Home

Servidor Radius :WPA Enterprise + EAP-TLS (802.11x)

Submitted by admin on Mon, 03/01/2010 - 14:35
nota aclaratoria: 

Instalación en debian (freeradius v.2.1.8)

creación de certificados

configuración de cliente en windows 7 y linux (wpa_supplicant)

 

INTRODUCCIÓN

---------------------------

Lo primero saber que el servidor radius ha de componerse de un ordenador que siempre tiene que estar encendido conectado por cable al rouTer

más  los clientes por wifi que queramos, para cada uno de ellos habrá que crear un certificado diferente.

El tipo de seguridad que vamos a utlizar es Eap-Tls , Eap (extensible authentication protocol) y Tls (transport layer security)

un esquema  puede ser este (radius + firewall):

Existen distribuciones expecialmente diseñadas para hacer esto pero creo que la mejor manera de aprender

es haciendolo tu mismo, una de estas distros es phpRADmin:

dedicada enteramente a servidor radius u otras como pfsense

o phpMyPrepaid que tienen más opciones como firewalls, hotspot....

 

captura phpMyPrepaid:

 

 

INSTALACION

------------------------

mkdir radius

 

cd radius/

Nos descargamos  la última versión de freeradius:  http://freeradius.org/

wget ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-2.1.8.tar.gz

 

tar -vzxf freeradius-server-2.1.8.tar.gz

 

cd freeradius-server-2.1.8/

Instalamos paquetes necesarios:

apt-get update

 

apt-get install fakeroot dpkg-dev libssl-dev quilt libtool libltdl3-dev libpam dpkg-dev 
apt-get install libmysqlclient-dev libgdbm-dev libldap2-dev libsasl2-dev libiodbc2-dev python-dev

 

apt-get install libsnmp-dev libpq-dev libpam0g-dev libkrb5-dev libperl-dev libsnmp-dev libpq-dev                                                                                                          

Creamos el binario para debian:

fakeroot dpkg-buildpackage -b -uc    

[si nos salta algun error es por alguna dependencia de algun paquete, el cual nos lo dice asi que lo instalamos y listo]

Ahora creará el paquete deb, (tarda un poco), después subimos de directorio y vemos que archivos ha creado:

cd .. 
ls

freeradius_2.1.8+git_i386.changes         freeradius-iodbc_2.1.8+git_i386.deb       freeradius-server-2.1.8
freeradius_2.1.8+git_i386.deb freeradius-krb5_2.1.8+git_i386.deb        freeradius-server-2.1.8.tar.gz
freeradius-common_2.1.8+git_all.deb freeradius-ldap_2.1.8+git_i386.deb        freeradius-utils_2.1.8+git_i386.deb
freeradius-dbg_2.1.8+git_i386.deb         freeradius-mysql_2.1.8+git_i386.deb       libfreeradius2_2.1.8+git_i386.deb
freeradius-dialupadmin_2.1.8+git_all.deb  freeradius-postgresql_2.1.8+git_i386.deb  libfreeradius-dev_2.1.8+git_i386.deb

Instalamos en este orden:

dpkg -i libfreeradius2_2.1.8+git_i386.deb

 

dpkg -i freeradius-common_2.1.8+git_all.deb       

 

dpkg -i freeradius_2.1.8+git_i386.deb

OTRA FORMA DE INSTALACIÓN POR SI ESTA FALLA:

aptitude install libfreeradius2
aptitude install freeradius-common
wget http://ftp.de.debian.org/debian/pool/main/f/freeradius/freeradius_2.1.8+dfsg-1_amd64.deb
dpkg -i freeradius_2.1.8+dfsg-1_amd64.deb

(Para bajarse otra versión de freeradius: http://packages.debian.org/search?keywords=freeradius )

Al terminar de instalar intenta iniciar automaticamente freeradius pero  nos da error porque no esta configurado:

dpkg-statoverrides: warning: --update given but /var/run/freeradius does not exist
dpkg-statoverrides: warning: omitiendo «/» final
dpkg-statoverrides: warning: omitiendo «/» final
dpkg-statoverrides: warning: omitiendo «/» final

Starting FreeRADIUS daemon: freeradius failed!
invoke-rc.d: initscript freeradius, action "start" failed.

Paramos el proceso manualmente:

/etc/init.d/freeradius stop

Aunque nos de ese error esta instalado. Ponemos para ver la versión instalada:

freeradius -v

freeradius: FreeRADIUS Version 2.1.8, for host i486-pc-linux-gnu, built on Feb 24 2010 at 19:33:57
Copyright (C) 1999-2009 The FreeRADIUS server project and contributors.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
You may redistribute copies of FreeRADIUS under the terms of the
GNU General Public License.
For more information about these matters, see the file named COPYRIGHT.

Para ver todos los comandos relacionados:

freeradius -h

Usage: freeradius [-d db_dir] [-l log_dir] [-i address] [-n name] [-fsvXx]
Options:

-C              Check configuration and exit.
-d raddb_dir    Configuration files are in "raddbdir/*".
-f Run as a foreground process, not a daemon.
-h              Print this help message.
-i ipaddr       Listen on ipaddr ONLY
-n name         Read raddb/name.conf instead of raddb/radiusd.conf
-p port         Listen on port ONLY
-s              Do not spawn child processes to handle requests.
-v              Print server version information.
-X Turn on full debugging.
-x              Turn on additional debugging. (-xx gives more debugging). 

freeradius -f -X

Wed Feb 24 20:00:46 2010 : Error: rlm_eap: SSL error error:02001002:system library:fopen:No such file or directory
Wed Feb 24 20:00:46 2010 : Error: rlm_eap_tls: Error reading certificate file /etc/freeradius/certs/server.pem
Wed Feb 24 20:00:46 2010 : Error: rlm_eap: Failed to initialize type tls
Wed Feb 24 20:00:46 2010 : Error: /etc/freeradius/eap.conf[17]: Instantiation failed for module "eap"
Wed Feb 24 20:00:46 2010 : Error: /etc/freeradius/sites-enabled/inner-tunnel[223]: Failed to find module "eap".
Wed Feb 24 20:00:46 2010 : Error: /etc/freeradius/sites-enabled/inner-tunnel[176]: Errors parsing authenticate section.

Todabia queda configurar: todos los archivos que vamos a configurar estan en /etc/freeradius/

cd /etc/freeradius/

 

 

»

En cuanto a las capturas,

Submitted by admin on Thu, 07/01/2010 - 23:38.

En cuanto a las capturas, nose si podré porque ya desinstalé el server, de todas maneras si saco tiempo intentaré hacer un video.
Aún así estoy haciendo un nuevo manual (firewall pfsense), que es un cortafuegos basado en freebsd facil de instalar y que ademas ya lleva
dentro freeradius y es muy fácil de configurar ya que va todo via web, espero que estos días lo acabe y veas cual es la mejor opción para ti. Yo seguramente sea el que acabe haciendo funcionar. El caso es que freeradius esta muy bien para practicar y como seguridad pero luego te plantea problemas como cuando tienes dispositivos
como moviles con wifi o la propia play station 3 los cuales no soportan este tipo de cifrado. Aun así yo lo implantare con pfsense también en el nuevo manual, e intentaré
hacer un video de como lo instale en debian y lo hice funcionar para que se vea mejor

»

Buenas tardes tenia tiempo

Submitted by gabriel-a-m-s on Thu, 07/01/2010 - 22:29.

Buenas tardes tenia tiempo que no escribia, habia dejado las pruebas a un lado ahora las retome y modifique ciertas cosas en el access point y en el servidor y parce que ahora funciona mejor el servidor freeradius, o por lo menos escucha las peticiones de los clientes que se intentan autenticar contra el servikdor a traves del access point, lo que esta a continuacion es el resultado de intentar autenticarme con el cliente en windows 7, ahora otra cosa en windows no se reconoce el certificado root.pem como certificado de seguridad y lo que tuve que hacer para poder utilizar el certificado fue con el root.der, por favor si me puedieses ayudar mostrandome unas tomas de cual seria el resultado paso a paso de como deberia quedar al intentar autenticarse con un cliente en windows y en debian, por que ademas el servidor estando en debian si esucha las solicitudes de los clientes en windows pero los clientes linux, ahora que estoy utilizando ubuntu para un cliente linux no escucha ni muestra ningun log en el servidor freeradius, por favor cualquier cosa respondeme a mi correo theblackmen@msn.com, me seria de gran ayuda tu colaboracion, o cualquier error que tenga por favor ayudame muchas gracias.

rad_recv: Access-Request packet from host 192.168.1.1 port 1434, id=28, length=148 User-Name = "puma" NAS-IP-Address = 192.168.1.1 NAS-Port = 0 Called-Station-Id = "00-25-9C-62-A1-EB:Linksys1" Calling-Station-Id = "00-1F-3A-97-36-5A" Framed-MTU = 1400 NAS-Port-Type = Wireless-802.11 Connect-Info = "CONNECT 0Mbps 802.11" EAP-Message = 0x020100090170756d61 Message-Authenticator = 0xe5334cdf03dcceaafccc7ac64d8da103+- entering group authorize {...}[files] users: Matched entry puma at line 205++[files] returns ok++[mschap] returns noop[eap] EAP packet type response id 1 length 9[eap] No EAP Start, assuming it's an on-going EAP conversation++[eap] returns updatedFound Auth-Type = EAPFound Auth-Type = EAPWarning:  Found 2 auth-types on request for user 'puma'+- entering group authenticate {...}[eap] EAP Identity[eap] processing type tls[tls] Requiring client certificate[tls] Initiate[tls] Start returned 1++[eap] returns handledSending Access-Challenge of id 28 to 192.168.1.1 port 1434 EAP-Message = 0x010200060d20 Message-Authenticator = 0x00000000000000000000000000000000 State = 0x7ff284497ff08964587607c05a8f5d83Finished request 6.Going to the next requestWaking up in 4.9 seconds.rad_recv: Access-Request packet from host 192.168.1.1 port 1434, id=29, length=256 User-Name = "puma" NAS-IP-Address = 192.168.1.1 NAS-Port = 0 Called-Station-Id = "00-25-9C-62-A1-EB:Linksys1" Calling-Station-Id = "00-1F-3A-97-36-5A" Framed-MTU = 1400 NAS-Port-Type = Wireless-802.11 Connect-Info = "CONNECT 0Mbps 802.11" EAP-Message = 0x020200630d0016030100580100005403014c2cf502e729682f664dcec86f46b6e5198d21ba9d6e546994fdd6e038c3083800002600390038003500160013000a00330032002f0005000400150012000900140011000800060003020100000400230000 State = 0x7ff284497ff08964587607c05a8f5d83 Message-Authenticator = 0x4ecfe394025a7ee24cbdf3c61c919036+- entering group authorize {...}[files] users: Matched entry puma at line 205++[files] returns ok++[mschap] returns noop[eap] EAP packet type response id 2 length 99[eap] No EAP Start, assuming it's an on-going EAP conversation++[eap] returns updatedFound Auth-Type = EAPFound Auth-Type = EAPWarning:  Found 2 auth-types on request for user 'puma'+- entering group authenticate {...}[eap] Request found, released from the list[eap] EAP/tls[eap] processing type tls[tls] Authenticate[tls] processing EAP-TLS[tls] eaptls_verify returned 7 [tls] Done initial handshake[tls]     (other): before/accept initialization [tls]     TLS_accept: before/accept initialization [tls] <<< TLS 1.0 Handshake [length 0058], ClientHello  [tls]     TLS_accept: SSLv3 read client hello A [tls] >>> TLS 1.0 Handshake [length 0030], ServerHello  [tls]     TLS_accept: SSLv3 write server hello A [tls] >>> TLS 1.0 Handshake [length 0506], Certificate  [tls]     TLS_accept: SSLv3 write certificate A [tls] >>> TLS 1.0 Handshake [length 018d], ServerKeyExchange  [tls]     TLS_accept: SSLv3 write key exchange A [tls] >>> TLS 1.0 Handshake [length 005e], CertificateRequest  [tls]     TLS_accept: SSLv3 write certificate request A [tls]     TLS_accept: SSLv3 flush data [tls]     TLS_accept: Need to read more data: SSLv3 read client certificate AIn SSL Handshake Phase In SSL Accept mode  [tls] eaptls_process returned 13 ++[eap] returns handledSending Access-Challenge of id 29 to 192.168.1.1 port 1434 EAP-Message = 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 EAP-Message = 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 EAP-Message = 0x0d0101050500038181002cc6a45d74352a43535d8eb36f49159ee8e876291c963e86f35f4aff6338a0020ce2f1cf3b6931f80bfa42b4320f109398bac38f6e2b7ebb47cfd268c4adb4a9db0d2ffb96e9588c41a446c81e705860f07b61a1c088bbbfe5780643be5bd50167d69c56b9d528cea655dad246f78a9181c9d3a6476cf2d684dbc3e47ee063680002c3308202bf30820228a003020102020900f548f0d15ea66b23300d06092a864886f70d0101050500304a310b3009060355040613025645310b3009060355040813024443310b30090603550407130243433121301f060355040a1318496e7465726e657420576964676974732050747920 EAP-Message = 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 EAP-Message = 0x3068e43f0fbb22079417e784 Message-Authenticator = 0x00000000000000000000000000000000 State = 0x7ff284497ef18964587607c05a8f5d83Finished request 7.Going to the next requestWaking up in 4.9 seconds.rad_recv: Access-Request packet from host 192.168.1.1 port 1434, id=30, length=163 User-Name = "puma" NAS-IP-Address = 192.168.1.1 NAS-Port = 0 Called-Station-Id = "00-25-9C-62-A1-EB:Linksys1" Calling-Station-Id = "00-1F-3A-97-36-5A" Framed-MTU = 1400 NAS-Port-Type = Wireless-802.11 Connect-Info = "CONNECT 0Mbps 802.11" EAP-Message = 0x020300060d00 State = 0x7ff284497ef18964587607c05a8f5d83 Message-Authenticator = 0xfa139c8b0302af3729f1c367e5eea97a+- entering group authorize {...}[files] users: Matched entry puma at line 205++[files] returns ok++[mschap] returns noop[eap] EAP packet type response id 3 length 6[eap] No EAP Start, assuming it's an on-going EAP conversation++[eap] returns updatedFound Auth-Type = EAPFound Auth-Type = EAPWarning:  Found 2 auth-types on request for user 'puma'+- entering group authenticate {...}[eap] Request found, released from the list[eap] EAP/tls[eap] processing type tls[tls] Authenticate[tls] processing EAP-TLS[tls] Received TLS ACK[tls] ACK handshake fragment handler[tls] eaptls_verify returned 1 [tls] eaptls_process returned 13 ++[eap] returns handledSending Access-Challenge of id 30 to 192.168.1.1 port 1434 EAP-Message = 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 EAP-Message = 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 EAP-Message = 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 EAP-Message = 0x004c304a310b3009060355040613025645310b3009060355040813024443310b30090603550407130243433121301f060355040a1318496e7465726e6574205769646769747320507479204c74640e000000 Message-Authenticator = 0x00000000000000000000000000000000 State = 0x7ff284497df68964587607c05a8f5d83Finished request 8.Going to the next requestWaking up in 4.9 seconds.Cleaning up request 6 ID 28 with timestamp +1708Cleaning up request 7 ID 29 with timestamp +1708Cleaning up request 8 ID 30 with timestamp +1708Ready to process requests.
 


»

buenos dias, yo por aqui

Submitted by gabriel-a-m-s on Thu, 05/20/2010 - 17:29.

buenos dias, yo por aqui nuevamente , no habia podido proseguir con este tutorial , ahora que lo retome segui con las pruebas , adquiri un ap wrt54g2 con el cual prosegui en la configuracion del freeradius, en estos momentos voy por el item en la configuracion de los clienetes en linux por lo que copie los archivos a un pendrive
cp /etc/freeradius/certs/pem/root.pem /media/usb/ cp /etc/freeradius/certs/p12/puma.p12 /media/usb/ luego hice un  iwlist wlan0 scan desde el mismo ordenador dodnde esta alojado el cliente y me aparecio lo siguiente
Cell 04 - Address: 00:23:69:A6:1A:B8 ESSID:"foo" Mode:Master Channel:11 Frequency:2.462 GHz (Channel 11) Quality=92/100  Signal level=-35 dBm  Noise level=-94 dBm Encryption key:on IE: IEEE 802.11i/WPA2 Version 1 Group Cipher : TKIP Pairwise Ciphers (2) : CCMP TKIP Authentication Suites (1) : 802.1x Preauthentication Supported Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 18 Mb/s 24 Mb/s; 36 Mb/s; 54 Mb/s; 6 Mb/s; 9 Mb/s 12 Mb/s; 48 Mb/s Extra:tsf=0000000f77ab72adluego creamos una carpeta donde almacenar los certificados necesarios para la conexión, y los copiamos del pendrive a ese directorio mkdir /home/user/certs/ cp /media/usb/puma.p12 /home/user/certs/ cp /media/usb/root.pem /home/user/certs/editamos un archivo llamado radius.confnano /etc/radius.confnetwork={ssid="foo"scan_ssid=1key_mgmt=WPA-EAPpairwise=CCMP TKIPgroup=CCMP TKIPeap=TLSidentity="puma"private_key="/home/user/certs/puma.p12"private_key_passwd="claveclient"}luego ejecute wpa_supplicant para conectarnos a la red:wpa_supplicant -Dwext -iwlan0 -c/etc/radius.confCTRL-EVENT-SCAN-RESULTS CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)CTRL-EVENT-SCAN-RESULTS Associated with 00:23:69:a6:1a:b8CTRL-EVENT-EAP-STARTED EAP authentication startedCTRL-EVENT-DISCONNECTED - Disconnect event - remove keysCTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Associated with 00:23:69:a6:1a:b8CTRL-EVENT-EAP-STARTED EAP authentication startedCTRL-EVENT-DISCONNECTED - Disconnect event - remove keysCTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)Authentication with 00:23:69:a6:1a:b8 timed out.CTRL-EVENT-SCAN-RESULTS Trying to associate with 00:23:69:a6:1a:b8 (SSID='foo' freq=2462 MHz)
lo cual no se que significa y tampoco se cual es el resultado correcto que deberia tener , por favor diganme que significa esto , y ademas seria muy bueno si pueden agregar
al post imagenes del resultado al aplicar este comando wpa_supplicant -Dwext -iwlan0 -c/etc/radius.conf , y cual deberia ser el resultado correcto al usar este comando , y de igual forma como se veria
el resultado del servidor freeradius -X al intentar autenticar tanto los usuarios en linux como en windows, y si pueden como seria la configuracion del cliente windows  en WINDOWS XP, que no le he podido
realizar todavia muchas gracias , por su atencionespero su pronta respuesta, muy agradecido como siempre. cualquier correccion o error que este cometiendo o paso que este obviando por favor escribirme a mi
correo o por aqui, muchas gracias.

»

Hola te respondo mejor aqui

Submitted by admin on Thu, 05/20/2010 - 20:09.

Hola te respondo mejor aqui para que si surgen dudas a demás usuarios les valga tambien, pues mira lo primero es ver

si tienes bien puesta la configuración del archivo radius.conf:

nano /etc/radius.conf

ctrl_interface=/var/run/wpa_supplicant
eapol_version=1
ap_scan=1

network={
ssid="nombre de tu red wifi"
scan_ssid=1
key_mgmt=WPA-EAP
pairwise=CCMP TKIP
group=CCMP TKIP
eap=TLS
identity="puma"

private_key="ruta donde hallas guardado el certificado puma.p12"
private_key_passwd="claveclient"
}

incluye al archivo radius.conf las lineas de color naranja, por si es eso, pero no creo.

Sobre todo mira lo de private_key porque yo en el articulo puse /home/puma/certs/ y claro esa es mi ruta porque mi

usuario en home es puma que es mi usuario común.

Al ejecutar la orden

wpa_supplicant -Dwext -iwlan0 -c/etc/radius.conf

. con todas las ordenes si todo va bien debe de poner CNTRL_EVENT_CONNECTED

A parte en el servidor radius decirte que al ternimar bien la ejecución de freeradius, cuando pongas

freeradius -x debe salir algo del estilo :

Listening on authentication address * port 1812
Listening on accounting address * port 1813

respecto a la configuración en XP será parecida a la de windows 7 siguiendo los mnismos criterios, pero supongo

que cambiará las ventanas o nombres, cuando acabe los examenes para mediados de junio intentaré incluir las capturas de

pantalla con xp

»

  por lo que me he fijado tu

Submitted by admin on Mon, 03/22/2010 - 23:21.

 

por lo que me he fijado tu versión de freeradius es la 2.04 y puede que cambie todo, puesto que en antiguas versiones las variables tenian hasta otro nombre, no es seguro que sea ese el problema, pero yo me aseguraría bajando la versión 2.1.8, para que no tengas que crear los certificados otra vez haces una copia de la carpeta certs en tu directorio /home, y luego un dpkg --purge freeradius, (o vas a synaptic y desistalas todo lo relacionado con freeradius), despues eliminas la carpeta freeradius (rm -r /etc/freeradius), una vez hecho esto sigues los pasos de el 1º modelo de instalación propuesto y despues copias en la carpeta certs los certificados de la copia qie has hecho antes, y por último te descargas los archivos de configuración que acabo de mejorar para dejarlos en /etc/freeradius

de todas formas parece ser que el error te lo da en la linea 804 de radiusd.conf he mirado mi archivo y corresponde a esta zona:

post-auth {
}
#
pre-proxy {
}
#
post-proxy {
}

->justo aqui, puede que las llaves no esten igual mira po si acaso

######################################################################
#
#       Policies that can be applied in multiple places are listed
#       globally.  That way, they can be defined once, and referred
#       to multiple times.
#
De todas maneras he vuelto a configurar el archivo eap.conf ya que en una nueva instalación me salto error en esta linea:

private_key_file = ${certdir}pem/servername.pem

parece ser que  debe ser así:

private_key_file = ${certdir}/pem/servername.pem

ya esta cambiado, tanto en el manual como en los conf descargables

Otro error que me dió en esta nueva instalación al ejecutar freeradius -X es este:

including configuration file /etc/freeradius/sites-enabled/inner-tunnel
main {
user = "freerad"
group = "freerad"
allow_core_dumps = no
}
including dictionary file /etc/freeradius/dictionary
Errors reading dictionary: dict_init: Couldn't open dictionary "/etc/freeradius/dictionary": No such file or directory

Lo solucione poniendo esto:

 

cp -r /usr/share/freeradius/dictionary* /etc/freeradius/

La verdad es que en distintos ordenadores siguiendo los mismos pasos en unos me ha dado unos errores y en otros no , pienso que freeradius es algo imprevisible en este aspecto, de todas maneras espero qe lleques a conseguir hacerlo funcionar

»

Muy buenos dias gracias por

Submitted by gabriel-a-m-s on Mon, 03/22/2010 - 16:37.

Muy buenos dias gracias por el aporte y la ayuda que me han brindado en la instalacion del servicio freeradius, segui todas sus indicaciones y gracias a ustedes pude resolover el problema con los certificados, ahora bien, se me presento un inconveniente al aplicar el comando freeradius -X, para verificar el funcionamiento del mismo a lo que, al introducir esta orden me sale el siguiente error gabriel:~# freeradius -XFreeRADIUS Version 2.0.4, for host i486-pc-linux-gnu, built on Sep  7 2008 at 23:35:34Copyright (C) 1999-2008 The FreeRADIUS server project and contributors. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. You may redistribute copies of FreeRADIUS under the terms of the GNU General Public License. Starting - reading configuration files ...including configuration file /etc/freeradius/radiusd.confincluding configuration file /etc/freeradius/proxy.confincluding configuration file /etc/freeradius/clients.confincluding files in directory /etc/freeradius/modules/including configuration file /etc/freeradius/eap.conf/etc/freeradius/radiusd.conf[804]: Too many closing bracesErrors reading /etc/freeradius/radiusd.conf
y para que pueda seguir con la correcta instalacion de este servicio no se que me falta o si he obviado algo, pero el archivo de configuracion radiusd.conf lo compare con el que ustedes ofrecen en esta pagina y son iguales al igual que el de users clients y eap.conf y no se si estoy obviando algo o tengo un error, por favor en lo que me puedan ayudar les estare agradecido , asi sea cualquier correccion o algo que me haga falta por favor aganmela saber a mi correo theblackmen@msn.com muchas gracias de antemano.

»

Vale es que hay un error la

Submitted by admin on Wed, 03/17/2010 - 23:10.

Vale es que hay un error la orden para crear el archivo dh no hay que hacerla desde el directorio /etc/freeradius/certs/pem, sino desde /etc/freeradius/certs/, entonces

nos situamos en el directorio correcto:

cd /etc/freeradius/certs/
openssl dhparam -out pem/dh 1024
»

buenos dias muchas gracias

Submitted by gabriel-a-m-s on Wed, 03/17/2010 - 17:57.

buenos dias muchas gracias nuevamente por sus consejos ya solvente el problema por el cual les habia escrito anteriormeente, comence a correr desde 0 los scripts cree el archivo llamado serial incluyendo el valor 01 dentro, y todo funciono correctamente, pero luego al seguir con las configuraciones al momento de aplicar lo siguiente : openssl dhparam -out certs/dh 1024 me genera el siguiente error:  certs/dh: No such file or directory, y ya cree el directorio dh/ e incluso hasta un archivo dh y no he podido solventar, disculpen nuevamente mi ignorancia, pero en lo que me puedan ayudar estare muy agradecido, cualquier ayuda sugerencia, error que este cometiendo u obviando algo, por favor haganmela saber a mi correo theblackmen@msn.com. muchas gracias nuevamente y disculpen las molestias.

»

Sique estos pasos haber que

Submitted by admin on Wed, 03/17/2010 - 16:08.

Sique estos pasos haber que tal:

desistalamos freeradius

dpkg --purge freeradius

eliminamos la carpeta

rm -r /etc/freeradius

volvemos a instalar:

apt-get install freeradius
cd /etc/freeradius/certs/
wget http://pumawifi.org/files/scripts.tar.gz
tar -xvzf scripts.tar.gz 
nano xpextensions

introducimmos:

[ xpclient_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2

[ xpserver_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1

Damos permisos de ejecución:

chmod 777 *     
sh CA.root.sh rootpass

te pongo la pantalla:

Generating a 1024 bit RSA private key                   
.............................++++++                     
....++++++                                              
writing new private key to 'pem/newreq.pem'             
-----                                                   
You are about to be asked to enter information that will be incorporated
into your certificate request.                                          
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank                  
For some fields there will be a default value,                             
If you enter '.', the field will be left blank.                            
-----                                                                      
Country Name (2 letter code) [AU]:es                                       
State or Province Name (full name) [Some-State]:cm                         
Locality Name (eg, city) []:gu                                             
Organization Name (eg, company) [Internet Widgits Pty Ltd]:                
Organizational Unit Name (eg, section) []:                                 
Common Name (eg, YOUR name) []:                                            
Email Address []:                                                          
MAC verified OK                   

Ya tenemos el Ca root ahora hacemos un ls -a para ver los archivios que hay en la carpeta certs

ls -a

CA.client.sh  CA.root.sh  CA.server.sh  demoCA der  p12  pass  pem  scripts.tar.gz  xpextensions

creamos el archivo serial en demoCA

nano demoCA/serial

01

Damos de nuevo permisos:

chmod -R 777 demoCA/*
chmod -R 777 demoCA

 

sh CA.server.sh radserver serverpass rootpass


ahora te pongo la pantalla de la ejecución:

Generating a 1024 bit RSA private key                                          
......++++++                                                                   
......++++++                                                                   
writing new private key to 'pem/newreq.pem'                                    
-----                                                                          
You are about to be asked to enter information that will be incorporated       
into your certificate request.                                                 
What you are about to enter is what is called a Distinguished Name or a DN.    
There are quite a few fields but you can leave some blank                      
For some fields there will be a default value,                                 
If you enter '.', the field will be left blank.                                
-----                                                                          
Country Name (2 letter code) [AU]:es                                           
State or Province Name (full name) [Some-State]:cm                             
Locality Name (eg, city) []:gu                                                 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:                    
Organizational Unit Name (eg, section) []:                                     
Common Name (eg, YOUR name) []:debianQuad                                      
Email Address []:                                                              

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /usr/lib/ssl/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 1 (0x1)
Validity
Not Before: Mar 17 14:32:29 2010 GMT
Not After : Mar 17 14:32:29 2011 GMT
Subject:
countryName               = es
stateOrProvinceName       = cm
localityName              = gu
organizationName          = Internet Widgits Pty Ltd
commonName                = debianQuad
X509v3 extensions:
X509v3 Extended Key Usage:
TLS Web Server Authentication
Certificate is to be certified until Mar 17 14:32:29 2011 GMT (365 days)
Sign the certificate? [y/n]:Y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
MAC verified OK

Asi me ha funcionado en dos ordenadores totalmente diferentes, si no te funciona bien puede ser la versión de  debian que tengas, con  lo cual te reomiendo

actualizar los paquetes, te pongo mis sources:

nano /etc/apt/sources.list

deb ftp://ftp.berlios.de/pub/fbsplash/debian/splashutils sid contrib
deb http://ftp.br.debian.org/debian/ squeeze main contrib non-free
deb-src http://ftp.br.debian.org/debian/ squeeze main contrib non-free
deb http://ftp.de.debian.org/debian/ testing main
deb-src http://ftp.de.debian.org/debian/ testing main
#deb http://volatile.debian.org/debian-volatile squeeze /volatile main contrib
#deb-src http://volatile.debian.org/debian-volatile squeeze /volatile main contrib
deb http://security.debian.org/ squeeze/updates contrib non-free main
deb-src http://security.debian.org/ squeeze/updates contrib non-free main
deb http://ftp.br.debian.org/debian/ squeeze-proposed-updates contrib non-free main
deb-src http://ftp.br.debian.org/debian/ squeeze-proposed-updates contrib non-free main
deb http://download.tuxfamily.org/shames/debian-lenny/desktopfx/unstable/ ./
# ESTOS SON LOS QUE AGREGUE
# REPOSITORIOS MULTIMEDIA
deb http://ftp.br.debian.org/debian-multimedia testing main
deb http://xbmc.org/forum/showthread.php?t=33327 testing main
deb-src http://ftp.br.debian.org/debian-multimedia testing main

apt-get update
apt-get dist-upgrade
»

buenos dias, muchas gracias

Submitted by gabriel-a-m-s on Tue, 03/16/2010 - 15:12.

buenos dias, muchas gracias por sus sugerencias, realice nuevamente la creacion del certificado CA.root.sh borrando los archivos creados anteriormente para solventar cualquier irregularidad,
y hasta ese punto todo bien, luego continue corriendo el script CA.server.sh gavan passcert pruebacert, e introduje los datos como me los pide colando en el common name el uname -n del servidor
posteriormente deje las dos ultimas casillas en blanco como me recomendaron aqui, y anteriormente a la creacion de este certificado cree dentro de demoCA un archivo de nombre serial con el valor 01 dentro de dicho archivo, pero me sale el siguiente error:
Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:Using configuration from /usr/lib/ssl/openssl.cnfError opening CA private key .//cakey.pem7896:error:02001002:system library:fopen:No such file or directory:bss_file.c:352:fopen('.//cakey.pem','r')7896:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:354:unable to load CA private keyError opening input file pem/newcert.pempem/newcert.pem: No such file or directoryError opening input file p12/gavan.p12p12/gavan.p12: No such file or directoryError opening Certificate pem/gavan.pem7899:error:02001002:system library:fopen:No such file or directory:bss_file.c:352:fopen('pem/gavan.pem','r')7899:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:354:unable to load certificate
cualquier otra cosa que este obviando o necesite corregir nuevamente por favor haganmela saber.. muchas gracias.
 

»

Posible solución: Vale lo 1º

Submitted by admin on Tue, 03/16/2010 - 02:34.

Posible solución:

Vale lo 1º el nombre del archivo para la compatibilidad de xp  no es xpextension, sino xpextensions, (ya lo he cambiado en el artículo) eso puede haber dado lugar al problema, de todas maneras

a la hora de crear el certificado del servidor cuando te muestre :

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

estos dos campos dejalos en blanco.

Si persiste el problema, cosa que en otro ordenador me pasó, me daba este problema:

error while loading serial number
3926:error:02001002:system library:fopen:No such file or directory:bss_file.c:356:fopen('./demoCA/serial','r')
3926:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:358:
No certificate matches private key
3928:error:0D07207B:asn1 encoding routines:ASN1_get_object:header too long:asn1_lib.c:150:
unable to load certificate
3929:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:650:Expecting: TRUSTED CERTIFICATE

Lo que debes hacer  es crear dento de la carpeta /etc/freeradius/certs/demoCA, un archivo llamado serial y dentro pones 01:

nano /etc/freeradius/certs/demoCA/serial

01

»

buenas tardes,soy novato en

Submitted by gabriel-a-m-s on Mon, 03/15/2010 - 23:06.

buenas tardes,soy novato en la implementacion de este tipo de protocolos,  les escribo con el objeto de que me ayuden a solucionar un problema que tengo a raiz de la instalacion del freeradius-server-2.1.8 en debian lenny
especificamente en la creacion de los certificados en particular el CA.server.sh que me genera el siguiente error:
Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:Using configuration from /usr/lib/ssl/openssl.cnfunable to load CA private key7567:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt:evp_enc.c:461:7567:error:0906A065:PEM routines:PEM_do_header:bad decrypt:pem_lib.c:425:Error opening input file pem/newcert.pempem/newcert.pem: No such file or directory7569:error:0D07207B:asn1 encoding routines:ASN1_get_object:header too long:asn1_lib.c:150:unable to load certificate7570:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:647:Expecting: TRUSTED CERTIFICATEgavan:/etc/freeradius/certs#
he seguido todos y cada uno de los pasos que mencionan en el manual para la instalacion del
Servidor Radius :WPA Enterprise + EAP-TLS (802.11x)
y en estos momentos me encuentro con estos errores, cualquier ayuda o correcion  que pueda realziar por favor haganmela saber a mi correo theblackmen@msn.com
gracias de antemano..

»

good!

Submitted by prueba on Mon, 03/08/2010 - 00:27.

good!

»

Comment viewing options

Select your preferred way to display the comments and click "Save settings" to activate your changes.