FreeRadius não registra a solicitação no modo de depuração

1
Matthias Wimmer 2020-07-23 11:21.

Desculpe, Radius novato aqui ...

Tento obter um servidor FreeRadius versão 3.0.20 empacotado pelo NixOS rodando para autenticar usuários em um ponto de acesso dlink. Estou executando o servidor com o registro de depuração habilitado.

Comecei com a configuração padrão e segui o guia de primeiros passos . Então, adicionei o usuário testingusando testing Cleartext-Password := "password". Pude confirmar que esta autenticação funciona usando radtest testing password 127.0.0.1 0 testing123. Também vejo isso como um login bem-sucedido no arquivo de log. - Legal, funciona até agora.

Em seguida, tentei autenticar em um ponto de acesso usando o mesmo usuário e senha. Então, adicionei o IP do ponto de acesso clients.confe configurei o servidor radius e o segredo compartilhado no ponto de acesso.

client ap2 {
    ipaddr = 192.168.1.32
    secret = testing123
}

Ao tentar autenticar, vejo a solicitação chegando no tcpdump, mas o FreeRadius a está ignorando completamente: nada é registrado.

Para verificar se o servidor radius não está escutando apenas no localhost, adicionei outro cliente não-localhost e usei radtestnovamente com aquele IP de origem: tudo ainda funcionou.

Verificando tcpdumpnovamente esta é a solicitação de trabalho:

192.168.1.144.57243 > 192.168.1.144.1812: [bad udp cksum 0x84d7 -> 0x44fd!] RADIUS, length: 77
    Access-Request (1), id: 0x2c, Authenticator: 106b49030bec802e1bd156ff48e3589a
      User-Name Attribute (1), length: 9, Value: testing
        0x0000: 7465 7374 696e 67
      User-Password Attribute (2), length: 18, Value:
        0x0000: d112 7b01 9c70 9548 d4a1 db33 c648 739e
      NAS-IP-Address Attribute (4), length: 6, Value: 127.0.1.1
        0x0000: 7f00 0101
      NAS-Port Attribute (5), length: 6, Value: 0
        0x0000: 0000 0000
      Message-Authenticator Attribute (80), length: 18, Value: &7u...s..L....|..
        0x0000: 2637 75c2 ead6 73cc d64c ee9f a97c d8d7

E esta é a resposta do FreeRadius:

192.168.1.144.1812 > 192.168.1.144.57243: [bad udp cksum 0x849e -> 0x427b!] RADIUS, length: 20
    Access-Accept (2), id: 0x2c, Authenticator: 750e916c6b56f85eed550088c6cf30fc

Em contraste, esta é uma solicitação do DLink:

192.168.1.32.36759 > 192.168.1.144.1812: [udp sum ok] RADIUS, length: 103
    Access-Request (1), id: 0x6a, Authenticator: e7e4df28fcd96772ffb508c4df564d
      User-Name Attribute (1), length: 9, Value: testing
        0x0000: 7465 7374 696e 67
      User-Password Attribute (2), length: 18, Value:
        0x0000: a7cb 807f a0dc fdca 8bd4 e19f cbf4 3e79
      Calling-Station-Id Attribute (31), length: 19, Value: 98:f6:21:c0:cc:9d
        0x0000: 3938 3a66 363a 3231 3a63 303a 6363 3a39
        0x0010: 64
      NAS-Identifier Attribute (32), length: 19, Value: c4:e9:0a:21:61:b0
        0x0000: 6334 3a65 393a 3061 3a32 313a 3631 3a62
        0x0010: 30
      NAS-IP-Address Attribute (4), length: 6, Value: 192.168.1.32
        0x0000: c0a8 0120
      NAS-Port-Type Attribute (61), length: 6, Value: Wireless - IEEE 802.11
        0x0000: 0000 0013
      NAS-Port Attribute (5), length: 6, Value: 255
        0x0000: 0000 00ff

O FreeRadius não está registrando essa solicitação e também não envia nenhuma resposta a ela.

A primeira coisa que provavelmente me pergunto: por que o FreeRadius não está registrando a solicitação do ponto de acesso DLink enquanto registra a outra solicitação?

Alguma ideia do que estou perdendo porque não há resposta do pacote UDP do FreeRadius para o ponto de acesso?

Uma pergunta “bônus”: na interface do usuário do ponto de acesso, o mecanismo de autenticação é chamado de “SPAP”, mas o “Atributo de senha de usuário” parece uma autenticação “PAP” normal. Qual é a diferença entre PAP e SPAP? O que significa SPAP? Não consegui encontrar nenhuma documentação de protocolo para isso.

1 answers

0
Matthias Wimmer 2020-07-25 01:22.

Eu me sinto envergonhado ... o problema que eu vi com as requisições tcpdumpmas não no log do FreeRadius foi que eu bloqueei as requisições iptablespara que os pacotes UDP nunca chegassem no socket do FreeRadius.

… Um bug de camada 8 perfeito :(

MORE COOL STUFF

Cate Blanchett dormiu com o marido depois de 3 dias juntos e ainda está casada com ele 25 anos depois

Cate Blanchett dormiu com o marido depois de 3 dias juntos e ainda está casada com ele 25 anos depois

Cate Blanchett desafiou os conselhos típicos de namoro quando conheceu o marido.

Por que Michael Sheen é um ator sem fins lucrativos

Por que Michael Sheen é um ator sem fins lucrativos

Michael Sheen é um ator sem fins lucrativos, mas o que exatamente isso significa?

Hallmark Star Colin Egglesfield Pratos Emocionantes Encontros de Fãs no RomaDrama Live! [Exclusivo]

Hallmark Star Colin Egglesfield Pratos Emocionantes Encontros de Fãs no RomaDrama Live! [Exclusivo]

A estrela da Hallmark Colin Egglesfield falou sobre emocionantes encontros com fãs no RomaDrama Live! além de seu programa INSPIRE na convenção.

Por que você não pode transmitir 'Exposição do Norte' online

Por que você não pode transmitir 'Exposição do Norte' online

Você terá que tirar o pó de um Blu-ray ou DVD player para ver por que Northern Exposure se tornou um dos programas mais populares dos anos 90.

Where in the World Are You? Take our GeoGuesser Quiz

Where in the World Are You? Take our GeoGuesser Quiz

The world is a huge place, yet some GeoGuessr players know locations in mere seconds. Are you one of GeoGuessr's gifted elite? Take our quiz to find out!

Como a matéria branca ajuda a função da matéria cinzenta do cérebro

Como a matéria branca ajuda a função da matéria cinzenta do cérebro

Todos nós já ouvimos falar da massa cinzenta do cérebro, mas e a massa branca? O que isso faz?

Doe seu cabelo para ajudar a manter nossa água limpa

Doe seu cabelo para ajudar a manter nossa água limpa

Aparas de cabelo de salões e doações pessoais podem ser reaproveitadas como tapetes que absorvem derramamentos de óleo e ajudam a proteger o meio ambiente.

Um olhar sobre os casamentos mais memoráveis ​​da Casa Branca

Um olhar sobre os casamentos mais memoráveis ​​da Casa Branca

Apenas algumas pessoas se casaram na Casa Branca nos últimos 200 anos. Quem eram eles e o que é necessário para marcar um casamento lá?

O Mercedes-AMG C63 S 2015 é perfeito, exceto por três coisas

O Mercedes-AMG C63 S 2015 é perfeito, exceto por três coisas

Algumas coisas merecem ser repetidas. Por exemplo, tendo a insistir em como o valor supera o preço e que você nunca deve se contentar com o mundano só porque é tecnicamente a escolha mais segura.

DeAndre Jordan descarta o agente que talvez Sorta o empurrou para assinar com Mavs

DeAndre Jordan descarta o agente que talvez Sorta o empurrou para assinar com Mavs

Ei, lembra de toda aquela merda com DeAndre Jordan em julho? Não? Deixe-me lembrá-lo brevemente. Em 3 de julho, os poderes relataram que Jordan escolheu se juntar aos Mavericks na agência gratuita, mas cinco dias depois vieram relatos de que Jordan estava tagarelando e os Clippers estavam tentando cortejá-lo de volta.

O Microsoft Translator pode traduzir com voz, texto e o seu relógio

O Microsoft Translator pode traduzir com voz, texto e o seu relógio

Android: os aplicativos de tradução de idiomas não são novidade (o que é uma das frases mais legais que escrevi), mas o novo aplicativo Translator da Microsoft oferece alguns recursos interessantes. Além de traduzir entre 48 idiomas por texto ou voz, você pode até usar um relógio Android Wear para traduzir do seu pulso.

Retrato pintado por AI vende por $ 432.500

Retrato pintado por AI vende por $ 432.500

Uma pintura feita por um programa de inteligência artificial vendida no leilão da Christie's em Nova York na quinta-feira por $ 432.500 - muito mais do que os estimados $ 7.000 a $ 10.000. o coletivo de arte de Paris Óbvio.

Nicky Hilton Forced to Borrow Paris' 'I Love Paris' Sweatshirt After 'Airline Loses All [My] Luggage'

Nicky Hilton Forced to Borrow Paris' 'I Love Paris' Sweatshirt After 'Airline Loses All [My] Luggage'

Nicky Hilton Rothschild's luggage got lost, but luckily she has an incredible closet to shop: Sister Paris Hilton's!

Carne de porco Mapo de Dawn Burrell e homus de Edamame

Carne de porco Mapo de Dawn Burrell e homus de Edamame

"Esta é uma indústria dominada por homens, e estou feliz por ser uma das pessoas que quebrou o molde para ajudar as mulheres de cor", diz Top Chef: finalista de Portland e chef-parceiro do final de agosto em Houston. "Muitas vezes somos ignorados e às vezes não ensinados, mas isso vai mudar."

Kate Middleton passa um dia à beira da água em Londres, além de Jennifer Lopez, Julianne Hough e mais

Kate Middleton passa um dia à beira da água em Londres, além de Jennifer Lopez, Julianne Hough e mais

Kate Middleton passa um dia na água em Londres, além de Jennifer Lopez, Julianne Hough e muito mais. De Hollywood a Nova York e em todos os lugares, veja o que suas estrelas favoritas estão fazendo!

Jovem de 17 anos esfaqueado até a morte enquanto outros 4 ficaram feridos em um ataque de faca no rio Wisconsin

Jovem de 17 anos esfaqueado até a morte enquanto outros 4 ficaram feridos em um ataque de faca no rio Wisconsin

Investigadores estão investigando se o grupo e o suspeito se conheciam antes do ataque

Aterrissagens na pista

Aterrissagens na pista

O final do verão e o outono são estações nostálgicas. Os postes de luz lançam sua luz sobre as ruas escorregadias pela chuva, e as folhas sob os pés – vermelho-alaranjado nas sombras do crepúsculo – são um lembrete de dias passados.

Imagine criar uma estratégia de conteúdo que realmente CONVERTE. É possível.

Imagine criar uma estratégia de conteúdo que realmente CONVERTE. É possível.

Em 2021, encorajo você a repensar tudo o que sabe sobre os clientes que atende e as histórias que conta a eles. Dê um passo para trás.

Uma perda gigantesca abriu meu coração para o amor

Uma perda gigantesca abriu meu coração para o amor

No dia do aniversário de 9 anos de Felix The Cat, lembro-me de uma das maiores perdas da minha vida adulta – minha Sophie em 2013. Escrevi este ensaio e o compartilhei brevemente nesta plataforma em 2013.

Quando você não pode ser a pessoa que a internet quer que você seja

Quando você não pode ser a pessoa que a internet quer que você seja

Odeio a palavra “naufrágio”. As pessoas se confortam em sua própria bússola moral e, ao fazê-lo, encontram-se julgando.

Language