BiTel

Точка доступа стоит в качестве NASa. Пытается авторизовывать пользователей по radius.
Имеем полное отсутствие записей в мониторе и невозможность авторизоваться.
В radius.log валится:

11-25/13:08:19 INFO [pool-1-thread-6] radius - AUTH:
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=10001
NAS-Identifier=wifi-tur
NAS-IP-Address=192.168.222.99
NAS-Port=273
Message-Authenticator=.....4..".u..=..
Service-Type=1
EAP-Message=...
.10001
Framed-MTU=1400
NAS-Port-Type=19
Calling-Station-Id=0013.e897.6041
Called-Station-Id=0040.9645.a099

11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - java.lang.NullPointerException
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.radius.auth.eap.tls.TLSTunnel.<init>(TLSTunnel.java:96)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.radius.auth.eap.tls.TLSTunnel.<init>(TLSTunnel.java:94)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.radius.auth.eap.tls.TLSTunnel$Context.createTunnel(TLSTunnel.java:74)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.radius.auth.eap.tls.EAPTLSAuthenticator.<init>(EAPTLSAuthenticator.ja
va:70)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.radius.auth.eap.peap.EAPPEAPAuthenticator0.<init>(EAPPEAPAuthenticato
r0.java:75)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.radius.auth.eap.EAPSession.authenticate(EAPSession.java:187)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.radius.auth.eap.EAPSession.processPacket(EAPSession.java:215)
11-25/13:08:19 INFO [pool-1-thread-6] radius - RESPONSE:
Type=AUTHENTICATION_REJECT
Process time auth: 6
Attributes:
State=.w'S.....%.....Y

11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.radius.auth.eap.EAP.authentification(EAP.java:320)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.radius.auth.eap.EAP.processPacket(EAP.java:287)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.processor.dialup.DialUpProcessor.authentification(DialUpProcessor.jav
a:864)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.processor.DefaultProcessor.standartAuth(DefaultProcessor.java:174)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.processor.dialup.DialUpProcessor.authenticationProcess(DialUpProcesso
r.java:130)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.radius.RadiusRequestThread.processRequest(RadiusRequestThread.java:18
1)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.radius.RadiusRequestThread.run(RadiusRequestThread.java:80)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(ThreadPoolExecutor.java:885)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:907)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at java.lang.Thread.run(Thread.java:619)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - java.lang.NullPointerException
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.processor.DefaultProcessor.standartAuth(DefaultProcessor.java:203)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.processor.dialup.DialUpProcessor.authenticationProcess(DialUpProcesso
r.java:130)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.radius.RadiusRequestThread.processRequest(RadiusRequestThread.java:18
1)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at bitel.billing.server.radius.RadiusRequestThread.run(RadiusRequestThread.java:80)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(ThreadPoolExecutor.java:885)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:907)
11-25/13:08:19 ERROR [pool-1-thread-6] LoggingPrintStream - at java.lang.Thread.run(Thread.java:619)

При старте ошибок не было? Файл .keystore лежит?

При старте всё чисто. А кто такой этот ".keystore" и где он должен лежать?
Покажете пальцем в доки?

Тот же что здесь:
http://www.bgbilling.ru/v5.0/doc/ch01s14.html

Хм... Я, кстати, что-то не уверен, что в точку доступа как-то получится этот ключ пихать.

Попробую поподробнее расписать проблему. Есть bgbilling v4.6. Есть Cisco Air-AP350.
В нём есть модуль dialup. Есть навязчивая идея не городить для вай-фая "вай-фай портал", а организовать авторизацию абонентов беспроводки по radius.

Точке доступа говорим, что авторизацию надо спрашивать у radius. В качестве сервера с оным - указываем биллинг. В биллинге указываем эту ТД в качестве NAS. До того, как поставили "auth.eap.enable=1" в конфиге - оно в мониторе выдавало ошибки авторизации по неправильному паролю и отлупляло подключающегося. Поставили в 1 - пропали ошибки в мониторе, но появилась эта ругань в логах.
Это не меняет дела?

Не в точку доступа, а в радиус. EAP использует SSL/TLS.
Просто в папку с радиусом положите, и, если указали пароль для keystore отличный от bgbilling, пропишите его в конфиге как keystore.password=

а почему нельзя просто по МАС-ам WiFi юзеров авторизовывать? у меня такое железо:

и все работает ...

теперь встряну я, как непосредственно со стороны биллинга.

так все и сделал, сгенерировал .keystore, лежит в BGRadiusServer,
в radius.properties указал keystore.password.

при рестарте радиус сервера error.log пустой
при попытке коннекта в radius.log наблюдаем следующее:
11-26/11:10:59 INFO [pool-1-thread-1] radius - AUTH:
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=Andy
NAS-Identifier=wifi-tur
NAS-IP-Address=192.168.222.99
NAS-Port=278
Message-Authenticator=<E9><ED><84>^Xq(
Q<EE>^U<B0>1<CB>0<BB><91>
Service-Type=1
EAP-Message=^B^A^@ ^AAndy
Framed-MTU=1400
NAS-Port-Type=19
Calling-Station-Id=0013.e897.6041
Called-Station-Id=0040.9645.a099

11-26/11:10:59 INFO [pool-1-thread-1] radius - RESPONSE:
Type=ACCESS_CHALLENGE
Attributes:
State=<CF><EA>^M<FE>^@<EF>^O<<9F>DM<92>n^T<E5><C8>
EAP-Message=^A^B^@^F^Y

11-26/11:11:12 INFO [pool-1-thread-2] radius - AUTH:
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=10001
NAS-Identifier=wifi-tur
NAS-IP-Address=192.168.222.99
NAS-Port=279
Message-Authenticator=<DB><EA>ZB<8A><C0>Y<AB><B6>ESCq<B2>5$4=
Service-Type=1
EAP-Message=^B^B^@
^A10001
Framed-MTU=1400
NAS-Port-Type=19
Calling-Station-Id=0013.e897.6041
Called-Station-Id=0040.9645.a099

11-26/11:11:12 INFO [pool-1-thread-2] radius - RESPONSE:
Type=ACCESS_CHALLENGE
Attributes:
State=<D6><D0><FB><D0><F6>Qh<9F>^H<C0><AA>H|<EC>^Q"
EAP-Message=^A^C^@^F^Y

11-26/11:11:12 INFO [pool-1-thread-3] radius - AUTH:
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=10001
NAS-Identifier=wifi-tur
NAS-IP-Address=192.168.222.99
NAS-Port=279
Message-Authenticator=<E1>i"<FB><CD>sa<DE>1<FD>G^K<CA>^O<9D>R
Service-Type=1
State=<D6><D0><FB><D0><F6>Qh<9F>^H<C0><AA>H|<EC>^Q"
EAP-Message=^B^C^@t^Y<80>^@^@^@j^V^C^A^@e^A^@^@a^C^AK^M<FF><D5><88><C8>
<C5>t<84><9C>M<F2>C<96>.<AE><AD>[<98><E1>^<D0>oH8<AF>L^X<9D>^P<BA><B9>^@^@^X^@/
^@5^@^E^@
<C0> <C0>
<C0>^S<C0>^T^@2^@8^@^S^@^D^A^@^@ ^@^@^@
^@^H^@^@^E10001^@
^@^H^@^F^@^W^@^X^@^Y^@^K^@^B^A^@
Framed-MTU=1400
NAS-Port-Type=19
Calling-Station-Id=0013.e897.6041
Called-Station-Id=0040.9645.a099

11-26/11:11:12 INFO [pool-1-thread-3] radius - RESPONSE:
Type=ACCESS_CHALLENGE
Attributes:
State=<D6><D0><FB><D0><F6>Qh<9F>^H<C0><AA>H|<EC>^Q"
EAP-Message=^A^D^B<D8>^Y^@^V^C^A^B<CD>^B^@^@F^C^AK^M<FF><E0><D2>i<F6>PE

[.... куча всякой нечитабельной ерунды ....]

<A5><D0>],
<F5>^_<93>J<BE><EE><BA>Z^N^@^@^@

11-26/11:11:12 INFO [pool-1-thread-4] radius - AUTH:
Type=AUTHENTICATION_REQUEST
Attributes:
User-Name=10001
NAS-Identifier=wifi-tur
NAS-IP-Address=192.168.222.99
NAS-Port=279
Message-Authenticator=<8E>><A5>Q^NR<B5>0(
^L<F0><E7>s<D7>-
Service-Type=1
State=<D6><D0><FB><D0><F6>Qh<9F>^H<C0><AA>H|<EC>^Q"
EAP-Message=^B^D^@^F^Y^@
Framed-MTU=1400
NAS-Port-Type=19
Calling-Station-Id=0013.e897.6041
Called-Station-Id=0040.9645.a099

11-26/11:11:12 ERROR [pool-1-thread-4] radius - TLS handshake stack error!!!
11-26/11:11:12 INFO [pool-1-thread-4] radius - RESPONSE:
Type=AUTHENTICATION_REJECT
Process time auth: 4
Attributes:
User-Name=10001
State=<D6><D0><FB><D0><F6>Qh<9F>^H<C0><AA>H|<EC>^Q"
EAP-Message=^D^D^@^D

те уже лучше, но работать отказывается
есть смутные сомнения насчет подписанности этого сертификата,
но непонятно как.

Тишина, видимо вопрос был неудачный



Хорошо, задам другой вопрос:
в документации написано следующее



ну да файл bgbilling.cer создался, а вот что дальше с ним делать? куда именно его выкладывать? В моем случае, для радиус сервера?

Аутентификация peap? Пока тестируем, повторить не получилось, возможно какая-то нештатная ситуация, что они договориться не могут...

Да, в точке доступа следующее: "...this setting for LEAP, PEAP, EAP-TLS, EAP-TTLS, EAP-GTC, EAP-SIM, and other 802.1x/EAP based protocols.".

При конфигурировании дается только выбор "EAP Authentication" в целом.

я правильно понял что ни конфигов ни вывода "sh run" тут можно не ждать и стоит идти за хрустальным шаром?

Сильно прошу прощения за пропажу, отвлекли

конфиги такие:
air ap350



radius.properties



.keystore присутствует согласно инструкциям в документации
в модемном модуле соответствующий NAS присутствует, его
конфиг вроде здесь не нужен, поскольку до него дело вроде не доходит

что-то наверняка забыл
вот такой тупик

т.к. у Вас в конфиге есть:

то добавьте сервер для аккаунтинга:

и удалите не нужное:

локальную и веб авторизацию тоже можно сделать через ААА:


но эт все так ... до кучи разве что ... я как понимаю Вы это реализовывали, может стоит это поробывать?
вообще конечно странно что не авторизуется, надо будет стенд собрать потестить

Спасибо за ссылки, оч интересно, но увы. У нас точка доступа AP350, и части команд просто нету,
например в conf t -> int dot11Radio0 -> ssid [имя сети] -> authentication .... последнего просто нету.

по идее вводя:

это всеравно что Вы вводите:

т.е. ios сам Вас выкинет в "dot11 ssid hotel"
точно так же как вводя подряд

foo будет в конфиге wifi интерфейса, а bar будет в конфиге езернета

хотя в wifi ios-ах есть свои особенности конечно ... я бы рад проверить что именно произойдет, но у меня:

так что там все эти команды будут ...

но вернемся к нашим баранам ... тут меня смутило вот это:

откуда родился вопрос - чем именно тестируете ЕАР?

и да, расскажите хоть чего именно хотите добится? как сама задача (ТЗ) звучит?

Vista/XPsp3. В принципе, тогда всё становится понятней.


В кратце:
Есть карточки. На каждой карточке пара номер/пин-код. Есть идея организовать в "гостинице" "беспроводной интернет" по этим карточкам. Есть дичайшее нежелание городить переходники типа "вай-фай портала".
Остальные варианты авторизации, что удалось найти в ТД - не предполагают пару логин/пароль, а ждут тупо ключ сети.

[self censored] ... написал здровый ответ, а потом получил:

а, т.к. писать все повторно желания особого нет, то скажу просто - поставьте себе один единственный комп куда водрузите и БГБ и chillispot который в сязке с радиусом (тут на форуме есть прецедент использования) Вам позволит обслуживать как 99.9% любых WiFi клиентов, вплоть до сотовых телефонов, так и езернет клиентов если такие у Вас в гостиннице появятся ... хотспот для гостинницы - самое оптимальное решение, IMHO ... просто, доступно, понятно и удобно