802.1x EAP-MD5!



  • Доброго времени суток. Подскажите пожалуйста! Можно ли каким нибудь образом авторизоваться средствами пфсенс на wan'е по протоколу 802.1x EAP-MD5?



  • Ребят, пожалуйста по возможности хотя бы скажите, можно или нельзя?? Кто сталкивался может быть с такого вида авторизацией от провайдера??? Потому что у меня для авторизации сейчас крутится dlink dir-320 и я не очень доверяю этой железке, поэтому хотелось бы перенести авторизацию либо на другую железку либо на pf…



  • а авторизоваться для каких целей, для организации vpn, дак на пфсенсе есть куча средств для организации впн? точно знаю что еап есть в ipsec



  • Нет, мне надо не организовать авторизацию, а авторизоваться от провайдера на WAN интерфейсе по протоколу 802.1x EAP-MD5. Не многие железки это умеют по умолчанию, даже тот же dlink dir-320 умеет это только после перепрошивки. Ну и еще ряд маршрутников умеют это делать на WAN'е. А так еще как варианты это платформа windows (odyssey access client), линукс (wpa supplicant) и т.п. Хотелось бы по возможности сделать это либо на monowall или Pfsense.



  • windows умеет юзать 802.1x по умолчанию, иногда нужно службу включить
    а в pfsense ничего такого не встречал, только если допиливать ручками из консоли, а вообще крайне странный провайдер =) легче его сменить



  • Да в том то и дело что не на кого менять….. и наибольшая скорость у этого провайдера, и выделенный ip они не дают физ. лицам (система такая).... Так что тут остаётся только выкручиваться. Имя тому провайдеру "Мультинекс". А вот про допиливать ручками и хотелось бы услышать. потому что подругому я понял что никак.



  • @panika:

    Да в том то и дело что не на кого менять….. и наибольшая скорость у этого провайдера, и выделенный ip они не дают физ. лицам (система такая).... Так что тут остаётся только выкручиваться. Имя тому провайдеру "Мультинекс". А вот про допиливать ручками и хотелось бы услышать. потому что подругому я понял что никак.

    А что указано в разделе "Lifetime"?



  • @DasTieRR:

    А что указано в разделе "Lifetime"?

    Я так понял речь идет о продолжительности соединения? Если да то "сессия не должна превышать 24 часов" (сказано в договоре), но по факту сессия держится далеко не 24 часа, т.е. функция авторизации должна автоматом посылать логин пароль к провайдеру…



  • @panika:

    @DasTieRR:

    А что указано в разделе "Lifetime"?

    Я так понял речь идет о продолжительности соединения? Если да то "сессия не должна превышать 24 часов" (сказано в договоре), но по факту сессия держится далеко не 24 часа, т.е. функция авторизации должна автоматом посылать логин пароль к провайдеру…

    Хм, это я не в ту тему написал :) прошу прощения, это я про вопрос с ipsec хотел написать :)



  • @panika:

    Доброго времени суток. Подскажите пожалуйста! Можно ли каким нибудь образом авторизоваться средствами пфсенс на wan'е по протоколу 802.1x EAP-MD5?

    в pfsense 2.0Rc1 все просто, что-то типа такого:

    5.  В WinSCP заходим в папку /etc/ и создаем  файл конфигурации суппликанта wpa_supplicant.conf

    wpa_supplicant  for  MKS

    ap_scan=0
    network={
            key_mgmt=IEEE8021X
            eap=MD5
            identity="ваш логин"  
            password="ваш пароль"
            eapol_flags=0
    }

    сохраняем

    6. Заходим в папку /usr/local/etc/rc.d/ создаем скрипт автоматического запуска суппликанта wpa_sup.sh

    #!/bin/sh

    ifconfig em1 down
    ifconfig em1  up
    sleep 1
    echo "Start Wpa_supplicant …"
    wpa_supplicant -B -Dwired -iem1 -c/etc/wpa_supplicant.conf -d
    sleep 4
    echo "Done wpa_supplicant."
    dhclient em1

    где eml - интерфейс вашей сетевой карточки WAN (сетевая карта к которой подключен кабель от МКС)

    сохраняем, делаем скрипт исполняемым, можно из WinSCP (rwxr-xr-x)
    или из Shell командной строки: chmod +x /usr/local/etc/rc.d/wpa_sup.sh

    7.  Подключаем кабель от провайдера в сетевую карточку,  которую назначили как WAN.
    Перегружаем pfSense

    Скрипт wpa_sup.sh должен выполниться автоматом после перезагрузки

    если все хорошо, то ключ отладки -d убираем

    или можно конфиг создавать прямо в скрипте, типа так:

    #! /bin/sh
    ifconfig em0 down
    ifconfig em0 up

    echo "Start Wpa_supplicant …"

    создание конфигурации

    cat > /tmp/wpa_supplicant.conf << EOF
    ap_scan=0
    network={
    key_mgmt=IEEE8021X
    eap=MD5
    identity="user"
    password="passwd"
    eapol_flags=0
    }
    EOF

    Запуск суппликанта

    wpa_supplicant -B -c/tmp/wpa_supplicant.conf -iem0 -Dwired >& /var/log/wpa.log
    sleep 4
    echo "Done."
    dhclient em0

    –------

    у себя я строки

    ifconfig em0 down
    ifconfig em0 up

    закоментарил....



  • Вопрос такого плана. При подключении через WinSCP такого рода ошибка (Received too large (170535466 B) SFTP packet. Max supported packet size is) как лечить???

    p.s. за ответ спасибо AsusMan99!!! Если все у меня заработает, отблагодарю;)



  • Предыдущий вопрос отпадает, решил таким образом-установил file manager в pfsense. Залил файлы, прописал команду из shell, но результата не дало. Во-первых: при загрузке pf, процесс останавливается на Configuring WAN interface… висит минуты полторы и далее загрузка завершается успешно, но ip от провайдера так и не получается... Куда дальше посмотреть, кто подскажет?? Заранее спасибо!



  • Тему закрываю… Разобрался с помощью знакомого, в ошибке скрипта, вот его верный контекст:
    #--------
    #! /bin/sh
    ifconfig rl0 down
    ifconfig rl0 up

    cat > /tmp/wpa_supplicant.conf << EOF
    ap_scan=0
    network={
    key_mgmt=IEEE8021X
    eap=MD5
    identity="login"
    password="passw"
    eapol_flags=0
    }
    EOF
    wpa_supplicant -B -c /tmp/wpa_supplicant.conf -i rl0 -D wired >> /var/log/wpa.log
    sleep 8

    dhclient rl0
    #------------
    Расположение скрипта:/usr/local/etc/rc.d/
    Залил скрипт с помощью файл менеджера пакетного.

    Были лишние пробелы и неправильная орфография, скорее всего из за копипаста... На будущее если кому надо будет, в 1.2.3 стабильной версии тоже есть wpa_supplicant только 0.5.х версии и там тоже можно организовать авторизацию на wan'е по MD5.


Log in to reply