802.1x EAP-MD5!

basterik

а авторизоваться для каких целей, для организации vpn, дак на пфсенсе есть куча средств для организации впн? точно знаю что еап есть в ipsec

panika

Нет, мне надо не организовать авторизацию, а авторизоваться от провайдера на WAN интерфейсе по протоколу 802.1x EAP-MD5. Не многие железки это умеют по умолчанию, даже тот же dlink dir-320 умеет это только после перепрошивки. Ну и еще ряд маршрутников умеют это делать на WAN'е. А так еще как варианты это платформа windows (odyssey access client), линукс (wpa supplicant) и т.п. Хотелось бы по возможности сделать это либо на monowall или Pfsense.

Virtul

windows умеет юзать 802.1x по умолчанию, иногда нужно службу включить
а в pfsense ничего такого не встречал, только если допиливать ручками из консоли, а вообще крайне странный провайдер =) легче его сменить

panika

Да в том то и дело что не на кого менять….. и наибольшая скорость у этого провайдера, и выделенный ip они не дают физ. лицам (система такая).... Так что тут остаётся только выкручиваться. Имя тому провайдеру "Мультинекс". А вот про допиливать ручками и хотелось бы услышать. потому что подругому я понял что никак.

DasTieRR

@panika:

Да в том то и дело что не на кого менять….. и наибольшая скорость у этого провайдера, и выделенный ip они не дают физ. лицам (система такая).... Так что тут остаётся только выкручиваться. Имя тому провайдеру "Мультинекс". А вот про допиливать ручками и хотелось бы услышать. потому что подругому я понял что никак.

А что указано в разделе "Lifetime"?

panika

@DasTieRR:

А что указано в разделе "Lifetime"?

Я так понял речь идет о продолжительности соединения? Если да то "сессия не должна превышать 24 часов" (сказано в договоре), но по факту сессия держится далеко не 24 часа, т.е. функция авторизации должна автоматом посылать логин пароль к провайдеру…

DasTieRR

@panika:

@DasTieRR:

А что указано в разделе "Lifetime"?

Я так понял речь идет о продолжительности соединения? Если да то "сессия не должна превышать 24 часов" (сказано в договоре), но по факту сессия держится далеко не 24 часа, т.е. функция авторизации должна автоматом посылать логин пароль к провайдеру…

Хм, это я не в ту тему написал :) прошу прощения, это я про вопрос с ipsec хотел написать :)

AsusMan99

@panika:

Доброго времени суток. Подскажите пожалуйста! Можно ли каким нибудь образом авторизоваться средствами пфсенс на wan'е по протоколу 802.1x EAP-MD5?

в pfsense 2.0Rc1 все просто, что-то типа такого:

5.  В WinSCP заходим в папку /etc/ и создаем  файл конфигурации суппликанта wpa_supplicant.conf

wpa_supplicant  for  MKS

ap_scan=0
network={
        key_mgmt=IEEE8021X
        eap=MD5
        identity="ваш логин"  
        password="ваш пароль"
        eapol_flags=0
}

сохраняем

6. Заходим в папку /usr/local/etc/rc.d/ создаем скрипт автоматического запуска суппликанта wpa_sup.sh

#!/bin/sh

ifconfig em1 down
ifconfig em1  up
sleep 1
echo "Start Wpa_supplicant …"
wpa_supplicant -B -Dwired -iem1 -c/etc/wpa_supplicant.conf -d
sleep 4
echo "Done wpa_supplicant."
dhclient em1

где eml - интерфейс вашей сетевой карточки WAN (сетевая карта к которой подключен кабель от МКС)

сохраняем, делаем скрипт исполняемым, можно из WinSCP (rwxr-xr-x)
или из Shell командной строки: chmod +x /usr/local/etc/rc.d/wpa_sup.sh

7.  Подключаем кабель от провайдера в сетевую карточку,  которую назначили как WAN.
Перегружаем pfSense

Скрипт wpa_sup.sh должен выполниться автоматом после перезагрузки

если все хорошо, то ключ отладки -d убираем

или можно конфиг создавать прямо в скрипте, типа так:

#! /bin/sh
ifconfig em0 down
ifconfig em0 up

echo "Start Wpa_supplicant …"

создание конфигурации

cat > /tmp/wpa_supplicant.conf << EOF
ap_scan=0
network={
key_mgmt=IEEE8021X
eap=MD5
identity="user"
password="passwd"
eapol_flags=0
}
EOF

Запуск суппликанта

wpa_supplicant -B -c/tmp/wpa_supplicant.conf -iem0 -Dwired >& /var/log/wpa.log
sleep 4
echo "Done."
dhclient em0

–------

у себя я строки

ifconfig em0 down
ifconfig em0 up

закоментарил....

panika

Вопрос такого плана. При подключении через WinSCP такого рода ошибка (Received too large (170535466 B) SFTP packet. Max supported packet size is) как лечить???

p.s. за ответ спасибо AsusMan99!!! Если все у меня заработает, отблагодарю;)

panika

Предыдущий вопрос отпадает, решил таким образом-установил file manager в pfsense. Залил файлы, прописал команду из shell, но результата не дало. Во-первых: при загрузке pf, процесс останавливается на Configuring WAN interface… висит минуты полторы и далее загрузка завершается успешно, но ip от провайдера так и не получается... Куда дальше посмотреть, кто подскажет?? Заранее спасибо!

panika

Тему закрываю… Разобрался с помощью знакомого, в ошибке скрипта, вот его верный контекст:
#--------
#! /bin/sh
ifconfig rl0 down
ifconfig rl0 up

cat > /tmp/wpa_supplicant.conf << EOF
ap_scan=0
network={
key_mgmt=IEEE8021X
eap=MD5
identity="login"
password="passw"
eapol_flags=0
}
EOF
wpa_supplicant -B -c /tmp/wpa_supplicant.conf -i rl0 -D wired >> /var/log/wpa.log
sleep 8

dhclient rl0
#------------
Расположение скрипта:/usr/local/etc/rc.d/
Залил скрипт с помощью файл менеджера пакетного.

Были лишние пробелы и неправильная орфография, скорее всего из за копипаста... На будущее если кому надо будет, в 1.2.3 стабильной версии тоже есть wpa_supplicant только 0.5.х версии и там тоже можно организовать авторизацию на wan'е по MD5.