RADIUS Server auf DS

[mskassel]

Guten Tag,

hat sich mal wer damit befasst einen Radius Server für die DS zu bauen? Gibt es ggf. ein solches Projekt? Habe leider bis jetzt weder hier im Forum noch sonst im www etwas darüber gefunden.

Gruß
Markus

 

[goetz]

Hallo,
per ipkg gibts freeradius, allerdings hat die DS bereits einen radiusd an Board. Dieser wird gestartet wenn der VPN Server aktiviert ist.

Gruß Götz

 

[mskassel]

Hallo,
damit ich das jetzt mal verstehe. Ich trage in z.B. meinem WLAN AP die IP der DS ein als RADIUS Server. Dieser wird aktiv, sobald ich das VPN Server Paket installiert und aktiviert habe? Der RADIUS ist auch aktiv wenn keine aktive VPN Sitzung besteht? Ich frage daher nach, weil ich das VPN Server Paket aktiv habe aber dennoch keine Möglichkeit hatte einen RADIUS Server zu definieren. Die Möglichkeit per ipkg wäre eine gangbare Alternative.

Vielen Dank schon mal dazu.

Ich beabsichtige unbedingt einen RADIUS einzusetzen. Alleine der Vorteil nicht ständig bei wechselnden Mitarbeitern / Kollegen den WPA2 Schlüssel tauschen zu müssen ist eine echte Erleichterung! Einen neuen Benutzer auf der DS anzulegen ist ja ein Kinderspiel und das traue ich auch dem Mitarbeiter vor Ort zu

 

[goetz]

Hallo,
sobald der VPN Server aktiviert wurde läuft auch der radiusd, auch wenn keine VPN Verbindung besteht. Die Konfigurationsdateien findest Du unter
/volume1/@appstore/VPNCenter/etc/raddb

Gruß GÖtz

 

[JoachimHPunkt]

Radius Server in DSM 4.1-2650

Hallo zusammen,

auch ich habe noch "kleinere Probleme", den Radius Server funktionsfähig zu bekommen. Ich habe das VPNCenter installiert, mir eine users Datei in /etc/raddb angelegt, meinen Accesspoint in die clients.conf eingetragen und die Hardware mit dem dort verwendeten Secret ausgestattet. Zuguterletzt habe ich in der radiusd.conf das Log-Level ein wenig erhöht, damit "auf jeden Fall" ein paar Einträge im Logfile generiert werden. Nur spielt sich im Logfile (/var/log/radius/radius.log) leider so gar nichts ab (0 Bytes seit Paket-Installation) und anmelden können sich meine Wireless-Stationen auch nicht.

Der (Neu-)Start des Dienstes im Debug Mode (radiusd -X) war mir auch nicht vergönnt :-o

Ich könnte mal einn paar Tipps gebrauchen
- Wie bekomme ich das Logging aktiviert?
- Alternativ: wie gelingt der Dienststart im Debug-Mode
- ist die users-Datei auf der Synology der richtige Ortfür die Benutzeranlage?
- muss ich den den Dienst dediziert neu starten, wenn ich Config-Files verändert habe oder reicht es, das VPNCenter Paket zu stoppen und zu starten?

Über Hilfe würde ich mich freuen.

Viele Grüße
JoachimHPunkt

 

[QTip]

- muss ich den den Dienst dediziert neu starten, wenn ich Config-Files verändert habe oder reicht es, das VPNCenter Paket zu stoppen und zu starten?

Über Hilfe würde ich mich freuen.

Viele Grüße
JoachimHPunkt

Fast alle Synology Pakete generieren ihre Configs bei jedem Start neu. Synology will damit wahrscheinlich auf Nummer "Sicher" gehen, dass ihr Paket in jedem Fall funktioniert. Bei eigenen Anpassungen ist es ratsam dies in den Startdateien oder Templates von Synology mit einzubauen, damit sie einen Stop/Start durch das Paketzentrum auch überleben. Ein DS Neustart kommt einem Stop + Start gleich und macht etwaige Änderungen in diesem Fall ebenfalls rückgängig. Bei einem Paketupdate sind die Änderungen dann natürlich auch hinüber, eine Sicherung oder besser ein Sicherungs- Wiederherstellungsscript hilft da sehr.

 

[JoachimHPunkt]

Danke für die ersten Hinweise!

Nach einer Nacht der Forschens kann ich so viel schon einmal sagen:
1. Der Radius Server startet nicht mit dem Start des VPNCenter Paketes, sondern erst, wenn mindestens einer der beiden Dienste im VPNCenter aktiviert wird.
2. Meine Änderungen in den Konfigurationsdateien sind auch nach einer Aktualisierung des DSM und nach Neustarts noch da.

Via Syslog konnte ich herausfinden, dass sich Radius-Server und Accesspoint (noch) nicht verstehen, weil sie unterschiedliche EAP-Varianten "sprechen". Mal sehen, wie sich das lösen lässt. Falls jemand einen Tipp hat: Immer gern her damit.
Nach wie vor offen ist die Frage: Ist die users-Datei auf der Synology der richtige Ortfür die Benutzeranlage? Wäre schon schön, wenn's so wäre, denn wenn das ganze irgendwann mal läuft, soll der Radius Server dem Accesspoint eine nutzerabhängige VLAN ID mit rüberreichen, die Gäste von Insidern separiert.

Gruß
Joachim

 

[mskassel]

Benötige wohl doch noch mal Hilfe! Ich habe in der Datei users gegen das System authentifiziert, das scheint wohl auch so zu gehen aber dann läuft er in den Fehler rein. Getestet über eine Anfrage vom iPad. Werde es wohl auch noch mal auf einem Windows- System testen schätze das es da ähnlich verlaufen wird. Ich muss dazu sagen, dass es mein erster Versuch ist einen RADIUS Server aufzusetzen. Ich werde mir jetzt noch mal die Module genauer ansehen aber sollte jemand die Lösung kennen oder mir sagen können wo ich zu gucken habe immer her damit

Vielen Dank

Sending delayed reject for request 2
Sending Access-Reject of id 3 to 172.22.145.12 port 32797
Cleaning up request 2 ID 3 with timestamp +60
rad_recv: Access-Request packet from host 172.22.145.12 port 32797, id=4, length=161
User-Name = "markuss"
NAS-IP-Address = 172.22.145.12
NAS-Identifier = "hello"
NAS-Port = 0
Called-Station-Id = "2C-B0-5D-A0-4E-10:WLAN_AT"
Calling-Station-Id = "D0-23-DB-D7-87-74"
Framed-MTU = 1400
NAS-Port-Type = Wireless-802.11
Connect-Info = "CONNECT 0Mbps 802.11b"
EAP-Message = 0x0201000c016d61726b757373
Message-Authenticator = 0xefaa9044f209a79f8425147c121961ef
# Executing section authorize from file /var/packages/VPNCenter/target//etc/raddb/sites-available/default
+- entering group authorize {...}
++[preprocess] returns ok
++[mschap] returns noop
[ntdomain] No '\' in User-Name = "markuss", looking up realm NULL
[ntdomain] No such realm "NULL"
++[ntdomain] returns noop
++[unix] returns updated
[smbpasswd] Added LM-Password: '97387C4AB97CDAB1AAD3B435B51404EE' to config_items
[smbpasswd] Added NT-Password: '276642341FD6F80E1C1B01BC8C3284C6' to config_items
[smbpasswd] Added SMB-Account-CTRL-TEXT: '[U ]' to config_items
++[smbpasswd] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] Normalizing LM-Password from hex encoding
[pap] Normalizing NT-Password from hex encoding
[pap] No clear-text password in the request. Not performing PAP.
++[pap] returns noop
WARNING: Please update your configuration, and remove 'Auth-Type = Crypt'
WARNING: Use the PAP module instead.
No User-Password or CHAP-Password attribute in the request
Failed to authenticate the user.
Using Post-Auth-Type Reject
# Executing group from file /var/packages/VPNCenter/target//etc/raddb/sites-available/default
+- entering group REJECT {...}
++- group REJECT returns noop
Delaying reject of request 3 for 1 seconds