PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : WPA2+Radius => Probleme mit Client



berndg_FC4
21.03.08, 08:32
Halloo, guten Morgen zusammen,

ich hab nach meinem Umzug mein Heimnetzwerk etwas aufgemotzt, verwende jetzt 'nen WRT54GS als WLan Router. Der soll mir mit 'nem kleinen Radius-Server die Clients über EAP-PEAP authentifizieren, weil bei EAP/PEAP die Clients nicht unbedingt die Zertifikate benötigen. Zu Testzwecken hab' ich die erlaubten User momentan nur im "users"-File gespeichert.

Mein Notebook, HP zv6274ea, hat nen Broadcom BCM4318 Chip an Bord. Ich verwende Fedora 8, Kernel 2.6.24.3-34.fc8 i686 mit dem nativen b43 Treiber. Ich hab' ihn schon für normales WPA-PSK mit wpa_supplicant verwendet - geht. WPA2/EAP-PEAP schein aber ein Problem zu sein.

Hier die config:


#ap_scan=0
fast_reauth=1
network={
ssid="OpenWrt"
scan_ssid=1
auth_alg=OPEN
proto=RSN
key_mgmt=WPA-EAP
pairwise=CCMP
group=CCMP
eap=PEAP
identity="MEIN_WLAN_NUTZER"
password="MEIN_WLAN_NUTZER_PASSWORT"
}


Verwende ich diese Config passiert mal folgendes:



[root@localhost ~]#wpa_supplicant -iwlan0 -c/home/bernd/wpa_supplicant.test &
[root@localhost ~]# ioctl[SIOCSIWENCODEEXT]: No such file or directory
ioctl[SIOCSIWENCODEEXT]: No such file or directory
ioctl[SIOCSIWENCODEEXT]: No such file or directory
ioctl[SIOCSIWENCODEEXT]: No such file or directory
ioctl[SIOCSIWAUTH]: Operation not supported
WEXT auth param 4 value 0x0 - Trying to associate with 00:13:10:15:28:70 (SSID=' OpenWrt' freq=2432 MHz)
Associated with 00:13:10:15:28:70
CTRL-EVENT-EAP-STARTED EAP authentication started
CTRL-EVENT-EAP-METHOD EAP vendor 0 method 25 (PEAP) selected
OpenSSL: tls_connection_handshake - Failed to read possible Application Data err or:00000000:lib(0):func(0):reason(0)
EAP-MSCHAPV2: Authentication succeeded
EAP-TLV: TLV Result - Success - EAP-TLV/Phase2 Completed
CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
WPA: Key negotiation completed with 00:13:10:15:28:70 [PTK=CCMP GTK=CCMP]
CTRL-EVENT-CONNECTED - Connection to 00:13:10:15:28:70 completed (auth) [id=0 id_str=]
[root@localhost ~]#


Dieser OpenSSL Fehler kommt mir auch etwas spanisch vor ....
Hier noch was 'dmesg' dazu meint:


b43-phy0 debug: Chip initialized
b43-phy0 debug: 32-bit DMA initialized
Registered led device: b43-phy0:radio
b43-phy0 debug: Wireless interface started
b43-phy0 debug: Adding Interface type 2
ADDRCONF(NETDEV_UP): wlan0: link is not ready
wlan0: Initial auth_alg=0
wlan0: authenticate with AP 00:00:00:00:00:00
wlan0: Initial auth_alg=0
wlan0: authenticate with AP 00:13:10:15:28:70
wlan0: RX authentication from 00:13:10:15:28:70 (alg=0 transaction=2 status=0)
wlan0: authenticated
wlan0: associate with AP 00:13:10:15:28:70
wlan0: RX AssocResp from 00:13:10:15:28:70 (capab=0x411 status=0 aid=1)
wlan0: associated
ADDRCONF(NETDEV_CHANGE): wlan0: link becomes ready
padlock: VIA PadLock not detected.
b43-phy0 debug: Using hardware based encryption for keyidx: 0, mac: 00:13:10:15:28:70
b43-phy0 debug: Using hardware based encryption for keyidx: 1, mac: ff:ff:ff:ff:ff:ff
wlan0: no IPv6 routers present


'iwconfig' sagt folgendes:


[root@localhost ~]# iwconfig wlan0
wlan0 IEEE 802.11 ESSID:"OpenWrt"
Mode:Managed Frequency:2.432 GHz Access Point: 00:13:10:15:28:70
Bit Rate=6 Mb/s Tx-Power=27 dBm
Retry min limit:7 RTS thr:off Fragment thr=2352 B
Encryption key:E26E-398C-1388-2EA5-F38D-55A4-41CA-6622 [2]
Link Quality=70/100 Signal level=-17 dBm Noise level=-71 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0


Sieht doch gut aus oder?? So und jetzt versuche ich mal mir über 'ifup wlan0' eine IP-Adresse vom Router zu besorgen und hier klinkt sich das Ding völlig aus, denn er holt sich eine Adresse und dreht die Verschlüsselung ab !?!


[root@localhost ~]# ifup wlan0

IP-Informationen werden für wlan0 bestimmt... erledigt.
[root@localhost ~]# iwconfig wlan0
wlan0 IEEE 802.11 ESSID:""
Mode:Managed Frequency:2.432 GHz Access Point: 00:13:10:15:28:70
Bit Rate=48 Mb/s Tx-Power=27 dBm
Retry min limit:7 RTS thr:off Fragment thr=2352 B
Encryption key:off
Link Quality=66/100 Signal level=-20 dBm Noise level=-70 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:0 Invalid misc:0 Missed beacon:0


'dmesg' gibt mir folgendes her:


wlan0: associate with AP 00:13:10:15:28:70
wlan0: RX AssocResp from 00:13:10:15:28:70 (capab=0x411 status=0 aid=1)
wlan0: associated
ADDRCONF(NETDEV_CHANGE): wlan0: link becomes ready
padlock: VIA PadLock not detected.
b43-phy0 debug: Using hardware based encryption for keyidx: 0, mac: 00:13:10:15:28:70
b43-phy0 debug: Using hardware based encryption for keyidx: 1, mac: ff:ff:ff:ff:ff:ff
wlan0: no IPv6 routers present
b43-phy0 debug: Disabling hardware based encryption for keyidx: 1, mac: ff:ff:ff:ff:ff:ff


Ich hab dann auch noch in /var/log/messages gesucht:


ar 21 08:13:25 localhost kernel: Registered led device: b43-phy0:radio
Mar 21 08:13:25 localhost kernel: ADDRCONF(NETDEV_UP): wlan0: link is not ready
Mar 21 08:13:26 localhost kernel: ADDRCONF(NETDEV_CHANGE): wlan0: link becomes ready
Mar 21 08:13:27 localhost avahi-daemon[2074]: Registering new address record for fe80::214:a5ff:fe2b:98d6 on wlan0.*.
Mar 21 08:13:31 localhost kernel: padlock: VIA PadLock not detected.
Mar 21 08:13:31 localhost modprobe: WARNING: Error inserting padlock_aes (/lib/modules/2.6.24.3-34.fc8/kernel/drivers/crypto/padlock-aes.ko): No such device
Mar 21 08:18:09 localhost dhclient: wmaster0: unknown hardware address type 801
Mar 21 08:18:09 localhost dhclient: wmaster0: unknown hardware address type 801
Mar 21 08:18:09 localhost dhclient: DHCPREQUEST on wlan0 to 255.255.255.255 port 67
Mar 21 08:18:10 localhost dhclient: DHCPACK from 192.168.1.1
Mar 21 08:18:10 localhost avahi-daemon[2074]: Joining mDNS multicast group on interface wlan0.IPv4 with address 192.168.1.228.
Mar 21 08:18:10 localhost avahi-daemon[2074]: New relevant interface wlan0.IPv4 for mDNS.
Mar 21 08:18:10 localhost avahi-daemon[2074]: Registering new address record for 192.168.1.228 on wlan0.IPv4.
Mar 21 08:18:10 localhost NET[3056]: /sbin/dhclient-script : updated /etc/resolv.conf
Mar 21 08:18:10 localhost dhclient: bound to 192.168.1.228 -- renewal in 16366 seconds.


mir ist dieses VIA PadLock Dings aufgefallen, was ist das?? Da das Modul padlock-aes heißt, hat's was mit der Verschlüsselung zu tun - nehme ich an.

Der Radius-Server funktioniert ordentlich, der Vollständigkeit halber hier auch noch die configs:

eap.conf:


eap {
default_eap_type = ttls
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
md5 {
}
tls {
private_key_password = MEIN_PRIVATE_SERVER_KEY_PASSWORT
private_key_file = ${raddbdir}/certs/radiusserver.pem
certificate_file = ${raddbdir}/certs/radiusserver.pem
CA_file = ${raddbdir}/certs/WLANCA-cacert.pem

dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
fragment_size = 1024
# check_crl = yes #Certificate Revocation List kommt spaeter
# check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd"
# check_cert_cn = %{User-Name}
# cipher_list = "DEFAULT"
}
ttls {
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = no
}
peap {
default_eap_type = mschapv2
#copy_request_to_tunnel = no
#use_tunneled_reply = no
#proxy_tunneled_request_as_eap = yes
}

mschapv2 {
}
}


radiusd.conf:


prefix = /usr
exec_prefix = /usr
sysconfdir = /etc
localstatedir = /var
sbindir = /usr/sbin
logdir = ${localstatedir}/log/radius
raddbdir = /etc/freeradius
radacctdir = ${logdir}/radacct
confdir = ${raddbdir}
run_dir = ${localstatedir}/run
listen {
ipaddr = *
port = 0
type = auth
}
$INCLUDE ${confdir}/clients.conf
thread pool {
start_servers = 5
max_servers = 32
min_spare_servers = 3
max_spare_servers = 10
max_requests_per_server = 0
}

modules {
pap {
auto_header = yes
}
chap {
authtype = CHAP
}
$INCLUDE ${confdir}/eap.conf
mschap {
#use_mppe = no
#require_encryption = yes
#require_strong = yes
With_ntdomain_hack = yes
#ntlm_auth = "/path/to/ntlm_auth --request-nt-key --username=%{Stripped-User-Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00}
--nt-response=%{mschap:NT-Response:-00}"
authtype = MS-CHAP
}
mschapv2 {
}
files {
usersfile = ${confdir}/users
compat = no
}
}
authorize {
files
mschap
eap
}
authenticate {
Auth-Type MS-CHAP {
mschap
}
eap
}


clients.conf:


client 127.0.0.1 {
secret = dasisteintest
shortname = localhost
nastype = other
# login = !root
# password = someadminpas
}


users:


DEFAULT Group == "disabled", Auth-Type := Reject
Reply-Message = "Your account has been disabled."

berndglaser User-Password=="MEIN_WLAN_NUTZER"
kathrinpoeltl User-Password=="MEIN_WLAN_NUTZER_PASSWORT"


Kann mir jemand sagen, was ich hier tun kann?

Vielen Dank für eure Hilfe!!!

PS.: Wisst ihr was micht echt grausam schmerzt, mit Windoze XP gehts - so ein mist :/

berndg_FC4
24.03.08, 10:12
Bin selber einige Schritte weitergekommen...... hab folgendes versucht:

bin ja mit F8 und dem letzten Kernel unterwegs, hab mir ndiswrapper zuerst selber kompiliert und bcmwl5 geladen - ging nicht !?! (wpa_supplicant baute ständig eine neue Verbindung auf -> dhclient konnte nie ein DHCPREQUEST senden!!)

Gab die Hoffnung nicht auf und versuchte es mit dem ndiswrapper aus dem livna-repo, ging auch nicht....

Ok Problem umschiffen war auf diesem Weg nicht wirklich möglich... :( hab mich also umgesehen und versuchte rauszufinden, was padlock_aes ist. Es ist der Treiber für eine VIA Hardware-Verschlüsselung -> ok padlock_aes braucht via_rng (VIA random number generator). modprobe via_rng lieferte "no such device" - lspci lieferte mir die info, dass ich nur ATI Hardware habe :eek:

Die vorläufige Lösung für meine Querelen mit dem Ding ist wicd (http://wicd.sourceforge.net) - ein kleiner GTK basierter Netzwerkmanager - er verwendet auch wpa_supplicant um die verschlüsselte Verbindung aufzubauen. Wenn ich mich also über wicd verbinde bringt er das Interface ohne Probleme hoch. Ich bekomme eine IP Adresse für meine WLAN-Schnittstelle.

Kann sich jemand erklären wieso das Interface mit 'ifup' streikt und Treiber für nicht vorhandene Hardware laden will? :confused:

Ich muss mir mal den Code ansehen, ich will wissen, wie die die WLAN Karte hochbringen, ohne dass die Verschlüsselung den Bach runter geht...

mfG
Bernd