<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 12 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Calibri","sans-serif";

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:72.0pt 72.0pt 72.0pt 72.0pt;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-GB" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal">Hi,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I have been using FreeRADIUS to authenticate visitors onto a wireless network using LDAP against Active Directory. I now need to also deploy eduroam.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I thought it would be sensible to do this as two separate virtual servers, so I created a new minimal ‘default’ server that proxies to a ‘visitors’ or ‘eduroam’ virtual server based on the wireless SSID, which the wireless NAS adds to an

 attribute in the Access-Request. The default server sets the Proxy-To-Realm attribute in the list of control items. The Realm then maps to a home_server in proxy.conf which has an associated virtual server e.g.

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">  home_server virtual_server_for_eduroam {<o:p></o:p></p>

<p class="MsoNormal">    type =auth+acct<o:p></o:p></p>

<p class="MsoNormal">    virtual_server = eduroam<o:p></o:p></p>

<p class="MsoNormal">  }<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">  home_server_pool virtual_server_for_eduroam_pool {<o:p></o:p></p>

<p class="MsoNormal">    home_server = virtual_server_for_eduroam<o:p></o:p></p>

<p class="MsoNormal">  }<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">  realm EDUROAM_VIRTUAL_SERVER {<o:p></o:p></p>

<p class="MsoNormal">    pool = virtual_server_for_eduroam_pool<o:p></o:p></p>

<p class="MsoNormal">  }<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The ‘visitors’ virtual server works fine.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The ‘eduroam’ virtual server proxies the Access-Request to LOCAL or our National RADIUS Proxy Servers depending on whether the realm in the User-Name attribute is our realm or not. Local authentications are performed against Active Directory,

 and so we are using PEAP-MS-CHAPv2. For local authentications the inner MS-CHAPv2 authentications are proxied to the ‘inner-tunnel’ virtual server.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">If (for testing) I configure clients.conf so that Access-Requests from the wireless NAS are always sent to the ‘eduroam’ virtual server, then it works fine. The ‘eduroam’ virtual server doesn’t work if it is called from the new ‘default’

 server using internal proxying. In that case I get an error saying “Multiple levels of TLS nesting is invalid”.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I’m running FreeRADIUS 2.1.11.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I may not have provided enough detail, but am I doing something that obviously won’t work? I don’t know if it’s possible to internally proxy a request more than once, e.g. to two different virtual servers. If it isn’t possible, do I have

 any other options? Would a solution be to make the virtual servers listen on two different IP addresses, and configure the NAS to use a different RADIUS server IP address for each SSID? Alternatively, could the NAS continue to send all RADIUS packets to one

 IP address, and the default server proxy to virtual servers listening on different IP addresses?<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Thanks in advance of any help you can give,<o:p></o:p></p>

<p class="MsoNormal">Have a good weekend,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Mark.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<br><p>-- 

<BR>Scanned by iCritical.

</p>

<br></body>

</html>