian p.10

jeden wpis dotyczy certyfikatu dla radiusa
drugi zaś dla clientów
dlatego są modyfikacje

jak to napisać. Jedne wpisy powodują że certyfikat przedstawia się hello ja jestem server a druga zmiana powoduje że certyfikat przedstawia się hello jestem clientem
tak ogólnie

generalnie
najpier modyfikujesz openssl.conf i generujesz CA (newca) robisz to TYLKO RAZ

potem na podstawie tego samego openssl.conf (robisz korektę dla certyfikatu serwera p.10)
newreq-nodes  (nodes oznacza że nie ma pytania o hasło w czasie startu freeradius2)
no podpisujesz wiadomo

potem generujesz dla klientów
znów używasz tego samego pliku openssl.conf (mała modyfikacja p.10 dla clienta)
teraz normalnie generujesz certy z hasłem
newreq
i podpisujesz

potem pkcs12 robisz i wgrywasz w windows

tak ogólnie i po krótce to wygląda

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

19 Odpowiedź przez micolajevicz

  • Zarejestrowany: 2010-02-18
  • Posty: 99

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

No ok.. ale ja miałem wszystko dokładnie tak samo bez certyfikatów w windzie.
A eap-peap certyfikatu nie potrzebuje. Tylko login i hasło.

I teraz chce mieć tak samo.. bez certyfikatów.. bo może tak działać, nie?

TL-WR1043ND + Gargoyle PL || WRT54GL

20 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

nie
CA powinien być zawsze zainstalowany bo na serwerze masz certyfikat

uzgodnienie hasła i username jest szyfrowane
aby było szyfrowanie potrzebuje do tego certyfikatu lub CA w przypadku peap

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

21 Odpowiedź przez micolajevicz (edytowany przez micolajevicz 2011-01-18 20:30:23)

  • Zarejestrowany: 2010-02-18
  • Posty: 99

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

eeee..
Kurde no to teraz nie ogarniam.
Działało to u mnie w domu z 2 miesiące... na windows 7 na XP i na smartfonach z androidem.
Znaczy eap-peap bez certyfikatów po stronie klienta. Jest coś takiego jak "weryfikuj certyfikat serwera" czy jakoś tak. A w androidzie zostawiasz po prostu pole certyfikatu puste.
No więc jak to się ma do tego co mowisz;->?
Chyba ze freeradius tym właśnie się różni od freeradius2 ?


a .. u mnie na uczelni też  był WPA-RADIUS tylko z loginem i hasłem.. bez certyfikatu po stronie użytkownika.. znaczy polecało Centrum Komputerowe aby go zainstalować, ale nie było to wymagane.

TL-WR1043ND + Gargoyle PL || WRT54GL

22 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

jak masz w windows7 komunikat że niewłaściwy certyfikat to odznacz weryfikację certyfikatu i tyle
jak działało u ciebie to czemu nie działa teraz

wywala ci sie na EAP-TLS a podobno używasz EAP-PEAP ciekawe. przecież pisze failed in SSLv3 read client certificate
pokaż plik users z freeradius. nie zrobiłeś tam warunku że wymagane TLS ?

ps.co do certyfikatów to pisałeś że robisz wedle mojego opisu a ja tam oparłem wszystko na certyfikatach co nie oznacza że są wymagane i w cale nie obie wersje się tym nie różnią.

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

23 Odpowiedź przez micolajevicz (edytowany przez micolajevicz 2011-01-18 21:47:25)

  • Zarejestrowany: 2010-02-18
  • Posty: 99

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

#"Jan Kowalski" Auth-Type := EAP
#"Jan Kowalski" Auth-Type := Reject
#DEFAULT Auth-Type := EAP
jan_kowalski Cleartext-Password := "haslo_do_logowania"
pawel.stojak Cleartext-Password := "haslo"
#DEFAULT Cleartext-Password := "haslo_do_logowania"

Nie mam takiego komunikatu. Jest "System win.. nie mógł nawiązać..." A certyfikat już odznaczony.
W ustawieniach Windy jest eap (peap) dlatego przestałem to ogarniać czemu się pojawia TLS.
A pisze do Ciebie bo ogarniasz to ciut bardziej ode mnie, odpisujesz i nie wyzywasz:)

dorzucę jeszcze resztę plików ok?

prefix = /usr
exec_prefix = /usr
sysconfdir = /etc
localstatedir = /var
sbindir = /usr/sbin
logdir = ${localstatedir}/log
raddbdir = /etc/freeradius2
radacctdir = ${logdir}/radacct
name = radiusd
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/radiusd
db_dir = ${raddbdir}
libdir = /usr/lib:/usr/lib/freeradius2
pidfile = /var/run/${name}.pid
#user = radius
#group = radius
max_request_time = 30
cleanup_delay = 5
max_requests = 1024
listen {

type = auth
ipaddr = *
port = 0
#       interface = eth0
}

listen {

ipaddr = *
port = 0
type = acct
interface = eth0
}

hostname_lookups = no
allow_core_dumps = no
regular_expressions     = yes
extended_expressions    = yes
log {

destination = files
file = ${logdir}/${name}/radius.log
#requests = ${logdir}/radiusd-%{%{Virtual-Server}:-DEFAULT}-%Y%m%d.log
syslog_facility = daemon
stripped_names = no
auth = yes
auth_badpass = yes
auth_goodpass = yes
}

checkrad = ${sbindir}/checkrad

security {

max_attributes = 200
reject_delay = 1
status_server = yes
}
proxy_requests  = no
$INCLUDE clients.conf
thread pool {

start_servers = 1
max_servers = 5
min_spare_servers = 1
max_spare_servers = 3
max_requests_per_server = 0
}

modules {

$INCLUDE eap.conf
mschap {

authtype = MS-CHAPv2
use_mppe = yes
require_encryption = yes
require_strong = yes
}

files {

usersfile = ${confdir}/users
compat = no
}

}

instantiate {

}

authorize {

eap
mschap
files
}

authenticate {

eap
Auth-Type MS-CHAP {

mschap
}

}

eap {

default_eap_type = peap
timer_expire     = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = 2048

tls {

certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = haslo
private_key_file = ${certdir}/newkey.pem
certificate_file = ${certdir}/newcert.pem
CA_file = ${cadir}/cacert.pem
dh_file = ${certdir}/dh
random_file = /dev/urandom
fragment_size = 1024
include_length = yes
#       check_crl = yes
#       CA_path = /path/to/directory/with/ca_certs/and/crls/
#       check_cert_issuer = "/C=PL/ST=Mazowieckie/O=Firma1 Sp. z o.o./OU=Firma1/CN=Firma1 ROOT CA/emailAddress= adres_email@vpn.dyndns.orgAdres poczty elektr
check_cert_cn = %{User-Name}
cipher_list = "DEFAULT"
cache {

enable = no
lifetime = 24 # hours
max_entries = 255

}

}
ttls {

default_eap_type = mschapv2
copy_request_to_tunnel = yes
use_tunneled_reply = yes

}

peap {

default_eap_type = mschapv2
copy_request_to_tunnel = yes
use_tunneled_reply = yes

}

mschapv2 {
}

}


I efekt sprawdzenia radiusa:

root@Gargoyle:~# echo "User-Name = jan_kowalski, User-Password = haslo_do_logowa
nia" | radclient -x 192.168.2.1 auth haslo
Sending Access-Request of id 100 to 192.168.2.1 port 1812
        User-Name = "jan_kowalski"
        User-Password = "haslo_do_logowania"
rad_recv: Access-Accept packet from host 192.168.2.1 port 1812, id=100, length=20

log radius z tego sprawdzenia:

rad_recv: Access-Request packet from host 192.168.2.1 port 34352, id=100, length=68
        User-Name = "jan_kowalski"
        User-Password = "haslo_do_logowania"
+- entering group authorize {...}
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
++[mschap] returns noop
[files] users: Matched entry jan_kowalski at line 4
++[files] returns ok
WARNING: Please update your configuration, and remove 'Auth-Type = Local'
WARNING: Use the PAP or CHAP modules instead.
User-Password in the request is correct.
Login OK: [jan_kowalski/haslo_do_logowania] (from client localhost port 0)
  WARNING: Empty post-auth section.  Using default return values.
Sending Access-Accept of id 100 to 192.168.2.1 port 34352
Finished request 2.
Going to the next request
Waking up in 4.9 seconds.
Cleaning up request 2 ID 100 with timestamp +80
Ready to process requests.

TL-WR1043ND + Gargoyle PL || WRT54GL

24 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

z loga wynika że poszło Accept. A sprawdzałeś z innego systemu czy się podłączasz (jakiś linux ?) ?


po pierwsze.
Zaremuj

tls {

certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_password = haslo
private_key_file = ${certdir}/newkey.pem
certificate_file = ${certdir}/newcert.pem
CA_file = ${cadir}/cacert.pem
dh_file = ${certdir}/dh
random_file = /dev/urandom
fragment_size = 1024
include_length = yes
#       check_crl = yes
#       CA_path = /path/to/directory/with/ca_certs/and/crls/
#       check_cert_issuer = "/C=PL/ST=Mazowieckie/O=Firma1 Sp. z o.o./OU=Firma1/CN=Firma1 ROOT CA/emailAddress= adres_email@vpn.dyndns.orgAdres poczty elektr
check_cert_cn = %{User-Name}
cipher_list = "DEFAULT"
cache {

enable = no
lifetime = 24 # hours
max_entries = 255

}

}
ttls {

default_eap_type = mschapv2
copy_request_to_tunnel = yes
use_tunneled_reply = yes

}

przeładuj freeradius będziesz miał tylko peap

zobacz wtedy

po drugie skasuj konfigurację w windows7 bo może coś zostało z poprzedniej "walki"

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

25 Odpowiedź przez micolajevicz (edytowany przez micolajevicz 2011-01-19 13:18:13)

  • Zarejestrowany: 2010-02-18
  • Posty: 99

Odp: freeradius na tl-wr1043ND co jakiś czas zrywa połączenie

root@Gargoyle:~# radiusd -X
FreeRADIUS Version 2.1.9, for host mips-openwrt-linux-gnu, built on Oct 28 2010 at 15:19:17
Copyright (C) 1999-2009 The FreeRADIUS server project and contributors.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
You may redistribute copies of FreeRADIUS under the terms of the
GNU General Public License v2.
Starting - reading configuration files ...
including configuration file /etc/freeradius2/radiusd.conf
including configuration file /etc/freeradius2/clients.conf
including configuration file /etc/freeradius2/eap.conf
main {
        allow_core_dumps = no
}
including dictionary file /etc/freeradius2/dictionary
main {
        prefix = "/usr"
        localstatedir = "/var"
        logdir = "/var/log"
        libdir = "/usr/lib:/usr/lib/freeradius2"
        radacctdir = "/var/log/radacct"
        hostname_lookups = no
        max_request_time = 30
        cleanup_delay = 5
        max_requests = 1024
        pidfile = "/var/run/radiusd.pid"
        checkrad = "/usr/sbin/checkrad"
        debug_level = 0
        proxy_requests = no
log {
        stripped_names = no
        auth = yes
        auth_badpass = yes
        auth_goodpass = yes
}
security {
        max_attributes = 200
        reject_delay = 1
        status_server = yes
}
}
radiusd: #### Loading Realms and Home Servers ####
radiusd: #### Loading Clients ####
client 192.168.2.1 {
        ipaddr = 192.168.2.1
        require_message_authenticator = no
        secret = "gonzoopera"
        shortname = "localhost"
        nastype = "other"
}
client 192.168.2.2 {
        ipaddr = 192.168.2.2
        require_message_authenticator = no
        secret = "gonzoopera"
}
radiusd: #### Instantiating modules ####
instantiate {
}
radiusd: #### Loading Virtual Servers ####
server {
modules {
Module: Checking authenticate {...} for more modules to load
Module: Linked to module rlm_eap
Module: Instantiating eap
  eap {
        default_eap_type = "peap"
        timer_expire = 60
        ignore_unknown_eap_types = no
        cisco_accounting_username_bug = no
        max_sessions = 2048
  }
rlm_eap: Unable to load EAP-Type/peap, as EAP-Type/TLS is required first.
/etc/freeradius2/eap.conf[1]: Instantiation failed for module "eap"
/etc/freeradius2/radiusd.conf[104]: Failed to load module "eap".
/etc/freeradius2/radiusd.conf[102]: Errors parsing authenticate section.

eap {

default_eap_type = peap
timer_expire     = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = 2048

#tls {

#certdir = ${confdir}/certs
#cadir = ${confdir}/certs
#private_key_password = gonzoopera
#private_key_file = ${certdir}/newkey.pem
#certificate_file = ${certdir}/newcert.pem
#CA_file = ${cadir}/cacert.pem
#dh_file = ${certdir}/dh
#random_file = /dev/urandom
#fragment_size = 1024
#include_length = yes
#       check_crl = yes
#       CA_path = /path/to/directory/with/ca_certs/and/crls/
#       check_cert_issuer = "/C=PL/ST=Mazowieckie/O=Firma1 Sp. z o.o./OU=Firma1/CN=Firma1 ROOT CA/emailAddress= adres_email@vpn.dyndns.orgAdres poczty elektr
#check_cert_cn = %{User-Name}
#cipher_list = "DEFAULT"
#cache {

#enable = no
#lifetime = 24 # hours
#max_entries = 255

#}

#}
#ttls {

#default_eap_type = mschapv2
#copy_request_to_tunnel = yes
#use_tunneled_reply = yes

#}

peap {

default_eap_type = mschapv2
copy_request_to_tunnel = yes
use_tunneled_reply = yes

}

mschapv2 {
}

}

Chyba nie bardzo się tak da.


Zamieniłem hostapd na wpad.

P.S.
Na androidzie ruszyło ( a to jest w sumie linux) .. ten wpad to zmienił? czy odremowanie sekcji w eap.conf smile

Dzisiaj rano wyłączyłem wifi w routerze. Podłączyłem WRT54GL jako AP i udało mi się zalogować na Windows 7. Potem odpaliłem wifi na wr1043 i też udało mi się połączyć.
Nie ogarniam czemu neutral Nic nie zmieniałem w ustawieniach i zaczęło działać.

TL-WR1043ND + Gargoyle PL || WRT54GL