DI-624+ Radius Accounting Informationen vorhanden?

[james007]

Betreffende D-Link Geräte: DI-624+ FW:2.07
Betreffender WLAN-Client Adapter: DWL-650+ (TXC100 Chip) Treiber: 4.15.5.1
Welche WLAN-Verschlüsselung ist aktiviert?: WPA
--------------------------------------------------------------------------------------------------------------------
Betriebssystem & ServicePack: XP Sp1
I-Net Browser:
--------------------------------------------------------------------------------------------------------------------
Provider & Zugangsart:
MTU-Wert im Router:
MRU-Wert im Modem/Modem-Router:
VPI-Wert im Modem/Modem-Router:
VCI-Wert im Modem/Modem-Router:
--------------------------------------------------------------------------------------------------------------------
Ist eine Software-Firewall vorhanden (auch wenn deaktiviert)?: Nein, weder installiert noch deaktiviert
Software-Firewall:
--------------------------------------------------------------------------------------------------------------------
Ist Filesharing im Einsatz?: Nein
Filesharing-Programm u. Vers.:
--------------------------------------------------------------------------------------------------------------------
Wie bezeichnest Du Deinen LAN/WLAN Wissensstand?: Profi (= ich bin trainierter Fachinformatiker bzw. ich lehre an der Uni IT)
--------------------------------------------------------------------------------------------------------------------
Was hast Du gemacht und/oder installiert, bevor das Problem aufgetreten ist?:


Was hast Du bereits versucht, um das Problem zu lösen?:

--------------------------------------------------------------------------------------------------------------------

Und hier nun meine detailierte Fehlerbeschreibung und Nachricht:
Hallo zusammen,

ich beschäftige mich derzeit mit dem FreeRadius Server und
habe den DI-624+ dort auch erfolgreich am laufen.

Meine Frage ist nun kann der 624+ als NAS irgendwelche Radius-Accounting Informationen an einen Freeradius Server senden?

Soweit ich das Log mal durchforstet habe schickt er keinerlei
Accounting Start/Stop Attribute bzw. überhaubt keine
Accounting Attribute.

Hier mal einen Auszug:


rad_recv: Access-Request packet from host 192.168.1.254:1812, id=36, length=179
User-Name = "test"
Framed-MTU = 1400
NAS-Port-Type = Wireless-802.11
NAS-Port = 0
NAS-Identifier = "default\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000"
Calling-Station-Id = "00-03-2f-22-2a-3b"
EAP-Message = 0x020900261900170301001ba2fcbc581d0cc5d97373979f35acd9f52a80d6e909087e01d54b3d
State = 0x7d1d8ba693a94fd4c7173e95f94b03c1
NAS-IP-Address = 192.168.1.254
Message-Authenticator = 0x532a935fc5f95c4c10a4d48503bd8eb1


Weis da jemand genaueres?

[Empfehlungen]

[Gairigo]

@james007

Stelle mal einen ScreenShot (JPG 640x480) Deiner Setttings hier rein!

[james007]

Hier die gewünschte Konfigseite

[Gairigo]

Ich habe mir die Infos zu "Freeradius-Server" sowie Deinen Scr-Shot mal genauer angesehen.

Ergebnis aus meiner Sicht:

Es wird nicht funktionieren und zwar aus dem Grund der Verschlüsselung. In diesem Fall scheinbar der dynamischen Verschlüsselung.

[james007]

Gairigo hat folgendes geschrieben:
Ich habe mir die Infos zu "Freeradius-Server" sowie Deinen Scr-Shot mal genauer angesehen.

Ergebnis aus meiner Sicht:

Es wird nicht funktionieren und zwar aus dem Grund der Verschlüsselung. In diesem Fall scheinbar der dynamischen Verschlüsselung.


@Gairigo

Hmm, ich habe auch schon zig Seiten durchforstet in Bezug auf
WLAN, Radius und Accounting.

Sowie ich das herrausgelesen habe, ist das eine Frage des NAS ob er das Unterstuetzt.
Weiterhin läuft auf Port 1812 (ex. 1645) die Authentifizierung und
auf 1813 (ex.1646) das eigentliche Accounting (M$ sagt dazu Buchhaltung :wink: ).

Hier mal ein Auszug:

RADIUS uses UDP as its underlying protocol. The registered UDP port for RADIUS traffic is 1812;
the early deployment of RADIUS used UDP port 1645, which conflicted with the "datametrics" service.

When RADIUS is used for accounting rather than authentication and configuration, the registered UDP port is 1813;
the early deployment used port 1646, which conflicted with the "sa-msg-port" service

--Auszug end ---

Ich habe bisher nichts davon gelesen das die Verschlüsselung ein Grund dafür sein könnte.
Sollte ich das was essenzielles überlesen haben ?

Ich tippe mal mehr darauf, dass es einfach nicht implementiert ist.
Vielleicht bei den gröseren Modellen.

Nebenbei hab ich auch noch so ein merkwürziges Problem mit den Treibern der DWL-650+.
Man kann sich nur ein paar mal via EAP(PEAP) verbinden und danach ist sense.
Erst wenn ich die Treiber neu installiere bekomme ich wieder eine Verbindung (Aufforderung zur Eingabe des Benutzernames/Passwortes)

Hier mal ein Link wo das Problem beschrieben ist:

http://www.dlink-forum.ch/viewtopic.php?t=1278

Aber ich glaube dafür sollte man einen neuen Thread öffnen oder ?

[Gairigo]

@james007

Bitte bei uns kein Querbeet betreiben!

In diesem Thread geht es wie von Dir beschrieben um:

"DI-624+ Radius Accounting Informationen vorhanden?"


Und NICHT um dieses:

james007 hat folgendes geschrieben: Nebenbei hab ich auch noch so ein merkwürziges Problem mit den Treibern der DWL-650+.

Bei uns gilt aus bereichigtem Grund:

eine Frage/ein Problem = ein Thread und KEIN Eintopf!

Gerade von einem wie Du Dich bezeichnest.:

james007 hat folgendes geschrieben: Profi (= ich bin trainierter Fachinformatiker bzw. ich lehre an der Uni IT)

sollte so etwas, sorry, aber vorauszusetzen sein!

[Empfehlungen]

[james007]

Gairigo hat folgendes geschrieben:
@james007

Bitte bei uns kein Querbeet betreiben!

In diesem Thread geht es wie von Dir beschrieben um:

"DI-624+ Radius Accounting Informationen vorhanden?"


Und NICHT um dieses:

james007 hat folgendes geschrieben: Nebenbei hab ich auch noch so ein merkwürziges Problem mit den Treibern der DWL-650+.

Bei uns gilt aus bereichigtem Grund:

eine Frage/ein Problem = ein Thread und KEIN Eintopf!

Gerade von einem wie Du Dich bezeichnest.:

james007 hat folgendes geschrieben: Profi (= ich bin trainierter Fachinformatiker bzw. ich lehre an der Uni IT)

sollte so etwas, sorry, aber vorauszusetzen sein!


@Gairigo

Ist ja in Ordnung. Ein "Bitte bei uns kein Querbeet betreiben!"
Hätte wirklich vollkommen genügt.

Ich finde allerdings schon komisch das du immer "Gerade von einem wie Du Dich bezeichnest.:" so hervorhebst.

Regeln sind da um beachtet zu werden das weis ich.
Man kann einen allerdings auch diplomatischer darauf hinweisen. :wink:

Meinst du wir können uns darauf einigen?

Also sri für den kleinen patzer. :oops:

[Gairigo]

james007 hat folgendes geschrieben:
@Gairigo

Ist ja in Ordnung. Ein "Bitte bei uns kein Querbeet betreiben!"
Hätte wirklich vollkommen genügt.

Ich finde allerdings schon komisch das du immer "Gerade von einem wie Du Dich bezeichnest.:" so hervorhebst.

Regeln sind da um beachtet zu werden das weis ich.
Man kann einen allerdings auch diplomatischer darauf hinweisen. :wink:

Meinst du wir können uns darauf einigen?

Also sri für den kleinen patzer. :oops:


@james007

Das Rote:

Sicherlich können wir das. Dieses hier wäre ja nicht notwendig gewesen!

Mein "Sorry" ist schon diplomatisch genug.
Wenn sich ca. 80% der User als "Fortgeschrittene" und/oder "Profis" selber bezeichnen, andererseits aber eben simpelste notwendige Regeln nicht verstehen, und wir im Team dieses täglich mehrfach mitteilen müssen, dann sollte ein "Sorry" ausreichen.

Ansonsten könnte man auch noch über Ursache und Wirkung sprechen!

[james007]

Gairigo hat folgendes geschrieben:

Sicherlich können wir das. Dieses hier wäre ja nicht notwendig gewesen!

Mein "Sorry" ist schon diplomatisch genug.
Wenn sich ca. 80% der User als "Fortgeschrittene" und/oder "Profis" selber bezeichnen, andererseits aber eben simpelste notwendige Regeln nicht verstehen, und wir im Team dieses täglich mehrfach mitteilen müssen, dann sollte ein "Sorry" ausreichen.

Ansonsten könnte man auch noch über Ursache und Wirkung sprechen!

@Gairigo

Ist schon Ok. Ich gelobe Besserung. :wink:
Kann ich als Mod auch verstehen.

[james007]

Ich hab mir mal die RFC2866 angesehen (RADIUS Accounting).

Da heisst es:

Key features of RADIUS Accounting are:

Client/Server Model

A Network Access Server (NAS) operates as a client of the
RADIUS accounting server. The client is responsible for
passing user accounting information to a designated RADIUS
accounting server.


The RADIUS accounting server is responsible for receiving the
accounting request and returning a response to the client
indicating that it has successfully received the request.

Im weiteren heisst es auch das der Client dafür konfiguriert sein muss. Das würde meine These unterstuetzten,
das der Client (in diesem Fall also der DI-624+) das Accounting unterstuetzten muss (was er hier ja nicht macht).

Ich hab die RFC jetzt nicht genau durchgelesen, aber das konnte ich im wesentlichen daraus entnehmen.

[Gairigo]

james007 hat folgendes geschrieben:
@Gairigo

Ist schon Ok. Ich gelobe Besserung. :wink:
Kann ich als Mod auch verstehen.


@james007

Ist schon OK, alles im grünen Bereiche. Thx für Dein Verständnis! :wink:

Lasse uns bitte morgen weiter machen, ansonsten träume ich im anstehenden Schlaf wie ein Radius-Server. :uaa:

[james007]

Gairigo hat folgendes geschrieben:
james007 hat folgendes geschrieben:
@Gairigo

Ist schon Ok. Ich gelobe Besserung. :wink:
Kann ich als Mod auch verstehen.


@james007

Ist schon OK, alles im grünen Bereiche. Thx für Dein Verständnis! :wink:

Lasse uns bitte morgen weiter machen, ansonsten träume ich im anstehenden Schlaf wie ein Radius-Server. :uaa:


@Gairigo


Na dann aber los. Das Bett ruft :mrgreen:

Nebenbei finde ich es schon bemerkenswert, dass ich so schnell
Antwort auf meine Fragen bekommen habe. Findet man selten.
(grade um die Uhrzeit)

Von daher geniesse mal den Sonntag und bruzel ein paar Würstchen im Garten. Hast du dir auf jedenfall verdient.

Man liest sich

...-.- de Chris

[Empfehlungen]

[james007]

Ich hab mal bei meinem Zyxel 660HW folgenden interessanten
Eintrag gefunden.

Ich hab ihn immer überlesen und gemeint das es der optionale 2te
Radiusserver Eintrag ist, doch man schaue und staune.
Auch ein Hinweis dafür, dass ich eine neue Brille brauche. {(*,)

Ist also noch ein Beweis dafür, das der AP das Accounting Feature unterstuetzten muss.

[Gairigo]

Moin james007

hier was grundätzliches zu "NAS agiert als Radius-Client"

Zitat: Ablauf einer Authentifizierung
Im Einzelnen bedeutet das für eine Authentifizierung: Der Benutzer meldet sich bei einem NAS mit seiner Kennung und seinem Passwort an. Der NAS agiert als Radius-Client und baut ein Access-Request-Paket zusammen, gekennzeichnet durch die „1“ im ersten Byte. Das zweite Byte erhält einen eindeutigen Identifier, den der RAS-Server zwecks Zuordnung von Anfrage und Ergebnis in sein Antwortpaket übernimmt. Die Längenangabe (2 Byte) im nächsten Feld gibt die Gesamtlänge des kompletten Pakets einschließlich aller Attribute an. Das nächste Feld, den aus 16 Bytes bestehenden Authenticator, setzt der Radius-Client auf einen zufällig gewählten Wert. Der Server verwendet unter anderem dieses Feld, um seine Antwort zu authentisieren (siehe unten). Anschließend können noch beliebige Attribute folgen.

Quelle zum Lesen des gesamten Artikels:

http://www.heise.de/ix/artikel/2005/06/112/


Frage: Wofür/wozu möchtest Du eigentlich einen WLAN-Radiusserver einsetzen/benutzen?

[james007]

Gairigo hat folgendes geschrieben:

Quelle zum Lesen des gesamten Artikels:

http://www.heise.de/ix/artikel/2005/06/112/


Wow, Super. Ein interessanter Artikel. Deckt sich mit den Infos welche ich schon gesammelt habe.
Danke für die Mühe.

Gairigo hat folgendes geschrieben:

Frage: Wofür/wozu möchtest Du eigentlich einen WLAN-Radiusserver einsetzen/benutzen?


Hallo Gairigo.

Berechtigte Frage.

Es dient in erster Linie zur Analyse der Verfahrensweise wie Radius funktioniert.
Derzeit ist es nur ein privates Projekt, welches ich mir zur Aufgabe gemacht habe,
um festzustellen wo Probleme auftreten, die Schwächen liegen und wie geeignet
RADIUS ist bzw. welche Möglichkeiten es einem bietet.
Es interessiert mich halt und mit Linux stehen einem da Welten offen, wenn man sie zu nutzten weis. :mrgreen:
Weiterhin auch um alternativen zu professionellen Lösungen zu finden (Kostenfaktor).

Zweck ist es, eine einfache managementbare Lösung zu finden zentral Zugänge zu steuern, welche
über WLAN-AP gehen. Ich denke da mal an HOT-Spots etc.. .

Um es kurz zu machen, es ist rein informativ um meinen Wissenstand zu erweitern.
Als FiSy muss man halt auf dem laufenden bleiben, da wird einem nichts geschenkt. :wink: