<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.E-mailStijl17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page Section1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=NL-BE link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span lang=EN-US>I have setup an 802.1x with EAP-TLS
environment with hostap and a freeradius-server. XP clients can successfully
authenticate themselves.<br>
<br>
Used machines:<br>
- one OpenSuse11 setup as a bridge with hostap, brctl and ebtables installed<br>
- one OpenSuse11 setup as freeradius<br>
- one XP client machine<br>
<br>
But the problem is how to connect the hostapd with ebtables. If a client
successfully authenticates (= Access-accept message), allow traffic from this
client to pass the bridge.<br>
<br>
It would be feasible to parse the logs of the hostapd and adapt the ebtable
rules. F.i. if a mac-address gets an access accept message then perform
ebtables -t broute -A mac -j ACCEPT.<br>
<br>
<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US>Instead of using ebtables, one can also use
the the pae kernel module on sourceforge. But in don&#8217;t know how hostapd
would interact with that module.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US><br>
Is there another way to do the interaction between ebtables and hostap? What is
the purpose of hostap if it can authenticate clients but doesn't act on client
authentication. Hostap doesn't implement the port access entity module of
802.1x.<o:p></o:p></span></p>

<p class=MsoNormal><span lang=EN-US><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span lang=EN-US>All ideas are welcome!<o:p></o:p></span></p>

</div>

</body>

</html>