Archer C80 не работает radius авторизация

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.

Archer C80 не работает radius авторизация

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.
Archer C80 не работает radius авторизация
Archer C80 не работает radius авторизация
2023-10-27 07:51:17
Модель: Archer C80  
Аппаратная версия: V2
Версия прошивки: Archer C80(RU)_V2.20_1.13.1 Build 230609

Не работает radius авторизация (WPA/WPA2 - Enterprise). Радиус сервер - "сервер политики сети NPS" windows сервер 2012 и 2022.

  0      
  0      
#1
Опции
3 Ответить
Re:Archer C80 не работает radius авторизация
2023-10-27 15:43:06
Приветствую! А как именно было выявлено что у роутера не работает авторизация? Был ли снят дамп? Если да, то как? Что именно не делает роутер? Не отправляет пакет на сервер? Приложите информацию о том где сервер, пингуется ли он когда к нему подключен клиент? Топологию сети и радиус сервера относительно неё опишите.
  0  
  0  
#2
Опции
Re:Archer C80 не работает radius авторизация
2023-10-30 06:10:23

  @MinDmit 

Радиус-сервер находится со стороны WAN. Если логин заведомо не правильный, то в логах радиус-сервера честно пишет, что такого пользователя гне найдено. Если не правильный radius-пароль, то тоже в логах есть запись об этом. Если все правильно, процесс замирает. В логах ничего нет.
Вот tcpdump

09:06:28.330579 IP (tos 0x0, ttl 63, id 9307, offset 0, flags [none], proto UDP (17), length 158)
    10.100.0.36.1061 > 172.16.0.2.1812: [udp sum ok] RADIUS, length: 130
    Access-Request (1), id: 0x10, Authenticator: 17b651e8c41db3e6e81a21169447c5a7
      User-Name Attribute (1), length: 5, Value: kdn
        0x0000:  6b64 6e
      NAS-IP-Address Attribute (4), length: 6, Value: 192.168.0.1
        0x0000:  c0a8 0001
      NAS-Identifier Attribute (32), length: 15, Value: TP-Link_AP1.0
        0x0000:  5450 2d4c 696e 6b5f 4150 312e 30
      NAS-Port Attribute (5), length: 6, Value: 0
        0x0000:  0000 0000
      Called-Station-Id Attribute (30), length: 19, Value: 78-8C-B5-0B-F0-68
        0x0000:  3738 2d38 432d 4235 2d30 422d 4630 2d36
        0x0010:  38
      Calling-Station-Id Attribute (31), length: 19, Value: EC-30-B3-8E-63-35
        0x0000:  4543 2d33 302d 4233 2d38 452d 3633 2d33
        0x0010:  35
      Framed-MTU Attribute (12), length: 6, Value: 1400
        0x0000:  0000 0578
      NAS-Port-Type Attribute (61), length: 6, Value: Wireless - IEEE 802.11
        0x0000:  0000 0013
      EAP-Message Attribute (79), length: 10, Value: .
        0x0000:  0200 0008 016b 646e
      Message-Authenticator Attribute (80), length: 18, Value: ...\.-j.f....A..
        0x0000:  0ee1 b05c eb2d 6a10 66d6 caa1 d141 13e1
09:06:28.346204 IP (tos 0x0, ttl 128, id 21397, offset 0, flags [DF], proto UDP (17), length 118, bad cksum 0 (->f047)!)
    172.16.0.2.1812 > 10.100.0.36.1061: [bad udp cksum 0xb70d -> 0x0058!] RADIUS, length: 90
    Access-Challenge (11), id: 0x10, Authenticator: b09510dfa2185529a73bdaa4a0d9a360
      Session-Timeout Attribute (27), length: 6, Value: 30 secs
        0x0000:  0000 001e
      EAP-Message Attribute (79), length: 8, Value: ..
        0x0000:  0101 0006 1920
      State Attribute (24), length: 38, Value: ....
        0x0000:  1cdd 0314 0000 0137 0001 0200 ac10 0002
        0x0010:  0000 0000 0000 0000 0000 0000 0000 0004
        0x0020:  07a2 d895
      Message-Authenticator Attribute (80), length: 18, Value: .
        0x0000:  0e00 673c fbdb 7f10 4b17 b26c ee7c 3a96

Роутеры wr840 и wr841 работают нормально

 

  0  
  0  
#3
Опции
Re:Archer C80 не работает radius авторизация
2023-11-01 07:13:06 - last edited 2023-11-01 10:08:10

  @dimon1902 Так это вовсе не говорит о том что в роутере что-то работает или нет. Очень странно делать выводы о роутере глядя в дамп радиус сервера и что-то предполагать. Банально если ошибиться адресом радиуса сервера в настройках роутера, то у вас в дампе тоже "пусто будет", почему в этом случае тогда роутер виноват, а не пользователь? Аналогичный таймаут со стороны роутера произойдёт в попытках адресовать на сервер "которого не существует". В этот момент по логам сервера будет пусто.

 

Я так понял tcp dump это едиснтвенное что было проделано. Снимите дамп трафика с его WAN порта и проверьте уходит ли пакет с него. В заголовке темы указано "не работает авторизация у роутера", во вложениях "нет соединения с интернет ресурсом". Выглядит как одну проблему пробуют выдать за другую. Сам роутер никак не проверен. Введите в поиске: how-to-decrypt-radius-traffic-using-wireshark-with-rsa/ta-p/7873 вы сможете посмотреть как сама авторизация проверяется. Спасибо.

  0  
  0  
#4
Опции