<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="PT" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-US">Hello,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">We are in the process of implementing radsec on our server but when using authby DNSROAM the SRV lookup always fail:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Radiator logs:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Fri Mar 17 15:56:20 2017: DEBUG: Handling with Radius::AuthDNSROAM<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Fri Mar 17 15:56:20 2017: DEBUG: Resolver doing NAPTR lookup for id.fccn.pt,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Fri Mar 17 15:56:20 2017: DEBUG: AuthBy DNSROAM result: IGNORE, Discovering RadSec servers<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Fri Mar 17 15:56:20 2017: DEBUG: Resolver found NAPTR record for realm id.fccn.pt: id.fccn.pt.  73857   IN      NAPTR   ( 100 10 s x-eduroam:radius.tls ""<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">        _radsec._tcp.fccn.pt. )<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Fri Mar 17 15:56:20 2017: DEBUG: Resolver doing SRV lookup for _radsec._tcp.fccn.pt, Protocol radius Transport tcp UseTLS 1 Order 100 Preference 10<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Fri Mar 17 15:56:25 2017: INFO: Resolver: No reply from DNS for SRV request for realm id.fccn.pt<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Fri Mar 17 15:56:25 2017: DEBUG: AuthBy DNSROAM: No hardwired Route, no discovered Route, using DEFAULT Route for id.fccn.pt<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">When we do a tcpdump on the radius server we see that the dns server responds to the request but the radius sends (final line) port unreachable and the resolving of the SRV request fails:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Tcpdump radius (193.137.66.131) > dns (193.137.66.129):<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">12:37:13.937148 IP 193.137.66.131.40586 > 193.137.66.129.53: 63986+ NAPTR? id.fccn.pt. (28)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">12:37:13.937383 IP 193.137.66.129.53 > 193.137.66.131.40586: 63986 1/0/6 NAPTR (268)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">12:37:13.945746 IP 193.137.66.131.40586 > 193.137.66.129.53: 37804+ SRV? _radsec._tcp.fccn.pt. (38)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">12:37:13.946034 IP 193.137.66.129.53 > 193.137.66.131.40586: 37804 2/0/4 SRV radius01.fccn.pt.:2083 0 0, SRV radius02.fccn.pt.:2083 0 10 (198)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">12:37:13.946058 IP 193.137.66.131 > 193.137.66.129: ICMP 193.137.66.131 udp port 40586 unreachable, length 234<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I’ve installed all the necessary modules: Net::DNS + Socket6 + IO::Socket::INET6 for this to work but it always fails.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Anyone has an idea how to solve this?<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Useful info:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">OS: Centos 7 Updated today (March 17, 2017)<o:p></o:p></span></p>
<p class="MsoNormal">Radiator: 4.17<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Resolver config:<o:p></o:p></p>
<p class="MsoNormal"><Resolver><o:p></o:p></p>
<p class="MsoNormal">        Nameservers     193.137.66.129<o:p></o:p></p>
<p class="MsoNormal">        <span lang="EN-US">Nameservers     ipv6:2001:690:2260:AAAA::129<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">        NAPTR-Pattern   x-eduroam:(radius)\.(tls)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">        DirectAddressLookup     0<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">        </span>Debug<o:p></o:p></p>
<p class="MsoNormal"></Resolver><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span lang="EN-US">AuthBy DNSROAM config:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">        <AuthBy DNSROAM><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                Identifier RADSEC_ROMAER_ACCESS_DNSROAM<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                Port                    2083<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                </span>Protocol                radsec<o:p></o:p></p>
<p class="MsoNormal"><span lang="EN-US">                Transport               tcp<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                UseTLS                  1<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                Secret                  XXXXXX<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                ReconnectTimeout        2<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                NoreplyTimeout          5<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                ConnectOnDemand<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                TLS_CAFile              /etc/radiator/certs/radsec/cacert.pem<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                TLS_CertificateFile     /etc/radiator/certs/radsec/radius.si.ipcb.pt-crt.pem<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                TLS_CertificateType     PEM<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                TLS_PrivateKeyFile      /etc/radiator/certs/radsec/radius.si.ipcb.pt-key.pem<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                TLS_PolicyOID           .1.3.6.1.4.1.25178.3.1.2<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                TLS_ExpectedPeerName    CN=.*<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                #<Route><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                #       Realm id.fccn.pt<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                #       Address 193.137.198.49<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                #       Port 2083<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                #       Transport tcp<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                #       Protocol radsec<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                #</Route><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                <Route><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                        Realm           DEFAULT<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                        Address         193.136.192.43, 193.136.192.44<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                        Port            2083<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                        Transport       tcp<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                        Protocol        radsec<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                </Route><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                IgnoreAccountingResponse<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">                </span># Executar o ficheiro que adiciona os enderecos MAC no DHCP<o:p></o:p></p>
<p class="MsoNormal">                <span lang="EN-US">ReplyHook file:"%D/radius_roamer_user_hook.pl"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">        </span></AuthBy><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:PT">Regards,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:6.0pt;color:#1F497D;mso-fareast-language:PT"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#002060;mso-fareast-language:PT">Fernando Reis</span><span lang="EN-US" style="color:#1F497D;mso-fareast-language:PT"><o:p></o:p></span></p>
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:9.0pt;color:#002060;mso-fareast-language:PT">IT Services</span></b><span lang="EN-US" style="font-size:9.0pt;color:#404040;mso-fareast-language:PT"> |
</span><b><span lang="EN-US" style="font-size:9.0pt;color:#002060;mso-fareast-language:PT">Polytechnic Institute of Castelo Branco<o:p></o:p></span></b></p>
<p class="MsoNormal"><span style="font-size:8.0pt;color:#404040;mso-fareast-language:PT">Av. Pedro Álvares Cabral n.º 12 6000-084 Castelo Branco - Portugal
<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:8.0pt;color:#404040;mso-fareast-language:PT">T +351 272 339 600 | F +351 272 339 601 | @
</span><span style="font-size:8.0pt;color:#1F4E79;mso-fareast-language:PT"><a href="mailto:fereis@ipcb.pt"><span style="color:blue">fereis@ipcb.pt</span></a></span><span style="color:#1F497D;mso-fareast-language:PT"><o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>