我正在解决我的无线网络(OpenWrt 19.x 和移动设备)的一些问题,我遇到了这个问题: https ://dot11.exposed/2017/09/20/violation-of-802-11-standard-intel -无线卡发送 40mhz 不容忍位在 5ghz/
最值得注意的是,这张特殊的抓拍照片:
这正是我正在寻找的,但我不知道如何捕获该信息。
ssh root@myRouter tcpdump -i wlan1 -U -e -s0 -w - 'not port 22' | "C:\Program Files\Wireshark\Wireshark.exe" -k -i -
只给我基本的握手后信息(四个 IEEE802.11x 消息),然后它直接跳转到 DHCP。但是我需要获取有关路由器和设备相互发送的功能的完整信息,以查看发生了什么。
我在 Ubuntu 10.04.4 上使用 FreeRADIUS 2.1.8 与 OpenLDAP 进行了 WPA2 802.11x EAP 身份验证设置,并且可以使用 PEAP/MSCHAPv2、TTLS/MSCHAPv2 和 TTLS/PAP(均通过 AP 和使用eapol_test)成功进行身份验证。我现在正在尝试根据用户所属的 LDAP 组限制对特定 SSID 的访问。
我已经/etc/freeradius/modules/ldap像这样配置了组成员身份检查:
groupname_attribute = cn
groupmembership_filter = "(|(&(objectClass=posixGroup)(memberUid=%{User-Name}))(&(objectClass=posixGroup)(uniquemember=%{User-Name})))"
并且我已经根据Mac Auth wiki 页面配置了将 SSID 从 Called-Station-Id 提取到 Called-Station-SSID 中。我启用了将属性从外部隧道复制到内部隧道,并在/etc/freeradius/eap.conf外部隧道中使用内部隧道响应(对于 PEAP 和 TTLS)。但是,在更改这些选项之前,我有相同的行为。
copy_request_to_tunnel = yes
use_tunneled_reply = yes
我eapol_test像这样运行来测试设置:
eapol_test -c peap-mschapv2.conf -a 172.16.0.16 -s testing123 -N 30:s:01-23-45-67-89-01:Example-EAP
使用以下peap-mschapv2.conf文件:
network={
ssid="Example-EAP"
key_mgmt=WPA-EAP
eap=PEAP
identity="mgorven"
anonymous_identity="anonymous"
password="foobar"
phase2="autheap=MSCHAPV2"
}
在以下内容中/etc/freeradius/users:
DEFAULT Ldap-Group == "employees"
并运行freeradius-Xx,我可以看到 LDAP 组检索有效,并且提取了 SSID。
Debug: [ldap] performing search in dc=example,dc=com, with filter (&(cn=employees)(|(&(objectClass=posixGroup)(memberUid=mgorven))(&(objectClass=posixGroup)(uniquemember=mgorven))))
Debug: rlm_ldap::ldap_groupcmp: User found in group employees
...
Info: expand: %{7} -> Example-EAP
接下来我尝试只允许employees组中的用户访问(不管 SSID 是什么),所以我将以下内容放入/etc/freeradius/users:
DEFAULT Ldap-Group == "employees"
DEFAULT Auth-Type := Reject
但这会立即拒绝外部隧道中的访问请求,因为anonymous用户不在employees组中。所以我将其修改为仅匹配内部隧道请求,如下所示:
DEFAULT Ldap-Group == "employees"
DEFAULT FreeRADIUS-Proxied-To == "127.0.0.1"
Auth-Type := Reject, Reply-Message = "User does not belong to any groups which may access this SSID."
现在组中的用户已employees通过身份验证,但不在employees组中的用户也已通过身份验证。我看到拒绝条目被匹配,并且设置了回复消息,但客户端收到了一个访问接受。
Debug: rlm_ldap::ldap_groupcmp: Group employees not found or user is not a member.
Info: [files] users: Matched entry DEFAULT at line 209
Info: ++[files] returns ok
...
Auth: Login OK: [mgorven] (from client test port 0 cli 02-00-00-00-00-01 via TLS tunnel)
Info: WARNING: Empty section. Using default return values.
...
Info: [peap] Got tunneled reply code 2
Auth-Type := Reject
Reply-Message = "User does not belong to any groups which may access this SSID."
...
Info: [peap] Got tunneled reply RADIUS code 2
Auth-Type := Reject
Reply-Message = "User does not belong to any groups which may access this SSID."
...
Info: [peap] Tunneled authentication was successful.
Info: [peap] SUCCESS
Info: [peap] Saving tunneled attributes for later
...
Sending Access-Accept of id 11 to 172.16.2.44 port 60746
Reply-Message = "User does not belong to any groups which may access this SSID."
User-Name = "mgorven"
和eapol_test报告:
RADIUS message: code=2 (Access-Accept) identifier=11 length=233
Attribute 18 (Reply-Message) length=64
Value: 'User does not belong to any groups which may access this SSID.'
Attribute 1 (User-Name) length=9
Value: 'mgorven'
...
SUCCESS
为什么请求没有被拒绝,这是实现它的正确方法吗?
我无法让 WPA2 企业在我的网络上工作。我将为您概述当前的设置。
Windows 域,使用 IAS 和它自己的 CA
Linksys WAP200 接入点
我使用 RADIUS 设置 AP 以使用 WPA2-Enterprise Mixed 我在域控制器上设置和注册 IAS。我将 AP 添加为客户端,并尝试使用 RADIUS 标准和 Cisco 作为 RADIUS 类型。
我将 IAS 策略配置为授予对域计算机的访问权限,身份验证设置为 PEAP 并使用我们的 CA 颁发的私有证书,其他配置文件设置都是默认设置。
笔记本电脑上的客户端设置与 IAS 设置相匹配,并且肯定安装了证书。支持 WPA2,因为我可以连接到 WPA2 个人 AP。我试过多台笔记本电脑。
在连接期间,它会闪烁“已连接”一秒钟,然后转到“验证身份”,最终超时。我正在使用 Windows 无线连接管理器。
任何帮助将不胜感激!