FreeRadius Plugin – Unterschied Shared Secret/Secret

[saveNAT]

Hallo,

kann mir vielleicht bitte jemand erklären wie
"Shared Secret" unter "System=>Access=>Servers"
und
"Secret" unter "Services=>FreeRADIUS=>Clients=>Edit Client" zusammenhängen?

Müssen Sie beide befüllt werden und falls ja mit dem selben String?

[mimugmail]

Der gleiche String, korrekt, IP dann bei beiden 127.0.0.1

[saveNAT]

Danke. Das mit der IP steht auch sehr verständlich und gut in der Anleitung.

Nochmal eine kurze Frage zum Verständnis.
Ohne den Server unter Radius-Server unter "System=>Access=>Servers" einzutragen funktioniert nichts?

Das "Enable" unter "Service=>Freeradius=>General" ist nur um das Plugin zu aktivieren nicht wirklich den Radius Server mit der IP 127.0.0.1?

Und welche IP trage ich dann eigentlich im Switch ein?
Die 127.0.0.1 ist ja Localhost und somit sicher nicht richtig!

[mimugmail]

Was willst du denn erreichen?

[saveNAT]

Was willst du denn erreichen?

Per Radius-Server Endgeräte in definierte VLANs eingliedern lassen.
Dazu muss ich jetzt aber am Switch eine IP-Adresse für den Radius Server angeben.

[mimugmail]

Dann brauchst du nur das Plugin und musst bei System : Access nix machen:)

[saveNAT]

Dann brauchst du nur das Plugin und musst bei System : Access nix machen:)

OK, danke!
Aber welche IP muss ich dann im Switch einstellen, dass dieser den Radius Server erreichen kann?
Die 127.0.0.1 kann es ja nicht sein!

[mimugmail]

Die IP der Firewall halt, wo der Switch seine IP hat. Und wenn nicht schon erlaubt brauchst du noch ne Firewallregel

[saveNAT]

Die IP der Firewall halt, wo der Switch seine IP hat. Und wenn nicht schon erlaubt brauchst du noch ne Firewallregel

OK, jetzt ist es schon besser, aber ich bekomme immer noch die Meldung:
Error: Ignoring request to auth address * port 1812 bound to server default from unknown client 192.168.1.253 port 49205 proto udp

In der Firewall wird alles im Management Netz durchgelassen und den Switch mit der 192.168.1.253 habe ich beim FreeRADIUS als Cliet hinzugefügt.

Weiß vielleicht jemand was ich noch anpassen muss?

[mimugmail]

Screenshots bitte

[saveNAT]

Ich habe mal drei Screenshots angehängt.

Fehlermeldung sowie General Setting als auch Clients.

[mimugmail]

Hast du auch schon einen User zum testen. Sieht eigentlich gut aus

[saveNAT]

Hast du auch schon einen User zum testen. Sieht eigentlich gut aus

Ja, wenn ich mich an einer Windows Maschine mit diesem User versuche anzumelden, dann kommt die Fehlermeldung.
Aber ich gehe doch recht mit der Vermutung, dass ich mit meiner Anfrage auf jeden Fall bis zum Radius Server durchkomme und an den Firewall regeln sicher kein Problem mehr sein sollte?

[mimugmail]

Firewallregel passt, du hast halt in General das komplette Auth logging deaktiviert, eventuell verpasst du da wichtige Meldungen?

Du kannst dich auch via SSH einloggen und dann:

service radiusd stop
radiusd -X

Dann wird der im Debug gestartet und du siehst bei der Anmeldung wesentlich mehr

[saveNAT]

Firewallregel passt, du hast halt in General das komplette Auth logging deaktiviert, eventuell verpasst du da wichtige Meldungen?

Ich hatte die letzten Tage leide rnicht viel Zeit darum habe ich leider nicht geantwortet. Entschuldigung.
Du hattest den passenden Tipp.
Ich konnte das Problem jetzt lösen und der Login funktioniert nun ohne Probleme! :)

Jetzt wäre nur noch eine Frage aktuell offen.
Egal was ich beim "Default EAP Type" angebe es erfolgt die Authentifizierung immer TLS.
Ebenso ist es egal was ich an meinem Windows Testnotebook als EAP-Typ zur Authentifizierung angebe es wird beim korrekten Benutzer und Passwort immer einer erfolgreiche Authentifizierung erreicht.
Wählt der Freeradius Server auf der OPNsense immer die Authentifizierungsmethode die möglich ist egal was bei "Default EAP Type" angegeben wird?