Radius-Problem seit Update

Started by senser8912, November 19, 2022, 12:38:22 PM

Previous topic - Next topic
Print
Go Down Pages1 2 3
User actions
November 19, 2022, 12:38:22 PM
Hallo zusammen,

habe heute morgen auf 22.7.8 geupdated.
In dem Zuge wurde freeradius auf  3.2.1 gebracht.
Nun verbinden sich aber leider meine WLAN-Clients nicht mehr, Fehlermeldung siehe unten.
Ich habe die config von freeradius gecheckt, dieses auch mal neu installiert.
Außerdem wurde der komplette Weg vom WLAN-Client bis zur opnSense überprüft, ich finde soweit keinen Fehler.
Fehlermeldung googlen hilft leider auch nicht.

Habt ihr eine Idee, oder gar das selbe Problem?



Code Select

Auth: (25) Login incorrect (eap: Failed continuing EAP TLS (13) session. EAP sub-module failed): [USERNAME/<via Auth-Type = eap>] (from client ACCESSPOINT port 0 cli XX-XX-XX-XX-XX-XX)

Auth: (25) Login incorrect: [USERNAME/<via Auth-Type = Reject>] (from client ACCESSPOINT port 0 cli XX-XX-XX-XX-XX-XX via TLS tunnel)
November 19, 2022, 02:48:29 PM #1
Libressl oder Openssl
November 19, 2022, 02:49:42 PM #2
Moin!
Habe openssl im Einsatz.
November 20, 2022, 06:43:44 AM #3
Welche Version war vorher drauf?
November 20, 2022, 06:52:23 AM #4
Kann ich leider nicht mehr sagen.
Da ich aber regelmäßig update sage ich jetzt mal ganz flach: Die, die vorher der Standard war.
November 20, 2022, 04:01:19 PM #5
Update: Ich konnte das Problem zwar lösen, aber nur sehr unzufriedenstellend:

Der config-Parameter "Check TLS-Common-Name" machte Probleme.
Nehme ich diesen heraus, können sich die Geräte wie gewohnt einloggen.

Nun habe ich aber natürlich ein neues Problem: Solange man ein gültiges Zertifikat hat, kann man sich quasi als ein beliebiger User anmelden.
Das Zertifikat mit dem common-Name "mueller" kann nun plötzlich von "schneider" verwendet werden.

Liegt hier ggfs. ein Bug vor?
Denn die common-names stimmen mit den Usernames überein und vorher hat alles funktioniert...
November 20, 2022, 04:20:17 PM #6
Frag doch mal im FreeRADIUS Forum/Mailingliste/Discord/...

Was auch immer die haben. Scheint ja eine Änderung in der neueren Version zu sein.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
November 20, 2022, 05:06:30 PM #7
Wenn du den Parameter raus nimmst deaktivierst du den Zertifikatscheck oder nicht? Würde ja dann das Verhalten erklären
November 22, 2022, 08:31:26 AM #8 Last Edit: November 22, 2022, 08:33:28 AM by iamhermes
Kann den Fehler / das Feature bestätigen nach Update der OPNsense
os-freeradius   1.9.20
freeradius3   3.0.25


Auth: (153) Login incorrect (eap: Failed continuing EAP TLS (13) session. EAP sub-module failed): [XYZPhone/<via Auth-Type = eap>] (from client WiFi-AP port 0 cli xx-xx-xx-xx-xx-xx)

Google Pixel 7 mit letztem Patch Stand.
Ein Xiaomi Mi 10 hat allerdings keine Probleme sich im WiFi anzumelden. Da geht es weiterhin.

Was ist das nun?
November 22, 2022, 08:54:42 AM #9
Das letzte Update installiert nicht Freeradius 3.0
25?
November 22, 2022, 09:36:49 AM #10
@mimugmail: Soweit ich das verstehe wird schon noch grundsätzlich ein gültiges Zertifikat benötigt.
Allerdings kann man sich seinen Useraccount eben quasi frei aussuchen.
November 22, 2022, 11:46:01 AM #11
https://github.com/FreeRADIUS/freeradius-server/issues/4753

Da gibt es diesen Fehler bereits.
Das Xiaomi kann sich jetzt ebenfalls nicht mehr anmelden. Vermutlich die Sitzung abgelaufen und Neuanmeldung jetzt auch nicht mehr möglich.
Was mein Laptop macht kann ich gerade nicht sagen, da dieser noch nicht eingeschaltet war. Ich vermute das selbige.

Demnach ein größeres Problem was behoben werden müsste.


mein Updateverlauf (auf opnsense gefiltert, kurioserweise wird das freeradius Paket/Plugin nirgends im Log angezeigt...)
und das Update von heut morgen hat eben das FreeRadius Problem/Feature eingebaut.
2022-11-22T07:56:31   Notice   pkg-static   opnsense-update upgraded: 22.7.3 -> 22.7.7   
2022-09-01T21:09:10   Notice   pkg-static   opnsense upgraded: 22.7.3_1 -> 22.7.3_2   
2022-09-01T21:01:41   Notice   pkg-static   opnsense upgraded: 22.7.2 -> 22.7.3_1   
2022-09-01T21:01:20   Notice   pkg-static   opnsense-lang upgraded: 22.7.1 -> 22.7.3   
2022-09-01T21:01:19   Notice   pkg-static   opnsense-update upgraded: 22.7.2 -> 22.7.3   
2022-08-27T07:07:47   Notice   pkg-static   opnsense upgraded: 22.7.1 -> 22.7.2   
2022-08-27T07:07:07   Notice   pkg-static   opnsense-update upgraded: 22.7 -> 22.7.2
November 22, 2022, 12:00:07 PM #12
Quote from: iamhermes on November 22, 2022, 11:46:01 AM
https://github.com/FreeRADIUS/freeradius-server/issues/4753

Da gibt es diesen Fehler bereits.
Das Xiaomi kann sich jetzt ebenfalls nicht mehr anmelden. Vermutlich die Sitzung abgelaufen und Neuanmeldung jetzt auch nicht mehr möglich.
Was mein Laptop macht kann ich gerade nicht sagen, da dieser noch nicht eingeschaltet war. Ich vermute das selbige.

Demnach ein größeres Problem was behoben werden müsste.


mein Updateverlauf (auf opnsense gefiltert, kurioserweise wird das freeradius Paket/Plugin nirgends im Log angezeigt...)
und das Update von heut morgen hat eben das FreeRadius Problem/Feature eingebaut.
2022-11-22T07:56:31   Notice   pkg-static   opnsense-update upgraded: 22.7.3 -> 22.7.7   
2022-09-01T21:09:10   Notice   pkg-static   opnsense upgraded: 22.7.3_1 -> 22.7.3_2   
2022-09-01T21:01:41   Notice   pkg-static   opnsense upgraded: 22.7.2 -> 22.7.3_1   
2022-09-01T21:01:20   Notice   pkg-static   opnsense-lang upgraded: 22.7.1 -> 22.7.3   
2022-09-01T21:01:19   Notice   pkg-static   opnsense-update upgraded: 22.7.2 -> 22.7.3   
2022-08-27T07:07:47   Notice   pkg-static   opnsense upgraded: 22.7.1 -> 22.7.2   
2022-08-27T07:07:07   Notice   pkg-static   opnsense-update upgraded: 22.7 -> 22.7.2

Also mit 22.7.3_2 ging alles noch?

Dann Test1:

opnsense-revert -r 22.7.3_2 os-freeradius

Dann reboot .. wenn es dann nicht geht

Test2:

opnsense-revert -r 22.7.3_2 freeradius3

Wieder reboot und dann sollte es funktinieren und bitte Ergebnis hier posten.
November 22, 2022, 12:27:09 PM #13
Reboot ist gemacht. Allerdings musste ich die Version anpassen.
Ich beobachte jetzt

Code Select
root@:~ # opnsense-revert -r 22.7.3_2 os-freeradius
Fetching os-freeradius.pkg: ..[fetch: https://mirror.dns-root.de/op
nsense/FreeBSD:13:amd64/22.7/MINT/22.7.3_2/OpenSSL/Latest/os-freera
dius.pkg.sig: Not Found] failed
root@:~ # opnsense-revert -r 22.7.3 os-freeradius         ��
Fetching os-freeradius.pkg: ... done
Verifying signature with trusted certificate pkg.opnsense.org.20220
701... done
os-freeradius-1.9.20: already unlocked
Updating OPNsense repository catalogue...
OPNsense repository is up to date.
All repositories are up to date.
Checking integrity... done (0 conflicting)
The following 1 package(s) will be affected (of 0 checked):

New packages to be INSTALLED:
        os-freeradius: 1.9.20

Number of packages to be installed: 1
[1/1] Installing os-freeradius-1.9.20...
Extracting os-freeradius-1.9.20: 100%
Stopping configd...done
Starting configd.
Reloading plugin configuration
Configuring system logging...done.
Reloading template OPNsense/Freeradius: OK
November 22, 2022, 12:45:20 PM #14
Und geht's jetzt? Hast recht mit dem _  ... der gehört raus .. copy+paste Fehler :)
Print
Go Up Pages1 2 3
User actions