Ratkaistu RouterOS 7.4 + FreeRADIUS 3.0.26 - Kirjautuminen RADIUS-käyttäjällä antaa "Permission denied, please try again"

A

andelsssi

Liittynyt
16.04.2017
Viestejä
324
Testimielessä ajattelin pystyttää RADIUS-palvelimen, jotta palvelimiin ja verkkolaitteisiin pääsisi kirjatumaan yhdellä käyttäjällä ilman, että tarvittaessa mikäli passua vaihtaa, ei tarvitse samaa entryä tehdä joka laitteeseen erikseen.

Tosissaan kun MikroTikiin koittaa kirjautua sisään RADIUS-käyttäjällä, SSH palauttaa "Permission denied, please try again". Olen tarkistanut, että MikroTik pystyy kommunikoimaan RADIUS-palvelimen kanssa:

Koodi: 
Traceroute

[@NEPTRT01] > tool traceroute 10.10.1.198 port=1812
Columns: ADDRESS, LOSS, SENT, LAST, AVG, BEST, WORST, STD-DEV
#  ADDRESS      LOSS  SENT  LAST   AVG  BEST  WORST  STD-DEV
1  10.10.1.198  0%      27  0.5ms    2  0.5   14.2   2.8   

[@NEPTRT01] >

Koodi: 
radius monitor ennen uutta kirjautumis yritystä:

[@NEPTRT01] /radius> monitor 0
           pending: 0
          requests: 31
           accepts: 0
           rejects: 0
           resends: 60
          timeouts: 31
       bad-replies: 0
  last-request-rtt: 0ms
-- [Q quit|D dump|C-z pause]

radius monitor uuden kirjautumis yrityksen jälkeen:

[@NEPTRT01] /radius> monitor 0
           pending: 0
          requests: 33
           accepts: 0
           rejects: 0
           resends: 66
          timeouts: 33
       bad-replies: 0
  last-request-rtt: 0ms
-- [Q quit|D dump|C-z pause]

FreeRADIUS konffiin määritetty client seuraavasti:

Koodi: 
client neptrt01.aohman.ovh {
ipaddr = 10.10.1.1
secret = RouterBoard123
}

Radius asetukset MikroTikin päädyssä:

Koodi: 
[@NEPTRT01] /radius> pr
Columns: SERVICE, ADDRESS, SECRET
# SERVICE  ADDRESS      SECRET       
0 login    10.10.1.198  RouterBoard123
[@NEPTRT01] /radius>

AAA asetukset MikroTikin päädyssä:

Koodi: 
[@NEPTRT01] /radius> .. user aaa pr
      use-radius: yes
      accounting: yes
  interim-update: 0s
   default-group: read
  exclude-groups:
[@NEPTRT01] /radius>

Logi liittyen RADIUS-kirjautumiseen:

17:02:28 radius,debug new request 0d:02 code=Access-Request service=login
17:02:28 radius,debug sending 0d:02 to 10.10.1.198:1812
17:02:28 radius,debug,packet sending Access-Request with id 33 to 10.10.1.198:1812
17:02:28 radius,debug,packet Signature = 0xfc1ab20f73672f7ec26911b66a6a6025
17:02:28 radius,debug,packet Service-Type = 1
17:02:28 radius,debug,packet User-Name = "antohman"
17:02:28 radius,debug,packet MS-CHAP-Challenge = 0xedcb0d09dbebaf8ad5654dad7cd51b52
17:02:28 radius,debug,packet MS-CHAP2-Response = 0x00004e26285b0519d462d4c27c378841
17:02:28 radius,debug,packet e49f000000000000000077c680d27b4c
17:02:28 radius,debug,packet 2892017689490e3909c9c2cf77e4ab3d
17:02:28 radius,debug,packet a6b5
17:02:28 radius,debug,packet Calling-Station-Id = "10.10.1.188"
17:02:28 radius,debug,packet NAS-Identifier = "NEPTRT01"
17:02:28 radius,debug,packet NAS-IP-Address = 10.10.1.193
17:02:29 radius,debug resending 0d:02
17:02:29 radius,debug,packet sending Access-Request with id 33 to 10.10.1.198:1812
17:02:29 radius,debug,packet Signature = 0xfc1ab20f73672f7ec26911b66a6a6025
17:02:29 radius,debug,packet Service-Type = 1
17:02:29 radius,debug,packet User-Name = "antohman"
17:02:29 radius,debug,packet MS-CHAP-Challenge = 0xedcb0d09dbebaf8ad5654dad7cd51b52
17:02:29 radius,debug,packet MS-CHAP2-Response = 0x00004e26285b0519d462d4c27c378841
17:02:29 radius,debug,packet e49f000000000000000077c680d27b4c
17:02:29 radius,debug,packet 2892017689490e3909c9c2cf77e4ab3d
17:02:29 radius,debug,packet a6b5
17:02:29 radius,debug,packet Calling-Station-Id = "10.10.1.188"
17:02:29 radius,debug,packet NAS-Identifier = "NEPTRT01"
17:02:29 radius,debug,packet NAS-IP-Address = 10.10.1.193
17:02:29 radius,debug resending 0d:02
17:02:29 radius,debug,packet sending Access-Request with id 33 to 10.10.1.198:1812
17:02:29 radius,debug,packet Signature = 0xfc1ab20f73672f7ec26911b66a6a6025
17:02:29 radius,debug,packet Service-Type = 1
17:02:29 radius,debug,packet User-Name = "antohman"
17:02:29 radius,debug,packet MS-CHAP-Challenge = 0xedcb0d09dbebaf8ad5654dad7cd51b52
17:02:29 radius,debug,packet MS-CHAP2-Response = 0x00004e26285b0519d462d4c27c378841
17:02:29 radius,debug,packet e49f000000000000000077c680d27b4c
17:02:29 radius,debug,packet 2892017689490e3909c9c2cf77e4ab3d
17:02:29 radius,debug,packet a6b5
17:02:29 radius,debug,packet Calling-Station-Id = "10.10.1.188"
17:02:29 radius,debug,packet NAS-Identifier = "NEPTRT01"
17:02:29 radius,debug,packet NAS-IP-Address = 10.10.1.193
17:02:29 radius,debug timeout for 0d:02
17:02:35 radius,debug new request 0d:03 code=Access-Request service=login
17:02:35 radius,debug sending 0d:03 to 10.10.1.198:1812
17:02:35 radius,debug,packet sending Access-Request with id 34 to 10.10.1.198:1812
17:02:35 radius,debug,packet Signature = 0x71cd5329900c20b71e9283aec3926aef
17:02:35 radius,debug,packet Service-Type = 1
17:02:35 radius,debug,packet User-Name = "antohman"
17:02:35 radius,debug,packet MS-CHAP-Challenge = 0xc8b1242d3cdd44654d3a666444380fd7
17:02:35 radius,debug,packet MS-CHAP2-Response = 0x000086abe140bb2298fb3bd16f45caeb
17:02:35 radius,debug,packet da3c0000000000000000cf9f1f5c2afa
17:02:35 radius,debug,packet 3fb0dc4c020581936cf64b053ef92269
17:02:35 radius,debug,packet 65f9
17:02:35 radius,debug,packet Calling-Station-Id = "10.10.1.188"
17:02:35 radius,debug,packet NAS-Identifier = "NEPTRT01"
17:02:35 radius,debug,packet NAS-IP-Address = 10.10.1.193
17:02:35 radius,debug resending 0d:03
17:02:35 radius,debug,packet sending Access-Request with id 34 to 10.10.1.198:1812
17:02:35 radius,debug,packet Signature = 0x71cd5329900c20b71e9283aec3926aef
17:02:35 radius,debug,packet Service-Type = 1
17:02:35 radius,debug,packet User-Name = "antohman"
17:02:35 radius,debug,packet MS-CHAP-Challenge = 0xc8b1242d3cdd44654d3a666444380fd7
17:02:35 radius,debug,packet MS-CHAP2-Response = 0x000086abe140bb2298fb3bd16f45caeb
17:02:35 radius,debug,packet da3c0000000000000000cf9f1f5c2afa
17:02:35 radius,debug,packet 3fb0dc4c020581936cf64b053ef92269
17:02:35 radius,debug,packet 65f9
17:02:35 radius,debug,packet Calling-Station-Id = "10.10.1.188"
17:02:35 radius,debug,packet NAS-Identifier = "NEPTRT01"
17:02:35 radius,debug,packet NAS-IP-Address = 10.10.1.193
17:02:35 radius,debug resending 0d:03
17:02:35 radius,debug,packet sending Access-Request with id 34 to 10.10.1.198:1812
17:02:35 radius,debug,packet Signature = 0x71cd5329900c20b71e9283aec3926aef
17:02:35 radius,debug,packet Service-Type = 1
17:02:35 radius,debug,packet User-Name = "antohman"
17:02:35 radius,debug,packet MS-CHAP-Challenge = 0xc8b1242d3cdd44654d3a666444380fd7
17:02:35 radius,debug,packet MS-CHAP2-Response = 0x000086abe140bb2298fb3bd16f45caeb
17:02:35 radius,debug,packet da3c0000000000000000cf9f1f5c2afa
17:02:35 radius,debug,packet 3fb0dc4c020581936cf64b053ef92269
17:02:35 radius,debug,packet 65f9
17:02:35 radius,debug,packet Calling-Station-Id = "10.10.1.188"
17:02:35 radius,debug,packet NAS-Identifier = "NEPTRT01"
17:02:35 radius,debug,packet NAS-IP-Address = 10.10.1.193
17:02:35 radius,debug timeout for 0d:03
17:02:35 system,error,critical login failure for user antohman from 10.10.1.188 via ssh

Ideoita otetaan vastaan mistä lähtisi selvittämään kerta yhteyden pitäisi MikroTikin ja RADIUS-palvelimen välillä pitäisi olla ?OK?
 
Aikakatkaisuhan tuossa login perusteella tosiaan tapahtuu.
Olet määritellyt että RADIUS-asiakkaan osoite olisi 10.10.1.1, mutta login NAS-IP-Address-rivit tuntuisivat väittävän että se on 10.10.1.193. Tällä voi hyvinkin olla merkitystä:
Koodi: 
17:02:28 radius,debug,packet     NAS-Identifier = "NEPTRT01"
17:02:28 radius,debug,packet     NAS-IP-Address = 10.10.1.193

Logittaako FreeRADIUS mitään kirjautumisyrityksen aikana?
 
Viimeksi muokattu:
telcoM sanoi:
Aikakatkaisuhan tuossa login perusteella tosiaan tapahtuu.
Olet määritellyt että RADIUS-asiakkaan osoite olisi 10.10.1.1, mutta login NAS-IP-Address-rivit tuntuisivat väittävän että se on 10.10.1.193. Tällä voi hyvinkin olla merkitystä:
Koodi: 
17:02:28 radius,debug,packet     NAS-Identifier = "NEPTRT01"
17:02:28 radius,debug,packet     NAS-IP-Address = 10.10.1.193

Logittaako FreeRADIUS mitään kirjautumisyrityksen aikana?
Napsauta laajentaaksesi...


Tarvitaan näemmä useampi silmäpari, jotta huomaa omat hoopoilut. Tuo 10.10.1.1 on omassa konfiguraatiossani Mikrotikin Management VLAN osoite ja 10.10.1.193 taas Server VLAN osoite. Ilmeisesti jostain syystä ajattelin, että tuo 10.10.1.1 olisi pitänyt laittaa RADIUS-konffiin kerta estoja olen tehnyt mm. ettei Client VLANista pääse kuin muutama laita kirjautumaan Management VLANin kautta ja muuten Client VLANista ei pääse kirjautumaan. Tässä olisi pitänyt tajuta laittaa konffiin Mikrotikin Server VLAN IP eikä Management IP kerta VLANien sisällä en ole erillisiä estoja tehnyt. Vaihdoin nyt FreeRADIUS konffiin client IP:ksi 10.10.1.197, jonka jälkeen RADIUS-kirjautuminen lähti toimimaan.

Kiitokset avusta @telcoM :tup:
 
Viimeksi muokattu:
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
267 414
Viestejä
4 625 308
Jäsenet
76 033
Uusin jäsen
mhsefi

Hinta.fi

Back
Ylös Bottom