Radius-Problem seit Update

Started by senser8912, November 19, 2022, 12:38:22 PM

Previous topic - Next topic
Print
Go Down Pages 1 2 3
User actions
November 22, 2022, 12:52:14 PM #15
Ich muss erstmal beobachten.
Beim Xiaomi ist das auch nicht sofort aufgetreten während das Pixel7 direkt nicht mehr ging nach Update
November 22, 2022, 01:27:41 PM #16
Trat jetzt wieder auf.

habe jetzt noch
opnsense-revert -r 22.7.3 freeradius3
hinterher geschoben.
Ohne reboot ist hier ein Login wieder möglich. Beobachte erst einmal weiter (ohne reboot)
November 22, 2022, 08:07:15 PM #17
Scheint wieder zu funktionieren mit der jetzigen Version.
Bisher kein Fehler
November 23, 2022, 10:53:52 AM #18
Mit jetzige Version meinst du den revert von 22.7.3 oder? Ich red grad mit Franco wie wir da weiter machen ...
November 23, 2022, 11:37:33 AM #19 Last Edit: November 23, 2022, 11:41:30 AM by iamhermes
Genau, der Revert.

Nutzen diese Authentifizierung einfach zu wenige dass sich das nicht so in die Masse zurück meldet?

Hat FreeBSD einen anderen Code-Stand als das github?
Ein jetziges radiusd -v gibt mir die 3.0.25 (Built on Aug 31 2022 at 01:49:57) zurück, was ja bereits die Problemversion gemäß der Github Meldung seien soll??? Diese jedoch bereitet hier keine Probleme in der Authentifizierung. Bis jetzt keine Probleme.
Die aus dem Update von 22.7.7 hier hat 3.0.25 (Built on Nov  2 2022 at 16:14:09) mit dem Authentifizierungsfehler.
Passt dann auch irgendwie nicht ganz zusammen mit dem issue Ticket
https://github.com/FreeRADIUS/freeradius-server/issues/4753


Würden hier debug logs weiter helfen? 2.November vs 31. August? Würde aber erst am Abend bei mir möglich werden.
November 23, 2022, 04:54:55 PM #20
Moin.
Ich verfolge diesen Fred ja auch.  :P
Und ja ich nutze diese Authentifizierung auch (aber nur für WLAN, und nicht für LAN Clients).

Aber ich habe keine Probleme.
Bei mir funktioniert alles wie gehabt.
Ich setzte aber nur folgende Client-OS's ein: "iOS, Linux, Windows"

Bei dieser Konstellation merke ich nichts von den genannten Fehler.
November 23, 2022, 07:51:08 PM #21
Quote from: rantwolf on November 23, 2022, 04:54:55 PM
Moin.
Ich verfolge diesen Fred ja auch.  :P
Und ja ich nutze diese Authentifizierung auch (aber nur für WLAN, und nicht für LAN Clients).

Aber ich habe keine Probleme.
Bei mir funktioniert alles wie gehabt.
Ich setzte aber nur folgende Client-OS's ein: "iOS, Linux, Windows"

Bei dieser Konstellation merke ich nichts von den genannten Fehler.

Und du hast 22.7.8?
November 23, 2022, 07:56:23 PM #22
Ich ergänze hiermit meine Konfiguration vom freeradius
Zertifikate mit gleich lautenden CommonName sollten doch nicht die user Datenbank gegen prüfen vom Radius? Nutze den Radius auth zusätzlich zur VLAN Zuweisung Switch und WiFi ap (anhand Mac Adresse)

Wobei jetzt nur das Pixel 7 den gleichlautenden Namen hat, das Xiaomi aber nicht.
Dieser config Export ist gekürzt.

Code Select
    <freeradius>
      <ldap version="1.0.1">
        <innertunnel>0</innertunnel>
        <protocol>LDAPS</protocol>
        <server/>
        <identity/>
        <password/>
        <base_dn>dc=example,dc=domain,dc=com</base_dn>
        <user_filter>(uid=%{%{Stripped-User-Name}:-%{User-Name}})</user_filter>
        <group_filter>(objectClass=posixGroup)</group_filter>
      </ldap>
      <dhcp version="1.0.0">
        <dhcps/>
      </dhcp>
      <lease version="1.0.0">
        <leases/>
      </lease>
      <avpair version="1.0.0">
        <avpairs/>
      </avpair>
      <general version="1.0.2">
        <enabled>1</enabled>
        <vlanassign>1</vlanassign>
        <fallbackvlan_enabled>0</fallbackvlan_enabled>
        <fallbackvlan_id/>
        <ldap_enabled>0</ldap_enabled>
        <exos>0</exos>
        <wispr>0</wispr>
        <chillispot>0</chillispot>
        <mikrotik>0</mikrotik>
        <sqlite>0</sqlite>
        <sessionlimit>0</sessionlimit>
        <log_destination>files</log_destination>
        <log_authentication_request>1</log_authentication_request>
        <log_authbadpass>1</log_authbadpass>
        <log_authgoodpass>1</log_authgoodpass>
        <dhcpenabled>0</dhcpenabled>
        <dhcplistenip/>
        <mysql>0</mysql>
        <mysqlserver>127.0.0.1</mysqlserver>
        <mysqlport>3306</mysqlport>
        <mysqluser>radius</mysqluser>
        <mysqlpassword>radpass</mysqlpassword>
        <mysqldb>radius</mysqldb>
      </general>
      <eap version="1.9.17">
        <default_eap_type>tls</default_eap_type>
        <elliptic_curve>prime256v1</elliptic_curve>
        <enable_client_cert>1</enable_client_cert>
        <ca>59275ffc0a386</ca>
        <certificate>592768c233978</certificate>
        <crl/>
        <check_tls_names>1</check_tls_names>
        <tls_min_version>1.0</tls_min_version>
      </eap>
      <user version="1.0.3">
        <users>
          <user uuid="50c5fbf5-1fe1-4edf-a720-74ca9a032f26">
            <enabled>1</enabled>
            <username></username>
            <password></password>
            <description>GooglePixel7</description>
            <ip/>
            <subnet/>
            <route/>
            <ip6/>
            <vlan>1111</vlan>
            <logintime/>
            <simuse/>
            <exos_vlan_untagged/>
            <exos_vlan_tagged/>
            <exos_policy/>
            <wispr_bw_min_up/>
            <wispr_bw_max_up/>
            <wispr_bw_min_down/>
            <wispr_bw_max_down/>
            <chillispot_bw_max_up/>
            <chillispot_bw_max_down/>
            <mikrotik_vlan_id_number/>
            <mikrotik_vlan_id_type/>
            <sessionlimit_max_session_limit/>
            <servicetype/>
            <linkedAVPair/>
          </user>
        </users>
      </user>
      <client version="1.0.2">
        <clients>
          <client uuid="b168f682-8966-4561-ba58-3c157fe27906">
            <enabled>1</enabled>
            <name>T1600G-28TS</name>
            <secret></secret>
            <ip>192.168.xxx.xxx</ip>
          </client>
          <client uuid="5bf069d6-7755-4f44-bf5a-8aa3cdab405d">
            <enabled>1</enabled>
            <name>WiFi-AP</name>
            <secret></secret>
            <ip>192.168.xxx.xxx</ip>
          </client>
        </clients>
      </client>
    </freeradius>
November 25, 2022, 09:36:20 AM #23
Vielen Dank für eure Hilfe!
Auch bei mir hat der revert geklappt.
Stelle mir aber die Frage des Vorposters:
Fällt es niemandem sonst auf? Hier liegt doch offenbar ein Bug vor.
November 25, 2022, 11:25:54 AM #24
Quote from: senser8912 on November 25, 2022, 09:36:20 AM
Vielen Dank für eure Hilfe!
Auch bei mir hat der revert geklappt.
Stelle mir aber die Frage des Vorposters:
Fällt es niemandem sonst auf? Hier liegt doch offenbar ein Bug vor.

Was hast du von welcher Version auf welche revertet. Wir haben hier ja mehrere Themen. Einer meldet Probleme mit 22.7.7, das hat die gleiche FreeRadius Version wie 22.7.3, aber 22.7.8 ist 3.2.1 statt 3.0.25.

Ich hab hier bisher nix konkretes
November 25, 2022, 11:39:35 AM #25
Ich hatte das OS ja von 22.7.7 auf 22.7.8 gebracht, in dem Zuge wurde freeradius auf 3.2.1 angehoben.
Nun bin ich von dort wieder herunter auf 3.0.25.
November 25, 2022, 12:12:37 PM #26
Ok, Fazit für

User senser8912: Mit Update von 22.7.7 auf 22.7.8 und dementsprechend FR 30 auf 32 Probleme mit WPA2 Enterprise, Revert hat geholfen.

User rantwolf: Installierte Version 22.X.X (???), alles funktioniert

User iamhermes: Update von 22.7.3 auf 22.7.7 (FR Version unverändert) und Geräte kommen nicht rein, revert auf 22.7.3, alles geht wieder.

Können das die anderen beiden noch bestätigen?
November 25, 2022, 07:06:09 PM #27
Keine Ahnung ob es hilft: ich hatte nach dem Übergang von 22.7.6 auf 22.7.7 Anmeldeprobleme im WLAN mit WPA-EAP und freeradius-server auf der OPNsense. Aufgetreten ist das bei mir nur mit iOS und iPadOS (jeweils aktuelle Version). MacOS devices hatten keine Probleme. Geholfen hat bei mir "Netzwerk ignorieren" und dann neu anmelden. Seeehr merkwürdig....

Mit Update auf 22.7.8 warte ich noch...
NRG Systems IPU675, Intel Core i7-7500U 2,7 GHz, 6xIntel i211AT Gigabit LAN, 16 GB RAM, 256 GB SSD
November 25, 2022, 11:51:34 PM #28
Quote from: hgkdd on November 25, 2022, 07:06:09 PM
Keine Ahnung ob es hilft: ich hatte nach dem Übergang von 22.7.6 auf 22.7.7 Anmeldeprobleme im WLAN mit WPA-EAP und freeradius-server auf der OPNsense. Aufgetreten ist das bei mir nur mit iOS und iPadOS (jeweils aktuelle Version). MacOS devices hatten keine Probleme. Geholfen hat bei mir "Netzwerk ignorieren" und dann neu anmelden. Seeehr merkwürdig....

Mit Update auf 22.7.8 warte ich noch...

Ein Test wäre aber schön, revert zurück geht ja immer :)
November 26, 2022, 08:07:03 AM #29
Ich habe jetzt die 22.7.8 reingeprügelt nachdem gestern mein Test mit dem freeradius von 22.7.7 mit zwei Stunden degugging keine Fehler hoch brachte.

Da auch das Update von 22.7.7 auf 22.7.8 ohne Workaround nicht funktioniert (missing freeradius 3.0.25 files) hatte ich das bisher aufgeschoben und das fehlgeschlagene debugging gleich als Anlass für die neuere Version genommen.

Wird sich zeigen was jetzt geschieht. Ich beobachte.
radiusd: FreeRADIUS Version 3.2.1, for host amd64-portbld-freebsd13.1, built on Nov 16 2022 at 05:04:28
Print
Go Up Pages 1 2 3
User actions