Radius-Problem seit Update

[senser8912]

Hallo zusammen,

habe heute morgen auf 22.7.8 geupdated.
In dem Zuge wurde freeradius auf  3.2.1 gebracht.
Nun verbinden sich aber leider meine WLAN-Clients nicht mehr, Fehlermeldung siehe unten.
Ich habe die config von freeradius gecheckt, dieses auch mal neu installiert.
Außerdem wurde der komplette Weg vom WLAN-Client bis zur opnSense überprüft, ich finde soweit keinen Fehler.
Fehlermeldung googlen hilft leider auch nicht.

Habt ihr eine Idee, oder gar das selbe Problem?

Code: [Select]

Auth: (25) Login incorrect (eap: Failed continuing EAP TLS (13) session. EAP sub-module failed): [USERNAME/<via Auth-Type = eap>] (from client ACCESSPOINT port 0 cli XX-XX-XX-XX-XX-XX)

Auth: (25) Login incorrect: [USERNAME/<via Auth-Type = Reject>] (from client ACCESSPOINT port 0 cli XX-XX-XX-XX-XX-XX via TLS tunnel)


[mimugmail]

Libressl oder Openssl

[senser8912]

Moin!
Habe openssl im Einsatz.

[mimugmail]

Welche Version war vorher drauf?

[senser8912]

Kann ich leider nicht mehr sagen.
Da ich aber regelmäßig update sage ich jetzt mal ganz flach: Die, die vorher der Standard war.

[senser8912]

Update: Ich konnte das Problem zwar lösen, aber nur sehr unzufriedenstellend:

Der config-Parameter "Check TLS-Common-Name" machte Probleme.
Nehme ich diesen heraus, können sich die Geräte wie gewohnt einloggen.

Nun habe ich aber natürlich ein neues Problem: Solange man ein gültiges Zertifikat hat, kann man sich quasi als ein beliebiger User anmelden.
Das Zertifikat mit dem common-Name "mueller" kann nun plötzlich von "schneider" verwendet werden.

Liegt hier ggfs. ein Bug vor?
Denn die common-names stimmen mit den Usernames überein und vorher hat alles funktioniert...

[Patrick M. Hausen]

Frag doch mal im FreeRADIUS Forum/Mailingliste/Discord/...

Was auch immer die haben. Scheint ja eine Änderung in der neueren Version zu sein.

[mimugmail]

Wenn du den Parameter raus nimmst deaktivierst du den Zertifikatscheck oder nicht? Würde ja dann das Verhalten erklären

[iamhermes]

Kann den Fehler / das Feature bestätigen nach Update der OPNsense
os-freeradius   1.9.20
freeradius3   3.0.25


Auth: (153) Login incorrect (eap: Failed continuing EAP TLS (13) session. EAP sub-module failed): [XYZPhone/<via Auth-Type = eap>] (from client WiFi-AP port 0 cli xx-xx-xx-xx-xx-xx)

Google Pixel 7 mit letztem Patch Stand.
Ein Xiaomi Mi 10 hat allerdings keine Probleme sich im WiFi anzumelden. Da geht es weiterhin.

Was ist das nun?

[mimugmail]

Das letzte Update installiert nicht Freeradius 3.0
25?

[senser8912]

@mimugmail: Soweit ich das verstehe wird schon noch grundsätzlich ein gültiges Zertifikat benötigt.
Allerdings kann man sich seinen Useraccount eben quasi frei aussuchen.

[iamhermes]

https://github.com/FreeRADIUS/freeradius-server/issues/4753

Da gibt es diesen Fehler bereits.
Das Xiaomi kann sich jetzt ebenfalls nicht mehr anmelden. Vermutlich die Sitzung abgelaufen und Neuanmeldung jetzt auch nicht mehr möglich.
Was mein Laptop macht kann ich gerade nicht sagen, da dieser noch nicht eingeschaltet war. Ich vermute das selbige.

Demnach ein größeres Problem was behoben werden müsste.


mein Updateverlauf (auf opnsense gefiltert, kurioserweise wird das freeradius Paket/Plugin nirgends im Log angezeigt...)
und das Update von heut morgen hat eben das FreeRadius Problem/Feature eingebaut.
2022-11-22T07:56:31   Notice   pkg-static   opnsense-update upgraded: 22.7.3 -> 22.7.7   
2022-09-01T21:09:10   Notice   pkg-static   opnsense upgraded: 22.7.3_1 -> 22.7.3_2   
2022-09-01T21:01:41   Notice   pkg-static   opnsense upgraded: 22.7.2 -> 22.7.3_1   
2022-09-01T21:01:20   Notice   pkg-static   opnsense-lang upgraded: 22.7.1 -> 22.7.3   
2022-09-01T21:01:19   Notice   pkg-static   opnsense-update upgraded: 22.7.2 -> 22.7.3   
2022-08-27T07:07:47   Notice   pkg-static   opnsense upgraded: 22.7.1 -> 22.7.2   
2022-08-27T07:07:07   Notice   pkg-static   opnsense-update upgraded: 22.7 -> 22.7.2

[mimugmail]

https://github.com/FreeRADIUS/freeradius-server/issues/4753

Da gibt es diesen Fehler bereits.
Das Xiaomi kann sich jetzt ebenfalls nicht mehr anmelden. Vermutlich die Sitzung abgelaufen und Neuanmeldung jetzt auch nicht mehr möglich.
Was mein Laptop macht kann ich gerade nicht sagen, da dieser noch nicht eingeschaltet war. Ich vermute das selbige.

Demnach ein größeres Problem was behoben werden müsste.


mein Updateverlauf (auf opnsense gefiltert, kurioserweise wird das freeradius Paket/Plugin nirgends im Log angezeigt...)
und das Update von heut morgen hat eben das FreeRadius Problem/Feature eingebaut.
2022-11-22T07:56:31   Notice   pkg-static   opnsense-update upgraded: 22.7.3 -> 22.7.7   
2022-09-01T21:09:10   Notice   pkg-static   opnsense upgraded: 22.7.3_1 -> 22.7.3_2   
2022-09-01T21:01:41   Notice   pkg-static   opnsense upgraded: 22.7.2 -> 22.7.3_1   
2022-09-01T21:01:20   Notice   pkg-static   opnsense-lang upgraded: 22.7.1 -> 22.7.3   
2022-09-01T21:01:19   Notice   pkg-static   opnsense-update upgraded: 22.7.2 -> 22.7.3   
2022-08-27T07:07:47   Notice   pkg-static   opnsense upgraded: 22.7.1 -> 22.7.2   
2022-08-27T07:07:07   Notice   pkg-static   opnsense-update upgraded: 22.7 -> 22.7.2

Also mit 22.7.3_2 ging alles noch?

Dann Test1:

opnsense-revert -r 22.7.3_2 os-freeradius

Dann reboot .. wenn es dann nicht geht

Test2:

opnsense-revert -r 22.7.3_2 freeradius3

Wieder reboot und dann sollte es funktinieren und bitte Ergebnis hier posten.

[iamhermes]

Reboot ist gemacht. Allerdings musste ich die Version anpassen.
Ich beobachte jetzt

Code: [Select]

root@:~ # opnsense-revert -r 22.7.3_2 os-freeradius
Fetching os-freeradius.pkg: ..[fetch: https://mirror.dns-root.de/op
nsense/FreeBSD:13:amd64/22.7/MINT/22.7.3_2/OpenSSL/Latest/os-freera
dius.pkg.sig: Not Found] failed
root@:~ # opnsense-revert -r 22.7.3 os-freeradius         ��
Fetching os-freeradius.pkg: ... done
Verifying signature with trusted certificate pkg.opnsense.org.20220
701... done
os-freeradius-1.9.20: already unlocked
Updating OPNsense repository catalogue...
OPNsense repository is up to date.
All repositories are up to date.
Checking integrity... done (0 conflicting)
The following 1 package(s) will be affected (of 0 checked):

New packages to be INSTALLED:
        os-freeradius: 1.9.20

Number of packages to be installed: 1
[1/1] Installing os-freeradius-1.9.20...
Extracting os-freeradius-1.9.20: 100%
Stopping configd...done
Starting configd.
Reloading plugin configuration
Configuring system logging...done.
Reloading template OPNsense/Freeradius: OK

[mimugmail]

Und geht's jetzt? Hast recht mit dem _  ... der gehört raus .. copy+paste Fehler