Intégration bornes wifi



  • Hello,

    Je viens vers vous car je bloque sur la configuration de pfSense. Voici mon problème.
    Je suis stagiaire dans une entreprise, et il a été décidé lors de la modernisation du SI, de migrer de Zentyal vers pfSense.
    le système tourne impeccablement bien pour les machines filaires, la ou j'ai un peu de plus de mal c'est pour l’intégration des bornes wifi.
    Voici quelques infos qui seront certainement utiles :
    pfSense version 2.2 (installé sur une machine physique)
    Ip : 10.10.10.1 avec 3 interfaces
    Wan ( liaison Opt1 "encapsulée")
    Lan (10.10.10.0/24)
    Opt1 (liaison PPPOE, adresse ip publique)
    Le modèle de la borne Wifi est TL-WA901ND

    Voici comment j'ai procédé (grosso-modo), avec quelques copies d'écrans peut-être un peu plus parlantes que mes explications.
    1 Intégration de la borne wifi dans Freeradius (FreeRADIUS > NAS/Clients) CF screen5
    2 Définition de l'@ du serveur FreeRADIUS (FreeRADIUS > Interfaces)  CF screen 1
    3 Configuration de la borne Wifi : adresse + masque + passerelle CF screen 2
    4 configuration du WPA2 sur la borne Wifi CF screen 3
    5 Règle dans le pare-feu envoyant les connections sur la borne vers le serveur Radius. CF screen4

    Les certificats ont été créés dans pfSense (CA + certifs) ainsi que les users.
    Lorsque je veux me connecter depuis mon smartphone je vois bien la borne, mais impossible de m'y connecter.
    Avez vous des remarques?
    J'espère avoir été clair et ne pas avoir oublié d'informations,
    En vous remerciant pour votre aide,
    Pwet-pwet.












  • Avant d'aller plus loin deux choses :

    Wan ( liaison Opt1 "encapsulée")

    Je ne comprend pas.

    Opt1 (liaison PPPOE, adresse ip publique)

    Pourquoi ne pas utiliser Wan pour cela

    Et enfin quelle justification à cette pratique qui consiste à utilise un réseau de classe A  avec un subnet /24 (10.10.10.0/24) ?



  • Bonjour et merci de votre aide,
    D'après ce que j'ai compris, la liaison que nous utilisons ici est une connexion PPPOE (du fait de l'opérateur télécom), d’où une configuration un peu différente sous pfSense. (une sorte d'interface virtuelle)

    Pour votre seconde interrogation, comme je vous disais avant, la configuration des interfaces est un peu différente dû à l'opérateur, mais le résultat reste le même. la navigation sur le net fonctionne.

    Pour finir, le masque en /24 qui était déjà utilisé sous l'ancien système, je pense que c'est tout simplement car nous n'avons pas besoin de beaucoup d'adresses (une centaine au total).



  • Pour finir, le masque en /24 qui était déjà utilisé sous l'ancien système, je pense que c'est tout simplement car nous n'avons pas besoin de beaucoup d'adresses (une centaine au total).

    Dans ce cas on utilise un réseau de classe C, 192.168.x.0/24. Bref. Si l'accès internet fonctionne on va supposer que la configuration est bonne. On résume : vous utilisez 3 interface sur Pfsense : Lan , Wan, Opt1. D'après votre premier message l' adressage serait le suivant :
    Opt1 : ip publique
    Lan : ??
    Wan : 10.10.10.0/24 quelle ip sur Wan ?
    Pouvez vous clarifier ces points (interface , réseau, adresse ip ?
    Que donne la lecture des logs (c'est quand même une des premières choses à vérifier !)?



  • il serait interessant que vous nous envoyiez le resultat de la commande radiusd -X
    en même temps que vous faites une tentative d'accès au réseau par le suppliquant (la borne)

    => la réponse au refus d'accèss s'y trouve



  • Encore une fois, merci de votre aide.

    Pour vous répondre ccnet, ce n'est pas tout a fait ça.
    Interface Lan = 10.10.10.0/24
    Interface Wan = OPT1
    Interface OPT1 = connection PPPOE (identifiants provider, une fois connecté nous assure la liaison vers le wan) et donc, oui, ip publique
    Mais comme vous le dites, la conf est bonne, car la navigation sur le web fonctionne.

    Enfin Florian22, voici la dernière partie des logs, la ou ça coince. Je fais quelques recherches et vous tiens au courant de la suite.

    radiusd: #### Opening IP addresses and Ports ####
    listen {
    type = "auth"
    ipaddr = 10.10.10.1
    port = 1812
    Failed binding to authentication address 10.10.10.1 port 1812: Address already in use
    /usr/local/etc/raddb/radiusd.conf[36]: Error binding to port for 10.10.10.1 port 1812



  • Bonjour,
    Toujours bloqué sur le même point.
    Test supplémentaire, radtest dont voici le résultat en PJ, mon serveur radius semble tourner.
    Par ailleurs j'ai refais mes certificats, ils sont ok.
    EDIT : en PJ les fichiers de conf (qui me semblent correct…)
    Malgré plusieurs tests, toujours impossible de se connecter





    radius.conf.txt
    eap.conf.txt
    clients.conf.txt
    users.txt



  • Failed binding to authentication address 10.10.10.1 port 1812: Address already in use
    /usr/local/etc/raddb/radiusd.conf[36]: Error binding to port for 10.10.10.1 port 1812

    ==>  eteint radius avant de lancer la commande
    ensuite regarde le debugging en faisant une auth

    cette commande te permet de lancer radius en mode verbeux
    or le tiens est manifestement deja lancé

    ne le lance pas deux fois sur les memes ports  (voila le message)



  • @pwet-pwet:

    Bonjour,
    Toujours bloqué sur le même point.
    Test supplémentaire, radtest dont voici le résultat en PJ, mon serveur radius semble tourner.
    Par ailleurs j'ai refais mes certificats, ils sont ok.
    EDIT : en PJ les fichiers de conf (qui me semblent correct…)
    Malgré plusieurs tests, toujours impossible de se connecter

    on s en fiche de ton radtest local…

    fais moi une auth externe (auth de prod)  avec ton radius en mode verbeux

    la reponse est dedans!



  • Bonjour,
    Effectivement, j'ai zappé de vous avertir, mais j'avais vu sur le net qu'il fallait bien stopper le service radius et le relancer en mode débug.
    Nouvelle avancé : Lorsque je lance le radius en mode debug et que j'essaye de m'authentifier, aucun log, l’authentification ne passe pas.
    J'ai essayé d'enlever la sécurité sur la borne, et la j'arrive à me connecter.
    Il y a donc un problème sur la config EAP. J'avance petit à petit, mais j'avance :)
    Merci pour vos renseignements.



  • si le log ne bouge pas d'un yota avec une ou plusieurs requêtes, il faut alors se poser la question du transport

    cela signifie que la requete ne parvient pas a radius, elle n'est ni traitée,  ni refusée, ni ignorée,    => elle n'existe pas.

    pouvez vous nous schematiser le parcours AP  -> RADIUS?



  • Bonjour,

    Réponse un peu tardive, mais le problème est résolu…
    Un peu noob sur les bords, j'avais oublié de bouger l'AP de port sur le switch
    (il était toujours connecté avec Zentyal...)
    Merci pour vos coups de main.
    pwet-pwet.


Log in to reply