Auteur Topic: Radius Server werkt niet meer  (gelezen 40047 keer)

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 273
  • -Ontvangen: 1803
  • Berichten: 10.991
    • http://www.dwvbb.nl
Re: Radius Server werkt niet meer
« Reactie #30 Gepost op: 21 december 2014, 00:13:21 »
Ik stop en start de radius server een keer per week denk ik.
Krijgen we in huis gewoon geen wifi verbinding meer, na de herstart meteen wel weer.
Geen vreemde dingen in de log waarom het even niet werkt.
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline cyrus1977

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 54
  • Berichten: 1.529
    • http://www.bonaerial.nl
Re: Radius Server werkt niet meer
« Reactie #31 Gepost op: 21 december 2014, 12:25:37 »
Zie jij ook deze melding niet in je radius log ?


[ms-chap] invalid LM password


daar lijkt het bij op mis te gaan.
  • Mijn Synology: DS415
  • HDD's: 4
See http://www.bonaerial.nl
I am root. If you see me laughing, you better have a backup!
The beginning of knowledge is the discovery of something we do not understand.

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 273
  • -Ontvangen: 1803
  • Berichten: 10.991
    • http://www.dwvbb.nl
Re: Radius Server werkt niet meer
« Reactie #32 Gepost op: 21 december 2014, 12:32:37 »
Die melding zie ik bij elke inlogpoging......
Loop ik van de begane grond naar de zolder, kom ik langs 3 routers/AP, zie ik die melding 3 keer.
Ik vroeg er laatst al eens om, schijnt een Microsoft gevalletje te zijn.
Vreemd want ik gebruik alleen Apple draadloze apparatuur, zit nergens Microsoft in de schakel.
Maar alle draadloze loggen wel gewoon in, waar dit LM password vandaan komt, geen idee?
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Radius Server werkt niet meer
« Reactie #33 Gepost op: 21 december 2014, 15:14:08 »
Nooit gezien. Ik zie slechts 2 regels per inlog, ongeacht het device. Mij mij zijn het een i-Mac en diverse android toestellen die op het netwerk inloggen.

Misschien dat hij eerst een ander protocol probeert voor authenticatie? 
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 273
  • -Ontvangen: 1803
  • Berichten: 10.991
    • http://www.dwvbb.nl
Re: Radius Server werkt niet meer
« Reactie #34 Gepost op: 21 december 2014, 15:16:26 »
Ook bij een android client zie ik deze melding.
Kan niet achterhalen waarom dit gebeurd.
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Radius Server werkt niet meer
« Reactie #35 Gepost op: 21 december 2014, 15:48:26 »
Ik zie ook niets in de settings. Ik heb voor de aardigheid de config file bekeken. Daar kun je nog iets meer instellen dan via dsm:
GedeeldeData> cat radiusclient.conf
# General settings

# specify which authentication comes first respectively which
# authentication is used. possible values are: "radius" and "local".
# if you specify "radius,local" then the RADIUS server is asked
# first then the local one. if only one keyword is specified only
# this server is asked.
auth_order radius

# maximum login tries a user has (default 4)
login_tries 4

# timeout for all login tries (default 60)
# if this time is exceeded the user is kicked out
login_timeout 60

# name of the nologin file which when it exists disables logins.
# it may be extended by the ttyname which will result in
# a terminal specific lock (e.g. /etc/nologin.ttyS2 will disable
# logins on /dev/ttyS2)   (default /etc/nologin)
nologin /etc/nologin

# name of the issue file. it's only display when no username is passed
# on the radlogin command line  (default /etc/radiusclient/issue)
issue /etc/radiusclient/issue

# RADIUS settings

# RADIUS server to use for authentication requests. this config
# item can appear more then one time. if multiple servers are
# defined they are tried in a round robin fashion if one
# server is not answering.
# optionally you can specify a the port number on which is remote
# RADIUS listens separated by a colon from the hostname. if
# no port is specified /etc/services is consulted of the radius
# service. if this fails also a compiled in default is used.
authserver localhost:31067

# RADIUS server to use for accouting requests. All that I
# said for authserver applies, too.
#
acctserver localhost:31068

# file holding shared secrets used for the communication
# between the RADIUS client and server
servers /etc/radiusclient/servers

# dictionary of allowed attributes and values
# just like in the normal RADIUS distributions
dictionary /etc/radiusclient/dictionary

# program to call for a RADIUS authenticated login
# (default /usr/sbin/login.radius)
login_radius /usr/sbin/login.radius

# file which holds sequence number for communication with the
# RADIUS server
seqfile /var/run/radius.seq

# file which specifies mapping between ttyname and NAS-Port attribute
mapfile /etc/radiusclient/port-id-map

# default authentication realm to append to all usernames if no
# realm was explicitly specified by the user
# the radiusd directly form Livingston doesnt use any realms, so leave
# it blank then
default_realm

# time to wait for a reply from the RADIUS server
radius_timeout 10

# resend request this many times before trying the next server
radius_retries 3

# NAS-Identifier
#
# If supplied, this option will cause the client to send the given string
# as the contents of the NAS-Identifier attribute in RADIUS requests.  No
# NAS-IP-Address attribute will be sent in this case.
#
# The default behavior is to send a NAS-IP-Address option and not send
# a NAS-Identifier.  The value of the NAS-IP-Address option is chosen
# by resolving the system hostname.

# nas_identifier MyUniqueNASName

# LOCAL settings

# program to execute for local login
# it must support the -f flag for preauthenticated login
login_local /bin/login
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline cyrus1977

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 54
  • Berichten: 1.529
    • http://www.bonaerial.nl
Re: Radius Server werkt niet meer
« Reactie #36 Gepost op: 23 december 2014, 23:55:21 »
Die melding zie ik bij elke inlogpoging......
Loop ik van de begane grond naar de zolder, kom ik langs 3 routers/AP, zie ik die melding 3 keer.
Ik vroeg er laatst al eens om, schijnt een Microsoft gevalletje te zijn.
Vreemd want ik gebruik alleen Apple draadloze apparatuur, zit nergens Microsoft in de schakel.
Maar alle draadloze loggen wel gewoon in, waar dit LM password vandaan komt, geen idee?


Bij mij is het ook mac online er is geen windows client te vinden in huis. Ik ben wel bezig met dit verder uit te zoeken. Kom het ook wel tegen bij de freeradius fora. Dus we zijn niet de enige en lijkt meer dan syno gerelateerd.
  • Mijn Synology: DS415
  • HDD's: 4
See http://www.bonaerial.nl
I am root. If you see me laughing, you better have a backup!
The beginning of knowledge is the discovery of something we do not understand.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Radius Server werkt niet meer
« Reactie #37 Gepost op: 24 december 2014, 08:56:33 »
Kan het ook liggen aan de account instellingen van de cliënt? Of kun je daar op de iPhone niets instellen. Mijn iBook is zelf configurerend dus moet ik maar accepteren wat hij kiest. Ik kan alleen achteraf zien dat hij met ms-chapv2 authentseert.
Op Android moet je wel zelf alles configureren. Daarvan zijn er drie wekelijks op mijn netwerk, maar zie ik niets vreemds.

Per verbinding krijg ik twee regels in het log. Beide beginnen met de accountnaam van de inlogger.

Android heeft twee vakjes voor de identiteit. De eerste heet "identiteit" en dat is de inlognaam. Er is ook nog een vak "anonieme identiteit" (Wat is dat eigenlijk). Met de radius server van een jaar geleden kwam die naam terug als de inlognaam van de tweede log-regel. Ik vond het handig om daar de apparaat-naam in te vullen. Dan kon ik snel zien welk apparaat inlogde, i.p.v. naar het mac-adres te kijken. Tegenwoordig genereert het een error als dat "anonieme identiteit" veld niet leeg is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline cyrus1977

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 54
  • Berichten: 1.529
    • http://www.bonaerial.nl
Re: Radius Server werkt niet meer
« Reactie #38 Gepost op: 25 december 2014, 11:49:04 »
Ik krijg net een update en mijn issues zijn gone :-)
  • Mijn Synology: DS415
  • HDD's: 4
See http://www.bonaerial.nl
I am root. If you see me laughing, you better have a backup!
The beginning of knowledge is the discovery of something we do not understand.

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 273
  • -Ontvangen: 1803
  • Berichten: 10.991
    • http://www.dwvbb.nl
Re: Radius Server werkt niet meer
« Reactie #39 Gepost op: 25 december 2014, 12:29:58 »
Hier niet....
Per inlogactiviteit een invalid password.

RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline cyrus1977

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 54
  • Berichten: 1.529
    • http://www.bonaerial.nl
Re: Radius Server werkt niet meer
« Reactie #40 Gepost op: 26 december 2014, 12:09:27 »
Same here toch helaas. Ik dacht er vanaf te zijn maar ook ik zie ze nu weer in de logs opduiken..

  • Mijn Synology: DS415
  • HDD's: 4
See http://www.bonaerial.nl
I am root. If you see me laughing, you better have a backup!
The beginning of knowledge is the discovery of something we do not understand.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Radius Server werkt niet meer
« Reactie #41 Gepost op: 26 december 2014, 13:30:05 »
Ik heb gisteren mijn zus met haar kinderen op bezoek gehad. Één van hen genereerde ook deze error in het log:

Thu Dec 25 16:28:48 2014 : Error: [mschap] Invalid LM-Password
Thu Dec 25 16:28:48 2014 : Auth: Login OK: [A.....] (from client Kantoor port 0 via TLS tunnel)
Thu Dec 25 16:28:48 2014 : Auth: Login OK: [A.....] (from client Kantoor port 0 cli BC-44-86-BA-CC-29)

Zij heeft zeker geen Apple product, maar een goedkoop Android toestel.

Overigens vind je het log in de nas op:
/volume1/@appstore/RadiusServer/var/log/radius/radius.log

Lekker verstopt dus, maar identiek aan het log in dsm. Alles wat in Volume1 staat kun je echter met een hardlink in een share zichtbaar maken, wat het weer lekker snel toegankelijk maakt (totdat er een logrotatie plaats heeft)
Mijn oude radiuslog is gisteren gewist met de update van het radius package. Bij een hardlink naar een share, blijft daar wel het oude log staan.  :P
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Radius Server werkt niet meer
« Reactie #42 Gepost op: 31 december 2014, 22:31:30 »
[ms-chap] invalid LM password


Gevaarlijk om dit soort info openbaar te maken.  ;D

Ik denk dat ik de oorzaak nu gevonden heb: Als je wachtwoord een uppercase teken bevat, dan krijg je die foutcode. Bij een volledig lowercase wachtwoord, blijft die foutmelding weg.

Ik heb het nu bij 3 accounts geprobeerd waar ik het wachtwoord van ken. (Niet direct een onderzoek van grote getallen, maar anderen kunnen dit hopelijk bevestigen of juist ontkrachten)

Als ik op mijn laptop inlog met het ene account, is die melding er niet en met het andere account wel.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 273
  • -Ontvangen: 1803
  • Berichten: 10.991
    • http://www.dwvbb.nl
Re: Radius Server werkt niet meer
« Reactie #43 Gepost op: 31 december 2014, 23:55:07 »
Gevaarlijke informatie maar geen hoofdletters in mijn wachtwoord.
Dus bij mij gaat deze theorie niet op.
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Radius Server werkt niet meer
« Reactie #44 Gepost op: 01 januari 2015, 10:57:23 »
Dan maar verder op zoek naar een andere reden.  ;)

Als je op die error googled vind je vaak iets als:
[mschap] No Cleartext-Password configured.  Cannot create LM-Password.
[mschap] No Cleartext-Password configured.  Cannot create NT-Password.
[mschap] Told to do MS-CHAPv2 for john with NT-Password
[mschap] FAILED: No NT/LM-Password.  Cannot perform authentication.
[mschap] FAILED: MS-CHAP2-Response is incorrect

Dus naast een "LM-Password" is er blijkbaar ook nog een "NT-Password". Pas als beide falen, faalt de connectie-opbouw. Ik heb echter nog niet kunnen vinden wat die beide wachtwoorden nu precies inhouden.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Radius users backup and restore

Gestart door cyrus1977Board Radius Server

Reacties: 2
Gelezen: 5894
Laatste bericht 02 december 2014, 23:46:43
door cyrus1977
Kwetsbaarheden in Free Radius

Gestart door BrioletBoard Radius Server

Reacties: 2
Gelezen: 3471
Laatste bericht 20 juli 2017, 11:12:08
door Robert Koopman
Let's Encrypt en Radius [tip]

Gestart door BrioletBoard Radius Server

Reacties: 3
Gelezen: 4655
Laatste bericht 24 oktober 2020, 15:04:01
door cyrus1977
RADIUS icm VPN Security vraagjes

Gestart door aliazzzBoard Radius Server

Reacties: 4
Gelezen: 11244
Laatste bericht 27 mei 2015, 21:34:35
door aliazzz
Radius server

Gestart door galaxy69Board Overige software

Reacties: 12
Gelezen: 19389
Laatste bericht 10 mei 2013, 20:52:57
door Briolet