Radius-Problem seit Update

[iamhermes]

Ich muss erstmal beobachten.
Beim Xiaomi ist das auch nicht sofort aufgetreten während das Pixel7 direkt nicht mehr ging nach Update

[iamhermes]

Trat jetzt wieder auf.

habe jetzt noch
opnsense-revert -r 22.7.3 freeradius3
hinterher geschoben.
Ohne reboot ist hier ein Login wieder möglich. Beobachte erst einmal weiter (ohne reboot)

[iamhermes]

Scheint wieder zu funktionieren mit der jetzigen Version.
Bisher kein Fehler

[mimugmail]

Mit jetzige Version meinst du den revert von 22.7.3 oder? Ich red grad mit Franco wie wir da weiter machen ...

[iamhermes]

Genau, der Revert.

Nutzen diese Authentifizierung einfach zu wenige dass sich das nicht so in die Masse zurück meldet?

Hat FreeBSD einen anderen Code-Stand als das github?
Ein jetziges radiusd -v gibt mir die 3.0.25 (Built on Aug 31 2022 at 01:49:57) zurück, was ja bereits die Problemversion gemäß der Github Meldung seien soll??? Diese jedoch bereitet hier keine Probleme in der Authentifizierung. Bis jetzt keine Probleme.
Die aus dem Update von 22.7.7 hier hat 3.0.25 (Built on Nov  2 2022 at 16:14:09) mit dem Authentifizierungsfehler.
Passt dann auch irgendwie nicht ganz zusammen mit dem issue Ticket
https://github.com/FreeRADIUS/freeradius-server/issues/4753


Würden hier debug logs weiter helfen? 2.November vs 31. August? Würde aber erst am Abend bei mir möglich werden.

[rantwolf]

Moin.
Ich verfolge diesen Fred ja auch. 
Und ja ich nutze diese Authentifizierung auch (aber nur für WLAN, und nicht für LAN Clients).

Aber ich habe keine Probleme.
Bei mir funktioniert alles wie gehabt.
Ich setzte aber nur folgende Client-OS's ein: "iOS, Linux, Windows"

Bei dieser Konstellation merke ich nichts von den genannten Fehler.

[mimugmail]

Moin.
Ich verfolge diesen Fred ja auch. 
Und ja ich nutze diese Authentifizierung auch (aber nur für WLAN, und nicht für LAN Clients).

Aber ich habe keine Probleme.
Bei mir funktioniert alles wie gehabt.
Ich setzte aber nur folgende Client-OS's ein: "iOS, Linux, Windows"

Bei dieser Konstellation merke ich nichts von den genannten Fehler.

Und du hast 22.7.8?

[iamhermes]

Ich ergänze hiermit meine Konfiguration vom freeradius
Zertifikate mit gleich lautenden CommonName sollten doch nicht die user Datenbank gegen prüfen vom Radius? Nutze den Radius auth zusätzlich zur VLAN Zuweisung Switch und WiFi ap (anhand Mac Adresse)

Wobei jetzt nur das Pixel 7 den gleichlautenden Namen hat, das Xiaomi aber nicht.
Dieser config Export ist gekürzt.

Code: [Select]

    <freeradius>
      <ldap version="1.0.1">
        <innertunnel>0</innertunnel>
        <protocol>LDAPS</protocol>
        <server/>
        <identity/>
        <password/>
        <base_dn>dc=example,dc=domain,dc=com</base_dn>
        <user_filter>(uid=%{%{Stripped-User-Name}:-%{User-Name}})</user_filter>
        <group_filter>(objectClass=posixGroup)</group_filter>
      </ldap>
      <dhcp version="1.0.0">
        <dhcps/>
      </dhcp>
      <lease version="1.0.0">
        <leases/>
      </lease>
      <avpair version="1.0.0">
        <avpairs/>
      </avpair>
      <general version="1.0.2">
        <enabled>1</enabled>
        <vlanassign>1</vlanassign>
        <fallbackvlan_enabled>0</fallbackvlan_enabled>
        <fallbackvlan_id/>
        <ldap_enabled>0</ldap_enabled>
        <exos>0</exos>
        <wispr>0</wispr>
        <chillispot>0</chillispot>
        <mikrotik>0</mikrotik>
        <sqlite>0</sqlite>
        <sessionlimit>0</sessionlimit>
        <log_destination>files</log_destination>
        <log_authentication_request>1</log_authentication_request>
        <log_authbadpass>1</log_authbadpass>
        <log_authgoodpass>1</log_authgoodpass>
        <dhcpenabled>0</dhcpenabled>
        <dhcplistenip/>
        <mysql>0</mysql>
        <mysqlserver>127.0.0.1</mysqlserver>
        <mysqlport>3306</mysqlport>
        <mysqluser>radius</mysqluser>
        <mysqlpassword>radpass</mysqlpassword>
        <mysqldb>radius</mysqldb>
      </general>
      <eap version="1.9.17">
        <default_eap_type>tls</default_eap_type>
        <elliptic_curve>prime256v1</elliptic_curve>
        <enable_client_cert>1</enable_client_cert>
        <ca>59275ffc0a386</ca>
        <certificate>592768c233978</certificate>
        <crl/>
        <check_tls_names>1</check_tls_names>
        <tls_min_version>1.0</tls_min_version>
      </eap>
      <user version="1.0.3">
        <users>
          <user uuid="50c5fbf5-1fe1-4edf-a720-74ca9a032f26">
            <enabled>1</enabled>
            <username></username>
            <password></password>
            <description>GooglePixel7</description>
            <ip/>
            <subnet/>
            <route/>
            <ip6/>
            <vlan>1111</vlan>
            <logintime/>
            <simuse/>
            <exos_vlan_untagged/>
            <exos_vlan_tagged/>
            <exos_policy/>
            <wispr_bw_min_up/>
            <wispr_bw_max_up/>
            <wispr_bw_min_down/>
            <wispr_bw_max_down/>
            <chillispot_bw_max_up/>
            <chillispot_bw_max_down/>
            <mikrotik_vlan_id_number/>
            <mikrotik_vlan_id_type/>
            <sessionlimit_max_session_limit/>
            <servicetype/>
            <linkedAVPair/>
          </user>
        </users>
      </user>
      <client version="1.0.2">
        <clients>
          <client uuid="b168f682-8966-4561-ba58-3c157fe27906">
            <enabled>1</enabled>
            <name>T1600G-28TS</name>
            <secret></secret>
            <ip>192.168.xxx.xxx</ip>
          </client>
          <client uuid="5bf069d6-7755-4f44-bf5a-8aa3cdab405d">
            <enabled>1</enabled>
            <name>WiFi-AP</name>
            <secret></secret>
            <ip>192.168.xxx.xxx</ip>
          </client>
        </clients>
      </client>
    </freeradius>

[senser8912]

Vielen Dank für eure Hilfe!
Auch bei mir hat der revert geklappt.
Stelle mir aber die Frage des Vorposters:
Fällt es niemandem sonst auf? Hier liegt doch offenbar ein Bug vor.

[mimugmail]

Vielen Dank für eure Hilfe!
Auch bei mir hat der revert geklappt.
Stelle mir aber die Frage des Vorposters:
Fällt es niemandem sonst auf? Hier liegt doch offenbar ein Bug vor.

Was hast du von welcher Version auf welche revertet. Wir haben hier ja mehrere Themen. Einer meldet Probleme mit 22.7.7, das hat die gleiche FreeRadius Version wie 22.7.3, aber 22.7.8 ist 3.2.1 statt 3.0.25.

Ich hab hier bisher nix konkretes

[senser8912]

Ich hatte das OS ja von 22.7.7 auf 22.7.8 gebracht, in dem Zuge wurde freeradius auf 3.2.1 angehoben.
Nun bin ich von dort wieder herunter auf 3.0.25.

[mimugmail]

Ok, Fazit für

User senser8912: Mit Update von 22.7.7 auf 22.7.8 und dementsprechend FR 30 auf 32 Probleme mit WPA2 Enterprise, Revert hat geholfen.

User rantwolf: Installierte Version 22.X.X (), alles funktioniert

User iamhermes: Update von 22.7.3 auf 22.7.7 (FR Version unverändert) und Geräte kommen nicht rein, revert auf 22.7.3, alles geht wieder.

Können das die anderen beiden noch bestätigen?

[hgkdd]

Keine Ahnung ob es hilft: ich hatte nach dem Übergang von 22.7.6 auf 22.7.7 Anmeldeprobleme im WLAN mit WPA-EAP und freeradius-server auf der OPNsense. Aufgetreten ist das bei mir nur mit iOS und iPadOS (jeweils aktuelle Version). MacOS devices hatten keine Probleme. Geholfen hat bei mir "Netzwerk ignorieren" und dann neu anmelden. Seeehr merkwürdig....

Mit Update auf 22.7.8 warte ich noch...

[mimugmail]

Keine Ahnung ob es hilft: ich hatte nach dem Übergang von 22.7.6 auf 22.7.7 Anmeldeprobleme im WLAN mit WPA-EAP und freeradius-server auf der OPNsense. Aufgetreten ist das bei mir nur mit iOS und iPadOS (jeweils aktuelle Version). MacOS devices hatten keine Probleme. Geholfen hat bei mir "Netzwerk ignorieren" und dann neu anmelden. Seeehr merkwürdig....

Mit Update auf 22.7.8 warte ich noch...

Ein Test wäre aber schön, revert zurück geht ja immer

[iamhermes]

Ich habe jetzt die 22.7.8 reingeprügelt nachdem gestern mein Test mit dem freeradius von 22.7.7 mit zwei Stunden degugging keine Fehler hoch brachte.

Da auch das Update von 22.7.7 auf 22.7.8 ohne Workaround nicht funktioniert (missing freeradius 3.0.25 files) hatte ich das bisher aufgeschoben und das fehlgeschlagene debugging gleich als Anlass für die neuere Version genommen.

Wird sich zeigen was jetzt geschieht. Ich beobachte.
radiusd: FreeRADIUS Version 3.2.1, for host amd64-portbld-freebsd13.1, built on Nov 16 2022 at 05:04:28