Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd

Pfsense + L2TP + Radius

1
Skriv svar
Permalänk
Medlem

Pfsense + L2TP + Radius

Tjo!
Har problem med att få radius-auth & L2TP att funka, verkar vara ont om folk i deras officiella forum som kan, så tänkte att nån här kanske har koll.
Postar länk dit så slipper jag skriva allt igen.

https://forum.pfsense.org/index.php?topic=88071.0

Tack!

Redigera
Citera flera Citera
Permalänk
Medlem

Du får ställa in så att maskinen som skickar lösenordet använder plain text o inte chap.

Edit: Med andra ord ställ in på pfsense att skicka plain text till din radius server.

O en edit till: (jag läser på luren så missade lite av ditt inlägg!)
Kan du inte få plaintext från pfsense så måste du fixa chap på radius servern

Senast redigerat
Visa signatur

- - - - S.T.A.L.K.E.R FAN - - - -

Redigera
Citera flera Citera
Permalänk
Medlem

Okej, nä jag hajar ju inte hur jag ska få pfsense att skicka cleartext.

Och chap på radius-server går väl inte? Hela skälet till radiusservern är ju att jag vill använda PAM-modulen för att köra google authenticator.

Mitt lösenord byggs ju upp av <lösenord><6 siffror google auth token>
Så om lösen är "foobar" och min gtoken 123456 så skickar jag ju foobar123456

Sen plockar google modulen dom 6 sista tecknena och verifierar, och skickar sen vidare resten för att kolla att det lösenordet stämmer.

Så hur jag ska få det att funka med några chap-hashar hajar jag inte?
Såvida inte chap grejorna är en krypterad version av lösenordet som sen kan avkrypteras?
Men det verkar ju som att radiusservern grinar över att pam-modulen inte funakr utan cleartext lösen..

Redigera
Citera flera Citera
Permalänk
Medlem

chap är väl challange respons och bygger inte på kryptering i första hand. Du ska försöka använda PAP som är okrypterat per definition, men jag har verkligen ingen aning om hur du ska åstadkomma det där. Vilken typ av autentisering du väljer beror ju både på klient och server. En microsoftklient lexempelvis är väl försöka med MS-CHAP v2 om du inte kan hacka om det.

Redigera
Citera flera Citera
Permalänk
Medlem

Jo fast det konstiga är att om jag inte fyller i en radius-server så authar den mot en user jag ställt in i pfsense.
Det enda jag konfar där är ett username + ett vanligt password.

Så internt så måste ju då PfSense bara ta det inkommande lösenordet och kontrollera mot den user+password.
Vad jag då inte blir klok på är att när man slår om till radius så börjar den skicka CHAP istället?

Jag kan ändra CHAP till PAP i settings men det gör ingen skillnad.

Gillar PfSense som fan, men tråkiga är att så fort man vill göra nått mer avancerat är det väligt få som kan
Ska röja in på IRC-kanalen och se om nån där har koll.

Tack för er input!

Redigera
Citera flera Citera
Permalänk
Medlem

Har du installerat radius själv eller det är inbyggt i pfsense?

Det är skitenkelt att konfa om freeradius....

Skickar exempel på hur du antagligen kan konfa om din radius sen när jag sitter vid datorn.

Edit:
Sitter vid datorn nu, har en freeradius på en centos maskin.

Man page säger:
b) Edit raddb/sites-available/default
This file contains the default policy for the server. e.g. "enable CHAP, MS-CHAP, and EAP authentication". Look in this file for all references to your module "foo". Read the comments, and remove the leading hash '#' from the lines referencing the module. This enables the module.

Kollar jag min etc/raddb/sites-enabled/default så har jag allt aktiverat, by default. Självklart inte att rekommendera så jag ska själv editera konfen nu

När du fixat konfen, "service radiusd restart" bör fungera, som root. (som sagt ej meckat med PFsense)

Hittade förövrigt en guide för Google Authenticator samt freeradius, som kanske hjälper om det inte fungerar med CHAP....

http://www.supertechguy.com/help/security/freeradius-google-a...

Senast redigerat
Visa signatur

- - - - S.T.A.L.K.E.R FAN - - - -

Redigera
Citera flera Citera
Permalänk
Medlem

EDIT:
Det visade sig vara fel i PfSense's webgui.
Trots att man valde PAP så skrevs inte detta till configfilen för vpn-servern.

Skrivet av mannen99:

Hittade förövrigt en guide för Google Authenticator samt freeradius, som kanske hjälper om det inte fungerar med CHAP....
http://www.supertechguy.com/help/security/freeradius-google-a...

Gå till inlägget

Jo det är ju den där guiden jag använder, men den förutsätter att lösenordet kommer in i klartext (PAP) till radius-servern från klienten.
Problemet var att jag ändrade till PAP i PfSense men eftersom webguit var trasigt och inte skrev den till disk så fortsatte pfsense köra CHAP.

Nu när det är fixat så att PfSense använder PAP så kommer lösenordet i klartext till min freeradius och allt funkar fina fisken

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Aha! Va skönt att det löste sig!:)

Visa signatur

- - - - S.T.A.L.K.E.R FAN - - - -

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara