Sep 30, 2019

15066

Cisco SG 350x Grundkonfiguration

Hallo,
ich habe mir endlich den SG350x 48P zugelegt um meinen alte SG200 -26 abzulösen. Das Teil wird im Laufe der Woche bei mir ankommen. Den 350er habe ich gewählt, weil ich später mal MAC basiertes VLAN einrichten möchte und ich habe irgendwo gelesen, das dies mit dem SG250 nicht geht.

Jetzt hängt der Switch an einem Mikrotik Router und Layer 3 wird nicht benötigt. Ich lese jetzt aber gerade, dass man den SG350 gar nicht generell in den Layer 2 schalten kann, so wie es beim SG300 der Fall war, sondern das man hier jeden einzelnen Port für Layer 2 oder Layer 3 konfigurieren muss. Meine VLANs werden über den Miktotik bereitgestellt und das soll auch so bleiben.

Ist bei der Grundkonfiguration des Switches jetzt irgendetwas zu beachten oder lässt sich der 350x doch generell in Layer 2 betreiben? Oder ist der port-basierte Layer-Betrieb von Vorteil? Bin jetzt total verwirrt!

Wäre schön, wenn hier jemand ein paar grundsätzliche Tipps hätte um sich für später (MAC based VLAN) nichts zu verbauen.

Vielen Dank und Gruß,
Christian

Please also mark the comments that contributed to the solution of the article

Content-Key: 500006

Url: https://administrator.de/contentid/500006

Printed on: April 19, 2024 at 07:04 o'clock

98 Comments

Latest comment

Guten Morgen,

natürlich lässt sich der Switch im Layer 2 betreiben. Das kannst du sogar für IPv4 und IPv6 getrennt einstellen.

Gruß NV

Hi,
danke! Das beruhigt mich etwas! Hoffe das Dingen ist gleich da!
Christian

Keine Sorge, das geht. In der Factory-Konfig ist das Routing auch ausgeschaltet, der Switch macht also per Default erstmal Layer2.

Ich lese jetzt aber gerade, dass man den SG350 gar nicht generell in den Layer 2 schalten kann

Das ist falsch ! Das Gegenteil ist der Fall. Nach einem Werksreset arbeitet der Switch erstmal rein im Layer 2 Mode und alle Ports sind untagged als Access Ports im Default VLAN 1
Ist bei allen Switches auf der ganzen Welt so. Die Kollegen oben haben das ja auch schon richtg angemerkt.
Da hast du wohl etwas gründlich missverstanden oder mit deinen Switching Kentnissen stehts nicht so zum Besten...?!

Die generelle Frage ist warum du sinnfrei Geld verbrannt hast in einem teuren L3 Switch wenn du diee Funktion gar nicht nutzt. Da hätte dann ein SG250X auch allemal gereicht ! Aber egal...
Wichtig ist das er eine aktuelle Firmware hat:

Wie man den L2 Mode mit dem Mikrotik verheiratet erklären dir wie immer diese Foren Tutorials:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Hi aqui,
danke Dir., aber das Thema mit dem "Geld verbrennen" hatten wir doch schon mal, wenn Du Dich erinnerst! Der 250er kann kein MAC based VLAN.
Die Frage ist jetzt nur, ob er das im Layer 2 Modus überhaupt unterstützt! So wie ich es verstanden habe schon, aber wie Du auch richtig erkannt hast, ich bin da noch etwas jungfräulich unterwegs, sorry, dass ich hier noch blöde Fragen stelle!

Und danke für die Links, da schaue ich auf jeden Fall rein, aber ich denke, es wird sich hier grundsätzlich nicht viel ändern, da hier schon ein SG250 und ein SG200 hinter dem Mikrotik laufen. Der SG200 fliegt jetzt raus, da zu klein und kein POE.

Christian
.

wenn Du Dich erinnerst!

Du hast recht...das war mir entgangen, sorry !

Die Frage ist jetzt nur, ob er das im Layer 2 Modus überhaupt unterstützt!

Ja, natürlich. Das ist doch eine Port Security Funktion die nicht das Geringste mit Layer 2 oder Layer 3 Forwarding zu tun hat. Da bist du jetzt wohl etwas verwirrt, oder ?!

ich bin da noch etwas jungfräulich unterwegs, sorry, dass ich hier noch blöde Fragen stelle!

Blöde Fragen jibbet ja nich, nur blöde Antworten.

aber ich denke, es wird sich hier grundsätzlich nicht viel ändern,

Das stimmt. Konfig kannst du dann eigentlich so übernehmen.
Wichtig ist:

Aktuelle Firmware wegen der Security Bugs
Unter Administration -> PNP -> PNP Settings das PNP AUSschalten damit der Switch nicht "nach Hause" telefoniert !

Hi aqui,
cool! Dann sind wir ja wieder in sync!

Danke Dir für den Tipp mit dem telefonieren! Ich bin gespannt wie Bolle, wie die Kiste so ist. Ob ich nachts noch schlafen kann, wegen der Propeller und ob ich endlich genug Ports habe!

Den X habe ich übrigens nur genommen, weil ich den für 50€ günstiger bekommen habe, als den ohne "x".....weiß der Geier warum.

Bis bald,
Christian

Nee, sie ist relativ ruhig. Außerdem hast du ihn ja wohl hoffentlich auch in einen kleinen 19" Wandschrank montiert, oder ?!

....weiß der Geier warum.

Vermutlich Marketing Promo.... Aber umso besser, dann bist du auch 10Gig ready !!

Moin,
so die Mühle ist da. Läuft soweit auch schon. Leider doch ziemlich laut die Propeller, obwohl noch keine Last dran ist. Tja, da brauch ich wohl ne Tür vor dem Serverraum!

Bevor ich das Dingen jetzt produktiv setze, spiele ich noch etwas rum. Für die Cisco IP Phones ist das Auto Voice VLAN ganz praktisch, wobei ich nicht ganz verstehe, warum der entsprechende Port dann als Trunk und das Voice-Vlan als "tagged" bereitgestellt wird. Ich hatte erwartet, dass er hier "untagged" einstellt und das DEFAULT VLAN exkludiert Das Phone läuft trotzdem an dem "tagged" Port, nehme an, das Cisco Phone kann das automatisch filtern, allerdings dürfte die FritzBox, die hier als SIP-Server läuft das nicht unterstützen..

Noch mal zum Thema dynamische VLANs auf MAC Basis:

Ich hätte es ja gerne gehabt, dass der Switch, unabhängig davon, an welchem Port ein Client angeschlossen wird, das entsprechende VLAN vergibt. Damals sagtest Du, die Authentifizierung muss über einen Radius Server gemacht werden, da der SG350x kein VMPS (so heisst das glaube ich) kann.

Den Radius hat die Kiste ja an Bord. Kann man den so konfigurieren, dass dieses Feature umsetzbar ist, oder muss das über einen externen Radius Server gemacht werden. So ganz glücklich bin ich damit nicht, hier einen weiteren externen Rechner einzusetzen, der dann womöglich ausfallen kann und dann geht nix mehr im Netz....wäre schon cool, wenn ich alle LAN-Ports durchpatchen könnte und das VLAN wandert mit, wenn der Client an einer anderen Dose eingestöpselt wird.

Danke und Gruß,
Christian

Tja, da brauch ich wohl ne Tür vor dem Serverraum!

Vermutlich reicht schon ein Schrank mit etwas Dämmung drin ?! Oder du klebst die Dämmung selber rein. Gibts im Lautsprecher Handel oder Dämmplatten aus dem KFZ Bereich.

Bevor ich das Dingen jetzt produktiv setze, spiele ich noch etwas rum.

Macht Sinn. Auf alle Fälle die Firmware updaten !!!

wobei ich nicht ganz verstehe, warum der entsprechende Port dann als Trunk und das Voice-Vlan als "tagged" bereitgestellt wird.

Denke mal etwas nach !!!
Wenn deine Telefone Layer 2 Priorisierung machen mit 802.1p dann muss das so sein ! 802.1p ist immer Teil des 802.1q VLAN Tag Headers !
https://de.wikipedia.org/wiki/IEEE_802.1p
Sowie du also .1p macht ist dann Tagging Pflicht. Logisch sonst hast du keinen .1q Heder der dafür zwingend ist.
Ein Tagged Port heist "Trunk" in Cosco Sprech. Vermutlich macht es also jetzt "klick" bei dir ?!
Zeigt aber auch das du zum Thema QoS Defizite hast und besser nochmal etwas lesen solltest !!

unabhängig davon, an welchem Port ein Client angeschlossen wird, das entsprechende VLAN vergibt.

Genau das machen doch dynamische VLANs auf Mac Adress Basis !!!
Hast du hier auch wieder was nicht richtig verstanden ? Also bitte hier nochmal genau lesen und verstehen:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch

Den Radius hat die Kiste ja an Bord.

Nein ! Kein Switch der Welt hat das. Hier verwechselst du ganz sicher den Radius Client, der auf dem Switch ist, mit einem Radius Server wie z.B. FreeRadius oder Winblows NPS. Kann das ein ?!

hier einen weiteren externen Rechner einzusetzen

So ist aber das Konzept. Ein kleiner Raspberry Pi reicht vollends dafür !

Netzwerk Management Server mit Raspberry Pi

wäre schon cool, wenn ich alle LAN-Ports durchpatchen könnte und das VLAN wandert mit

Genau DAS ist ja der tiefere Sinn von dynamischen VLANs !

Moin aqui,
danke Dir! Ja, das ist so, wenn ein FritzBox-User sich nen Small Business Switch zulegt und anfängt rumzuspielen. Das es da Defizite gibt.....Ich bin stets bemüht

!

Die FW (2.5.0.83) ist aktuell. Der Switch scheint aber auch die ältere Version vorzuhalten. Zumindest sehe ich das auf der der System Summary-Seite.

Wegen Radius Server auf dem Switch:
Was bedeutet dieser Eintrag dann auf dem Switch?

Ist das etwas anderes? Alternativ hätte ich noch meine QNAP. Die bietet auch einen Radius Server an und läuft 24x7.
Und dann noch eine Frage: Wenn der Radius ausfällt, dann kommt kein Client mehr ins Netz....aber ich lese mal das Tut.

Danke und Gruß,
Christoan

Den Radius hat die Kiste ja an Bord.

Nein ! Kein Switch der Welt hat das. Hier verwechselst du ganz sicher den Radius Client, der auf dem Switch ist, mit einem Radius Server wie z.B. FreeRadius oder Winblows NPS. Kann das ein ?!

Da muss der junge Padavan tatsächlich dem Meister widersprechen

Der SG350 bringt, soweit ich das auf meinem SG350X-24MP sehen kann, einen Radius-Server mit.

Gruß NV

wenn ein FritzBox-User sich nen Small Business Switch zulegt und anfängt rumzuspielen.

Ist aber eher positiv zu bewerten, denn es zeigt das der User neugierig ist und Willens ist was zu lernen und zu verstehen

Der Switch scheint aber auch die ältere Version vorzuhalten.

Ja, hat für Notfälle immer ein Primary und Secondary Flash um die Version davor wieder booten zu können. Cisco denkt mit...

Was bedeutet dieser Eintrag dann auf dem Switch?

Das wird die zentrale Definition des Radius Servers mit IP, Passwörtern usw. sein. Der ist ja einerseits gültig für die User Authentisierung des Switch Admins und der Port Security.
Es ist zu bezweifeln das da ein vollwertiger Radius Server werkelt auf dem Switch. Das wäre sehr sehr ungewöhnlich. Ich kenne keinen Herteller der das macht. Aaaaber... der Einwand vom Kollegen @NixVerstehen mag stimmen. Habe aktuell keinen 350X zur Hand nur einen 250X und der hat es de facto nicht !
Aber sieht man sich die Doku an kommt man zu dem Schluss das da wirklich ein Server werkelt.
https://www.cisco.com/c/en/us/support/docs/smb/switches/cisco-350-series ...
Versuch macht also klug...

Alternativ hätte ich noch meine QNAP. Die bietet auch einen Radius Server an und läuft 24x7.

DAS wäre dann die klassische Alternative !!!

Hallo,
ich habe den Radius auf dem Switch mal versucht zu konfigurieren.

dann eine Gruppe mit dem VLAN angelegt

und den Client mit der MAC-Adresse der Gruppe zugeordnet. Das Passwort ist, wie im Tut beschrieben, gleich der MAC-Adresse.

Ich habe dann unter Security 802.1x die Properties auf RADIUS gestellt

und Port Authentification so eingestellt.

Allerdings scheint noch was zu fehlen, da es nicht funktionuert am Port 2. An welcher Schraube muss ich noch drehen? Was habe ich übersehen?

Danke und gruß,
Christian

Meinst du nicht das es sinnig ist den Radius Server vorab erstmal auf seine korrekte Funktion zu testen bevor man ihn auf die Security loslässt ??
Dann kannst du dir sicher sein das ggf. auftretende Fehler dann NICHT mehr am Server selber liegen !
Immer strategisch vorgehen und....natürlich die Tutorials mal wirklich lesen und verstehen...

Guckst du hier (Für dich gilt nur der Abschnitt mit dem NTRadPing Tool):
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius

Danach machen wir dann mal weiter... Und nicht vergessen: Wichtig sind immer die Switch Logs und ggf. Messages dort drin. Auch die fehlen oben mal wieder und verleiten dann hier zum Raten im freien Fall.

Zahlen, Daten, Fakten !!!

Hi,
ok. verstanden! Habe das Tool geladen. Radius Server ist die IP des Switches (denke ich). Port habe 1812 und 1813 probiert,
Username+Passwort ist die MAC-Adresse des Clients, aber was ist hier Radius Secret. Das steht im Switch auf DEFAULT, Und was ist in diesem Zusammenhang die NAS-Address?

Hier der Status vom Server auf dem Switch: Er sagt mir was von incomming Requests from unknown addresses. Verstehe ich in diesem Zusammenhang auch nicht.

...doch nicht so einfach!

ok. Ich habe jetzt unter NAS die IP des WindowsPCs mit dem PingTool eingetragen. Jetzt kriege ich zumindest eine Antwort.

Aber heisst das jetzt, dass ich hier alle Ip-Adressen meiner Clients eintragen muss?

Christian

Radius Server ist die IP des Switches (denke ich)

Die Management IP im entsprechenden Management VLAN was in den IP Settings eingestellt ist.

aber was ist hier Radius Secret

https://www.heise.de/ix/artikel/Abrechnung-im-Hintergrund-506512.html?vi ...
und auch das Tutorial erklärt es:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Radius Clients benötigen immer ein Passwort um auf den Server zugreifen zu können....! Ggf. also besser Plaintext verwenden.

Jetzt kriege ich zumindest eine Antwort.

Das sieht gut aus !

Access Accept sagt das alles OK ist.

Aber heisst das jetzt, dass ich hier alle Ip-Adressen meiner Clients eintragen muss?

Ja, natürlich. Jedenfalls wenn du mit "Clients" die Geräte meinst die aktiv den Radius Server anfragen. Anderes Switches, APs usw.
Natülich keine Endgeräte im Netz wie PCs usw. denn die kommunizieren ja logischerweise NICHT mit dem Radius Server direkt. Oder hast du bei denen irgendwo einen Client gesehen der die Radius IP und sein Passwort irgendwo erfordert. Sicherlich nicht...

Hi aqui,
ich bin etwas weiter. Ich habe diese Anleitung gefunden.

Configuring MAC-Based Authentication on a Switch

und zumindest autorisiert sich der Client auch. Allerdings kriege ich es nicht hin, ihm das nötige VLAN zuzweisen. Das habe ich ihier versucht einzustellen.

Unautorisierte Rechner, werden auch brav ins Gäste-VLAN geschickt. Das habe ich hier eingestellt.

Vielleicht hast Du noch ne Idee!

Christian

Relevant ist nicht die Port Authentication sondern was oben im Menüpunkt Mac-Based Authentication Settings steht !
Hilfreich wäre auch mal ein Wireshark Trace des Radius Replies ob die Radius Attribute der VLAN IDs übergeben werden wie z.B. hier zu sehen:
https://community.cisco.com/t5/small-business-switches/dynamic-vlan-assi ...

Hm!
ich denke, für heute mache ich schluss. ICh kamm da nicht weiter. GGf. setzte ich den Wireshark auf und prüfe das mal.

Aber bevor wir den ganzen Käse machen:

ich dem Port GE2 keinem VLAN zugeordnet. Das steht alles auf DEFAULT. Nicht das hier ein Trunk eingerichtet werden muss oder so, damit er das VLAN 10 mappen kann. Das Gäste-VLAN wird auf jeden Fall automatisch gezogen, sobald ein Client kommt, der nicht als User im RADIUS definiert ist.

...aber gut! Ich schlafe mal drüber und melde mich dann!

Puuh,
so, es läuft jetzt!!!
Weiß aber momentan noch nicht, warum! Muss morgen noch mal alle Einstellungen durchgehen. Ich denke aber, es lag doch an der Port-Authentifizierung. Werde es dann hier posten...

Aber eine grundsätzliche Sache noch, die ich grad nicht abschätzen kann:

An 3 der Switchports des alten SG200 hängen 3 Miktotik cAP ACs als Trunk. Die cAPs stellen einige VLANs über WLAN bereit. die meine Endgeräte nutzen (je nach Gerät ein bestimmtes VLAN)

Ich habe aktuell noch keinen Plan, was ich hier jetzt machen muss, um die WLAN-Geräte auch anhand der MAC dem richtigen VLAN zuzuordnen. Spontan sage ich, ich hänge den cAP an den SG350x und ich trage die MAC des WLAN-Gerätes auf dem RADIUS ein....aber so einfach ist es nicht, oder?

Und wie sieht das am SwitchPort aus. tauchen dann an den cAP- Port nicht mehr als 8 MAC-Adressen auf? Habe da grad noch nen Knoten im Kopf!

Danke und Gruß,
Chrstian

Ich habe aktuell noch keinen Plan, was ich hier jetzt machen muss, um die WLAN-Geräte auch anhand der MAC dem richtigen VLAN zuzuordnen.

Guckst du hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Ich dem Port GE2 keinem VLAN zugeordnet. Das steht alles auf DEFAULT.

Das ist auch richtig so. Denn das VLAN wird ja aus dem Default (1) je nach Radius Attribut was der Server zurückliefert auf das entsprechende VLAN (ID) gesetzt.
Fällt der Link runter fällt auch das zugeordnete VLAN wieder auf den Default. Genau so wie dynamische VLANs ja auch funktionieren sollen...

so, es läuft jetzt!!!

👏 Glückwunsch !
Wo war der Fehler ??

Weiß aber momentan noch nicht, warum!

Hast du mal ins Log gesehen ? Dort steht meistens warum !!

An 3 der Switchports des alten SG200 hängen 3 Miktotik cAP ACs als Trunk.

Vermutlich dann eine MSSID Konfig, richtig ?

Spontan sage ich, ich hänge den cAP an den SG350x und ich trage die MAC des WLAN-Gerätes auf dem RADIUS ein....aber so einfach ist es nicht, oder?

Nein, leider nicht, da hast du recht.
Dein erster Denkfehler ist schon das du natürlich auch die Mac Adresse des cAP selber eintragen musst sonst kannst du den managementmäßig ja nicht mehr erreichen und hängst den ab.
Der Rest ist davon abhängig ob der Cisco sowas wie Mac based VLANs supportet.
Ist die dynamsiche VLAN Funktion ganz einfach implementiert, dann kann der Switch max. eine Mac Adresse am Port und packt den in ein VLAN dynamisch und gut ist. Alle anderen Mac Adresen "nutzniessen" dann quiasi diesen von einer authentisierten Mac Adrese geöffneten Port und werden ins gleiche VLAN geforwardet.
So ist diese Funktion bei 90% aller billigen SoHo Switches implementiert.
Das würde dir natürlich nichts nützen an deinem WLAN Port.
Logisch, denn hier sollen ja bestimmte Clients nach Mac Adresse in bestimmte VLANs. Sprich der Switch muss sich am Port also alle Mac Adresen der Clients ansehen und danach entscheiden in welches VLAN er da intern forwardet.
Sowas nennt man Mac based VLANs. Meist einen Option die nur Premium Switches haben. Ob der Cisco SG350X das auch kann müsste man im Handbuch nachlesen....oder per Trial and Error eben rausbekommen

Technisch geht es so das der Switch für jede empfangene neue Mac den Radius fragt und dann die Mac mit der VLAN ID die er vom Radius bekommt in einem lokalen Cache ablegt. So kann er dann bei wiederkehrenden Macs aus dem Cache sofort das VLAN lokal zuordnen ohne erneut für jedes Packet wieder den Radius zu fragen. Sowas würde logischerweise nicht skalieren.

tauchen dann an den cAP- Port nicht mehr als 8 MAC-Adressen auf?

Der AP arbeitet als simple Layer 2 Bridge. Er forwardet also ALLE Mac Adressen aller WLAN Client an ihm auf den Switchport. Hast du 12 Clients dran kommen nicht nur 8 Macs da an sondern 12.
Da mus man keinen Knoten haben sondern einfach nur mal logisch nachdenken...

Hi,
danke Dir. Ich denke, die Authentifikation der WLAN-Clients kann man auch über den CAPSMAN im Mikrotik Router 3011 in Verbindung mit einem RADIUS lösen, um so den Zugang der Clients zu den VLANs über eine einzige SSID zu steuern. Da gibt es bestimmt was, muss ich mal suchen.... Dann ist der Cisco außen vor und stellt nur den Trunk und die Energie der cAPs über POE zur Verfügung. Allerdings würde der RADIUS Server auf dem SG350x falsch aufgehoben sein!

Es macht dann wohl wirklich mehr Sinn, einen RADIUS Server separat zu betreiben und ich suche gerade nach guten Alternativen.

QNAP scheidet aus, hier kann man den Clients keine VLANs mitgeben und außerdem läuft die QNAP im "Office"-LAN und der RADIUS sollte der Logik nach im ADMIN-LAN laufen.
Raspberry wäre eine Option. Den könnte ich ins ADMIN LAN hängen, aber die Konfiguration über config-Dateien finde ich echt unübersichtlich. Eine Verwaltung der Benutzer in einer keinen DB mit GUI wäre da schon übersichtlicher. Bei mir fliegen so ungefähr 150 MAC-Adressen im Netz rum...und ohne Gerätebeschreibung, um welches Teil es sich handelt, ist das nicht zu pflegen.
eine VM wäre auch nicht schlecht. Habe mir gerade den ESXi aufesetzt und zumindest kann ich hier virtuelle Switche konfigurieren und die einzelnen VMs in separte VLANs hängen. Dann kann auch der RADIUS ins ADMIN LAN. Und wenn dann irgendwann die neue QNAP am Start ist, kann der dedizierte ESXi auf die QNAP verschoben werden, da die dann von Hause aus Virtualisierungen kann. Ich hätte jetzt erwertet, es gibt fertige VMs zu Hauf, dann hätte ich so nen Image mal auf den ESXi gespielt, habe aber nix gefunden.

So, jetzt bin grad etwas demotiviert, weil sich das Thema etwas ausweitet, nix voran geht und ich erst überlegen muss, wie ich das jetzt alles richtig aufgleise.

Wäre schön, wenn Du mit Deiner Erfahrung ein paar "Gleise" in die richtige Richtung legen könntest!

Danke und Gruß,
Christian

QNAP scheidet aus, hier kann man den Clients keine VLANs mitgeben

Nein, das stimmt nicht ganz. QNAP nutzt intern FreeRadius und du kannst über den Shell Zugriff dann gezielt die FreeRadius Konfig Dateien anpassen was man so über GUI nicht kann.
Ob mit RasPi oder VM ist eher eine kosmetische Frage. Wenn so oder so ein ESXi werkelt bei dir ist VM sicher die bessere Option.
FreeRadius hat klassisch eine Anbindung an MySQL bzw. MariaSQL beitet also die Datenbank Option.
Guckst du dazu auch hier:
Freeradius Management mit WebGUI

Its your choice...

Hallo,
ich benötige noch einmal Hilfe:

Ich habe den RADIUS auf einem PI aufgesetzt und ihn mit dem Testtool erfolgreich getestet:
Wenn ich nun versuche, das VLAN zuzuordnen, eine Antwort an den Cisco zurückzuschicken und das VLAN zunorde, startet der RADIUS nicht mehr.

in der User-Datei habe ich Folgendes eingetragen:

#
78:00:9E:xx:xx:xx Auth-Type := EAP, User-Password:= "78:00:xx:xx:xx:xx"  
Tunnel-Type = "VLAN",  
Tunnel-Medium-Type = "IEEE-802",  
Tunnel-Private-Group-ID = "10"  
#

Es liegt offenbar an den Tunnel-Parametern. Wenn ich diese auskommentiere, startet der Server und der Client kann sich anmelden.
Andernfalls kommt diese Fehlermeldung:

Job for freeradius.service failed because the control process exited with error code.
See "systemctl status freeradius.service" and "journalctl -xe" for details.  

..die hilf mir aber nicht weiter...

-- Subject: Unit process exited
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- An ExecStartPre= process belonging to unit freeradius.service has exited.
--
-- The process' exit code is 'exited' and its exit status is 1.  
Okt 05 14:29:07 Blackberry systemd[1]: freeradius.service: Failed with result 'exit-code'.  
-- Subject: Unit failed
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- The unit freeradius.service has entered the 'failed' state with result 'exit-code'.  
Okt 05 14:29:07 Blackberry systemd[1]: Failed to start FreeRADIUS multi-protocol policy server.
-- Subject: A start job for unit freeradius.service has failed
-- Defined-By: systemd
-- Support: https://www.debian.org/support
--
-- A start job for unit freeradius.service has finished with a failure.
--
-- The job identifier is 23777 and the job result is failed.

Hat jemand eine IDee, was hier fehlschlägt?

Christian

Es liegt offenbar an den Tunnel-Parametern.

Kein Wunder, denn die sind ja auch falsch ! Der Radius kann diese Parameter in der User Datei nicht lesen !
Richtig ist:

#
78:00:9E:xx:xx:xx Auth-Type := EAP, User-Password:= "78:00:xx:xx:xx:xx"
Tunnel-Type = "13",
Tunnel-Medium-Type = "6",
Tunnel-Private-Group-ID = "10"
# 

Tip:
Immer mit systemctl stop freeradius den FreeRadius erstmal als Daemon stoppen !!!
Dann kannst du ihn immer händisch starten und im Debug Mode sehen WARUM es Fehler gibt !!
Zur Sicherheit auch immer nochmal mit ps ax checken ob da nicht doch noch ein herrenloser Radius Prozes im Hintergrund werkelt. Den zur Not dann mit kill <prozess_nummer> abschiessen.
Händischer Debug Mode Start mit freeradius -X
Jetzt kannst du dem Radius an der Konole genau beim Arbeiten zusehen. Er protokolliert dir dann ganz genau was er macht...oder nicht macht und warum.

Danach kannst du dann immer mit ctrl c (Ctrl Tate und c) ihn wieder stoppen.
Problem fixen und solange mit dem Debug Mode strategisch checken wo die Fehler sind.
Erst wenn alle wasserdicht rennt startest du den Radius wieder im Daemon Mode mit systemctl start freeradius.
So einfach ist das !

Hat jemand eine IDee, was hier fehlschlägt?

Ja, du willst den Radius Server doppelt und dreifach laufen lassen. Wie gesagt VORHER den Daemon stoppen.

Zum Troubleshooten bitte immer die Fehlermeldungen aus dem -X Debug Mode hier posten oder Dr. Google danach fragen.
Bitte nicht den gesamten Output sondern auszugsweise nur da wo der Debugger auch wirklich Fehler anmeckert !!

Hi,
hm
Habe das jetzt genauso in die user-Datei eingetragen, wie Du es geschrieben hast.
Beim Start im Debug-Mode kommt folgender Fehler:

reading pairlist file /etc/freeradius/3.0/mods-config/files/authorize
/etc/freeradius/3.0/mods-config/files/authorize[223]: Parse error (check) for entry Tunnel-Type: Invalid attribute name
Failed reading /etc/freeradius/3.0/mods-config/files/authorize
/etc/freeradius/3.0/mods-enabled/files[9]: Instantiation failed for module "files"  

Er versteht die Tunnel-Parameter nicht!

Den Abschnitt aus dem Tut habe ich durchgeführt:
!! WICHTIG: Die folgenden Anpassungen in der Datei /etc/raddb/eap.conf sind zwingend für die dynamische VLAN Zuweisung: Im Abschnitt TTLS ist der Parameter use_tunneled_reply = yes auf yes zu setzen. Ebenso im Abschnitt PEAP auch diesen Parameter auf yes !!

irgendwo klemmt es noch!

Christian

Normal gibts den Auth Type EAP nicht bei der Mac Auth. Das ist Cleartext und der wird da weggelassen.
Vermutlich ist das der Fehler:

#       Mac Adress Authentication fuer nicht 802.1x Geraete hier !
"00123a104123"          Cleartext-Password := "00123a104123"

#       Mac Adress Authentication fuer nicht 802.1x Geraete mit dyn. VLAN Zuweisung hier !
"00abce813abc"          Cleartext-Password := "00abce813abc"
                Tunnel-Type = 13,
                Tunnel-Medium-Type = 6,
                Tunnel-Private-Group-Id = 10 

Setz das mal mit dazu und kommentier deine Konfig mit # aus und teste das mal mit Cleartext.

Hi,
tja. er startet jetzt zwar, aber das TestTool gibt nichts zurück. M.E. werden die Tunnel Parameter ignoriert.

Die Antwort vom Cisco Radius sieht so aus:

Ich fürchte das passt noch nicht!

Christian

tja. er startet jetzt zwar, aber das TestTool gibt nichts zurück.

WAS sagt der Debug Mode ????
Bitte...! Muss man das denn immer 10 mal wiederholen ??

Lasse den Server im Debug Mode laufen und checke was er sagt wenn du vom Test Tool die Abfrage machst ? Was kommt da an Messages ?
Verdacht: Du hast den Usernamen (Mac Adresse) ohne Doppelpunkte eingegeben !!
Vermutlich auch das Passwort, was dann doppelt falsch ist !

Logisch das der Radius das dann ablehnt, denn die ":" gehören für ihn zum Client Namen !!
Mal ganz davon abgesehen das du ihm den Namen ja auch genau so in der users.conf Datei so konfiguriert hast !
Der Radius macht also was er soll, denn einen User 00abce831abc kennt er nicht wenn du ihm konfiguriert hast das der User 00:ab:ce:83:1a:bc heisst. Wenn bei dir ein "Willi" an der Haustür klingelt dann lässt du einen "Franz" ja auch nicht rein...!

Hättest du auch selber im Debug Output gesehen !

Hi aqui,
wenn der Debug etwas gesagt hätte, hätte ich es gesagt. Das Problem lag am Häkchen beim CHAP. Das muss gesetzt sein, dann bekomme ich auch eine Antwort.

Allerdings nekomme ich im Log vom Cisco noch nen Fehler:

2147483351	2019-Oct-05 18:23:32	Notice	%RADIUSSERVER-N-AUTHFAILURE: Authentication Failure, User: 78:00:9E:xx:xx:xx, dot1x; NAS: 172.16.1.1; Reason: Not supported EAP Method  

Da muss die EAP Methode offenbar geändert werden. An welcher Schraube drehe ich denn jetzt?

Christian

wenn der Debug etwas gesagt hätte, hätte ich es gesagt.

Sorry aber hier verar...du uns aber !
Einen Access Reject zeigt der Debugger ganz sicher zu 100% an. Da kannst du nur Tomaten auf den Augen gehabt haben...

Da muss die EAP Methode offenbar geändert werden

Stimmt. Der mag das EAP nicht.
Beim Cisco hast du logischerweise schlechte Karten. Das ist ein geschlossenes System, da kannst du nichts anpassen.
Beim FreeRadius ist das anders...da hast du logischerweise ALLE Optionen das finezutunen..

Tach,
so, ich muss jetzt offenbar aufgeben. Komme damit nicht weiter. Im Netz ist auch nichts zu finden.

Hier noch mal die Meldung von FreeRadius auf die Cisco RADIUS-Client Anfrage:

(3) Received Access-Request Id 6 from 172.16.1.10:49205 to 172.16.50.100:1812 length 147
Dropping packet without response because of error: Received packet from 172.16.1.10 with invalid Message                      -Authenticator!  (Shared secret is incorrect.)

Wäre chon, wenn noch jemand eine Idee hat!

Christian

habe festgestellt, dass ein Typo in der Client.conf war. Das Passwort war falsch geschrieben.

Irgendetwas scheint aber noch mit dem Pssswort-Format nicht zu stimmen.
Auf dem Switch habe ich unter "MAC-Based Authentication Settings" den Wert für "MAC Authentication Password" auf Default (Username) gesetzt.

Jetzt sieht es so aus!

(0) Received Access-Request Id 12 from 172.16.1.10:49205 to 172.16.50.100:1812 length 163
(0)   NAS-IP-Address = 172.16.1.10
(0)   NAS-Port-Type = Ethernet
(0)   NAS-Port = 2
(0)   User-Name = "28:80:xx:xx:xx:xx"  
(0)   User-Password = "28:80:xx:xx:xx:xx"  
(0)   Service-Type = Call-Check
(0)   Acct-Session-Id = "05000013"  
(0)   Called-Station-Id = "C4-C6-xx-xx-xx-xx"  
(0)   Calling-Station-Id = "28-80-23-xx-xx-xx"  
(0)   Message-Authenticator = 0x75654636ca4adc9efe3bb0e89abaa8fd
(0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(0)   authorize {
(0)     policy filter_username {
(0)       if (&User-Name) {
(0)       if (&User-Name)  -> TRUE
(0)       if (&User-Name)  {
(0)         if (&User-Name =~ / /) {
(0)         if (&User-Name =~ / /)  -> FALSE
(0)         if (&User-Name =~ /@[^@]*@/ ) {
(0)         if (&User-Name =~ /@[^@]*@/ )  -> FALSE
(0)         if (&User-Name =~ /\.\./ ) {
(0)         if (&User-Name =~ /\.\./ )  -> FALSE
(0)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))  {
(0)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))   -> FALSE
(0)         if (&User-Name =~ /\.$/)  {
(0)         if (&User-Name =~ /\.$/)   -> FALSE
(0)         if (&User-Name =~ /@\./)  {
(0)         if (&User-Name =~ /@\./)   -> FALSE
(0)       } # if (&User-Name)  = notfound
(0)     } # policy filter_username = notfound
(0)     [preprocess] = ok
(0)     [chap] = noop
(0)     [mschap] = noop
(0)     [digest] = noop
(0) suffix: Checking for suffix after "@"  
(0) suffix: No '@' in User-Name = "28:80:xx:xx:xx:xx", looking up realm NULL  
(0) suffix: No such realm "NULL"  
(0)     [suffix] = noop
(0) eap: No EAP-Message, not doing EAP
(0)     [eap] = noop
(0)     [files] = noop
(0)     [expiration] = noop
(0)     [logintime] = noop
(0) pap: WARNING: No "known good" password found for the user.  Not setting Auth-Type  
(0) pap: WARNING: Authentication will fail unless a "known good" password is available  
(0)     [pap] = noop
(0)   } # authorize = ok
(0) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject
(0) Failed to authenticate the user
(0) Using Post-Auth-Type Reject
(0) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(0)   Post-Auth-Type REJECT {
(0) attr_filter.access_reject: EXPAND %{User-Name}
(0) attr_filter.access_reject:    --> 28:80:xx:xx:xx:xx
(0) attr_filter.access_reject: Matched entry DEFAULT at line 11
(0)     [attr_filter.access_reject] = updated
(0)     [eap] = noop
(0)     policy remove_reply_message_if_eap {
(0)       if (&reply:EAP-Message && &reply:Reply-Message) {
(0)       if (&reply:EAP-Message && &reply:Reply-Message)  -> FALSE
(0)       else {
(0)         [noop] = noop
(0)       } # else = noop
(0)     } # policy remove_reply_message_if_eap = noop
(0)   } # Post-Auth-Type REJECT = updated
(0) Delaying response for 1.000000 seconds
Waking up in 0.3 seconds.
Waking up in 0.6 seconds.
(0) Sending delayed response
(0) Sent Access-Reject Id 12 from 172.16.50.100:1812 to 172.16.1.10:49205 length 20
Waking up in 3.9 seconds.
(0) Cleaning up request packet ID 12 with timestamp +20
Ready to process requests

Im Netz ist auch nichts zu finden

Ja nee, hier steht's

https://wiki.freeradius.org/guide/mac-auth#mac-auth-or-802-1x_raddb-site ...

Hi,
sorry, ich raffe es nicht mehr! Was muss ich jetzt ändern?

ok.
noch mal, was ich verstanden habe:

Mein MAC Format wird so übertragen:

00-11-22-33-44-55

Ich lege eine policy.conf-Datei mit diesem Inhalt an im selben Ordner, wo auch die users-Datei ist

#
# Rewrite called station id attribute into a standard format.
#
rewrite_calling_station_id {
        if (Calling-Station-Id =~ /([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:.]?([0-9a-f]{2})[-:]?([0-9a-f]{2})[-:.]?([0-9a-f]{2})[-:]?([0-9a-f]{2})/i) {
                update request {
                        Calling-Station-Id := "%{tolower:%{1}-%{2}-%{3}-%{4}-%{5}-%{6}}"  
                }
        }
        else {
                noop
        }
}

Danach ergänze ich die Datei "/mods-available/files" um diesen Inhalt:

files authorized_macs {
        # The default key attribute to use for matches.  The content
        # of this attribute is used to match the "name" of the 
        # entry.
        key = "%{Calling-Station-ID}"  

        usersfile = ${confdir}/authorized_macs

        #  If you want to use the old Cistron 'users' file 
        #  with FreeRADIUS, you should change the next line
        #  to 'compat = cistron'.  You can the copy your 'users' 
        #  file from Cistron.
        compat = no
}

Erstellen der Datei "authorized_macs" mit dem Format der MAC-Adressen, die gültig sind.:

00-11-22-33-44-55
        Reply-Message = "Device with MAC Address %{Calling-Station-Id} authorized  for network access"  

...dann der Aufruf der Prozedur in diese Datei einbauen: "sites-available/default"

authorize {
        preprocess

        # If cleaning up the Calling-Station-Id...
        rewrite_calling_station_id

        # Now check against the authorized_macs file
        authorized_macs

        if (!ok) {
                # No match was found, so reject
                reject
        }
        else {
                # The MAC address was found, so update Auth-Type
                # to accept this auth.
                update control {
                        Auth-Type := Accept
                }
        }
}

...ich verstehe allerdings nicht, warum ich konvertieren muss, wenn das Format der Calling-Station identisch zum User ist.

Dann musst du auch nix konvertieren ! Dann kann alles so bleiben wi es ist...
Just for Info was der Debugger sagt wenn ein Reject kommt. (Output der Übersich halber gekürzt)

Listening on auth address 127.0.0.1 port 18120 bound to server inner-tunnel
Listening on proxy address * port 38562
Listening on proxy address :: port 52923
Ready to process requests
(0) Received Access-Request Id 0 from 192.168.1.165:52000 to 192.168.1.166:1812 length 44
(0)   User-Name = "user"
(0)   User-Password = "test123"
(0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(0)   authorize {
(0)     policy filter_username {
(0)       if (&User-Name) {
......
(0)       } # if (&User-Name)  = notfound
(0)     } # policy filter_username = notfound
(0)     [preprocess] = ok
(0)     [chap] = noop
(0)     [mschap] = noop
(0)     [digest] = noop
(0) suffix: Checking for suffix after "@"
(0) suffix: No '@' in User-Name = "user", looking up realm NULL
......
(0) pap: WARNING: No "known good" password found for the user.  Not setting Auth-Type
(0) pap: WARNING: Authentication will fail unless a "known good" password is available
(0)     [pap] = noop
(0)   } # authorize = ok
(0) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject
(0) Failed to authenticate the user
(0) Using Post-Auth-Type Reject 

Er spuckt da also schon was aus...

...ja, kann sein, das ich den Wald vor Bäumen nicht sehe, aber was heisst das jetzt?

Nee, ging nur ums Prinzip weil du weiter oben sagtest der Reject wird nicht angezeigt im Debug Mode.
Ist also nur ne kleine Rand Info...kannst du wieder vergessen.

Wir können mit deiner Konfig weitermachen. Oder rennt das jetzt alles ??

Hi aqui,
nee, es bleibt dabei! Der Auszug aus dem Debug ist immer noch aktuell. Ich habe jetzt auch alle MAC-Formate durchprobiert. Und du siehst ja am Auszug, dass das Format von Called Station gleich dem der Calling Station ist (Line 9 u. 10).

Was auch immer das heißt!

45. (0) pap: WARNING: No "known good" password found for the user.  Not setting Auth-Type  
46. (0) pap: WARNING: Authentication will fail unless a "known good" password is available  

..und ich habe keine Ahnung mehr, was ich am FreeRadius noch ändern kann. Über den Cisco Radius läuft es ja...aber damit krieg ich ja beim Mikrotik wieder das Problem, das der nicht mit dem Cisco sprechen will! Daher war der Plan den FreeRadius zu nehmen.

Das ist alles ein ganz großer Ka..!

Bis morgen,
Christian

Nachtrag:
ich habe noch mal über die Sache nachgedacht. Und was mich auffällt: Das Passwort auf dem Cisco wird verschlüsselt. Auf dem FeeRadius wird es aber als Cleartext-Password verwendet. Vielleicht ist das der Grund. Aber ich habe auch schon diese Option verwendet und dann startet der Server nicht mehr!

78:00:9E:xx:xx:xx Auth-Type := EAP, User-Password:= "78:00:xx:xx:xx:xx"

Habe das hier noch gefunden, aber es gibt offenbar keine Lösung:
Issue with MAC-Aith

Das ist alles ein ganz großer Ka..!

Nee nee, bleib mal ruhig. Das bekommt man schon zum Fliegen. Tasse Kaffee und strategisch vorgehen.
Du kommst jetzt nicht umhin einmal genau nachzusehen WAS der MT da al Authorisierung schickt an den Radius.
Cleartext, EAP, PAP usw.
Entweder MT Doku wälzen oder ganz einfach den Wirehark mal bemühen.
Wenn du ein GUI auf dem RasPi hast kannst du mit apt install wireshark ihn auch gleich da installieren und dann nachsehen was der MT so an ihn schickt.
Ich checke das hier mit meinem MT auch mal.... Hab zwar nur einen hAP ac lite aber das sollte da völlig identisch sein.
Das der Server nicht mehr startet liegt sicher daran das die Mac nicht mit EAP kombiniert werden kann. Ich sehe mir da mal an...
Das es geht steht ja außer Frage...siehe hier:
https://mum.mikrotik.com/presentations/CN16/presentation_3107_1461137144 ...

Hi,
MT habe ich noch gar nicht am Start. Es geht hier in erster Linie erst mal um den Cisco SG350x-48P. Der soll doch auch den FreeRadius nutzen. MT ist Schritt 2.

Christian

NACHTRAG:
Hier steht was vom Passwort:

Cisco Anleitung

Encrypted — A key is used to encrypt communications by using MD5. To use encryption, enter the key in encrypted form.
Plaintext — If you do not have an encrypted key string (from another device), enter the key string in plaintext mode. The encrypted key string is generated and displayed.

also m.E. muss das Kennwort für den FreeRadius dann auch verschlüsselt werden.

MT habe ich noch gar nicht am Start. Es geht hier in erster Linie erst mal um den Cisco SG350x-48P

Sorry, stimmt, bin etwas zu schnell vorgeprescht...

also m.E. muss das Kennwort für den FreeRadius dann auch verschlüsselt werden.

Das macht der Radius Server selber. Im Authenticator, sprich den Switch reicht es wenn man was Passwort dann im Plaintext angibt !
Würden die sich nicht verstehen würde der Radius Server ja auch gundsätzlich keinen Auth Request des Authenticators (Switch) annehmen.
Oder meintest du jetzt das Kennwort des Clients, sprich zu authentisierenden Endgerätes bzw. seiner Mac Adresse am Switchport ?

Hi,
ich meine schon das Kennwort was in der User-Datei am FreeRadius steht. Aber es stimmt, der Server kann es selber umrechen. Ich habe mal den verschlüsselten String als Kennwort dort eingetragen. Im Debug-Mode löst er es dann wieder auf! Also daran liegt es wirklich nicht!

Ich habe jetzt auch mal anstatt der MAC-Adresse einen normalen TExt gebommen, so wie es in der o.a. Anleitung mit dem internen Radius Server steht! Auch das klappt nicht.!

Ich finde auch Folgendes seltsam:

Wenn ich hier das Kennwort auf "Use Default" stelle, dann klappt das sogar mit dem internen Cisco Radius Server nicht mehr!
Ich erwarte bei dieser Einstellung, dass als Passwort die MAC-Adresse des Client genommen wird, da der Benutzername in der Tabelle ja die MAC-Adresse ist. Aber selbst da sagt der interne Cisco Radius Server, dass das KEnnwort nicht stimmt. Nimmt man, wie in der Anleitung beschrieben, "example" als Kennwort, klappt das.

Der FreeRadius empfängt aber bei "UseDefault" die MAc-Adresse des Users, wie Du in den Debug-Files sehen kannst. Also prinzipiell sendet der Switch auch die MAC-Adresse, kann aber offenbar selber nicht mit dem Kennwort umgehen.

Es ist schon alles sehr seltsam, oder ich peil es einfach nicht!

Danke Dir,
Christian

Vielleicht hilft dir mal eine Beispielkonfig mit einem Ruckus ICX 7150 Switch und mit einem Cisco Catalyst 2960 da ich leider aktuell keinen SG3xx zur Hand habe.
Alle Debug Outputs und Show Kommandos mal eingeschlossen um das Verhalten zu dokumentieren.
Thread wird dadurch etwas länger aber vielleicht hilft es...?!
Radius Server ist ein FreeRadius 3.0 auf einem Orange Pi Zero mit Debian Stretch in einer simplen Standard Konfig, die wie folgt aussieht.
Radius Server IP = 192.168.7.166
Ruckus ICX Switch Mgmt.IP = 192.168.7.181 Mac Auth Ports = 1/1/1 bis 1/1/4 (Testport: eth 1/1/1)
Cisco Catalyst Switch Mgmt.IP = 192.168.7.8 Mac Auth Ports = fa 0/1 (Testport: fa 0/1)
Test findet der Einfachheit halber nur im 192.168.7.0er Netz statt.

FreeRadius Client Konfig Datei:

#
client server-network {
        ipaddr          = 192.168.7.0/24
        secret          = testing123
}
client lab-network {
        ipaddr          = 10.0.0.0/8
        secret          = testing123
} 

FreeRadius User Konfig Datei:

#       Laptop LAN
00235A3F0122    Cleartext-Password := "00235A3F0122"  
                Tunnel-Type = 13,
                Tunnel-Medium-Type = 6,
                Tunnel-Private-Group-Id = 10
#       Notebook LAN
002185dd065c    Cleartext-Password := "002185dd065c"  
                Tunnel-Type = 13,
                Tunnel-Medium-Type = 6,
                Tunnel-Private-Group-Id = 10 

1.) Ruckus ICX Switch Konfig (MacAuth an Port 1 bis 4):

ICX7150-Switch#sh run
!
spanning-tree single
!
vlan 1 name DEFAULT-VLAN by port
spanning-tree
management-vlan
default-gateway 192.168.7.254 1 dynamic
!
vlan 10 name Test10 by port
tagged ethe 1/2/1
spanning-tree
!
vlan 20 name Test20 by port
tagged ethe 1/2/1
spanning-tree
!
vlan 30 name Test30 by port
tagged ethe 1/2/1
spanning-tree
!
spanning-tree single 802-1w
!
authentication
auth-order mac-auth dot1x
auth-default-vlan 30
mac-authentication enable
mac-authentication enable ethe 1/1/1 to 1/1/4
!
aaa authentication dot1x default radius
ip address 192.168.7.181 255.255.255.0
!
radius-server host 192.168.7.166 auth-port 1812 acct-port 1813 authentication-only key testing123 dot1x mac-auth
!
ntp server de.pool.ntp.org
!
end

1.1) FreeRadius Debug Meldungen Ruckus ICX (gekürzt):

Ready to process requests
(0) Received Access-Request Id 16 from 192.168.7.181:1065 to 192.168.7.166:1812 length 128
(0)   User-Name = "002185dd065c"
(0)   User-Password = "002185dd065c"
(0)   Service-Type = Call-Check
(0)   Framed-MTU = 1500
(0)   NAS-IP-Address = 192.168.7.181
(0)   NAS-Port-Type = Ethernet
(0)   NAS-Port = 1
(0)   NAS-Port-Id = "1/1/1"
(0)   NAS-Identifier = "ICX7150-Switch"
(0)   Calling-Station-Id = "00-21-85-DD-06-5C"
(0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(0) files: users: Matched entry 002185dd065c at line 33
(0)     [files] = ok
(0)     [expiration] = noop
(0)     [logintime] = noop
(0)     [pap] = updated
(0)   } # authorize = updated
(0) Found Auth-Type = PAP
(0) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(0)   Auth-Type PAP {
(0) pap: Login attempt with password
(0) pap: Comparing with "known good" Cleartext-Password
(0) pap: User authenticated successfully
(0)     [pap] = ok
(0)   } # Auth-Type PAP = ok

(0) Sent Access-Accept Id 16 from 192.168.7.166:1812 to 192.168.7.181:1065 length 0
(0)   Tunnel-Type = VLAN
(0)   Tunnel-Medium-Type = IEEE-802
(0)   Tunnel-Private-Group-Id = "10"
(0) Finished request
Waking up in 4.9 seconds.
(0) Cleaning up request packet ID 16 with timestamp +23
Ready to process requests 

1.2) Log Messages Ruckus ICX Switch:

ICX7150-Switch#sh logg
Syslog logging: enabled ( 0 messages dropped, 7 flushes, 0 overruns)

Dynamic Log Buffer (4000 lines):
Oct  6 13:48:53:N:MAC Authentication succeeded for [0021.85dd.065c 10] on port 1/1/1
Oct  6 13:48:53:N:FLEXAUTH: Port 1/1/1 is deleted from Auth-Default Vlan 30 as Mac-Vlan member
Oct  6 13:48:53:N:FLEXAUTH: Port 1/1/1 is added into Dynamic Vlan 10 as Mac-Vlan member
Oct  6 13:48:53:N:MACAUTH: Port 1/1/1 Mac 0021.85dd.065c - received AAA-ACCEPT
Oct  6 13:48:53:C:MACAUTH: RADIUS server 192.168.7.166 Accepted for 0021.85dd.065c with (U:10 )
Oct  6 13:48:53:N:MACAUTH: port 1/1/1 mac 0021.85dd.065c vlan 30: Session is created
Oct  6 13:48:49:I:System: Interface ethernet 1/1/1, state up
ICX7150-Switch#

ICX7150-Switch#sh mac-authentication sessions all
-----------------------------------------------------------------------------------
Port    MAC               IP(v4/v6)            VLAN  Auth      ACL    Session   Age
        Addr              Addr                       State            Time
-----------------------------------------------------------------------------------
1/1/1   0021.85dd.065c    N/A                  10    Yes       None   43        Ena

ICX7150-Switch#sh mac-authentication sessions det eth 1/1/1
MAC-Auth Session Info (Port 1/1/1, MAC 0021.85dd.065c) :
    State                : Permitted             VLAN Mode            : Single
    VLAN Type            : Radius-VLAN           VLAN                 : 10
    Voice VLAN           : 0                     PVID                 : 10
    Tagged VLANs         :
    User Name            : 0021.85dd.065c
    Session Time         : 58                    Reauth Time          : 0
    Idle Timeout         : 120                   Session Timeout      : 0
    Acct session ID      : 0                     PCE Index            : 1
    Master Session       : Yes                   Age                  : Enabled
    Auth Filter Applied  : No                    Tagged               : No
    VLAN Add Req State   : Complete              VLAN Del Req State   : Init
    Filter Add Req State : Complete              Filter Del Req State : Init
    Stale                : No                    Delete Pending       : No
    802.1X Enabled       : No                    802.1X Control       : No
    V4 ACL Applied       : No                    V6 ACL Applied       : No
    V4 IN ACL (Session)  :                       V4 OUT ACL (Session) :
    V6 IN ACL (Session)  :                       V6 OUT ACL (Session) :
    Client Voice Phone   : No                    Client Wireless AP   : No
ICX7150-Switch# 

Hier deutlich zu sehen wie die dynamische VLAN Konfig übernommen wird.

is added into Dynamic Vlan 10 as Mac-Vlan member

RADIUS server 192.168.7.166 Accepted for 0021.85dd.065c with (U:10 ) (U=Untagged)

2.) Cisco Catalyst 2960 Konfig (AuthPort 0/1):

aaa new-model
!
aaa group server radius test
server name freeradius
!
aaa authentication dot1x default group test
aaa authorization network default group test
!
dot1x system-auth-control
!
interface FastEthernet0/1
description Mac Auth. Testport
switchport mode access
authentication order mab dot1x
authentication port-control auto
mab
dot1x pae authenticator
spanning-tree portfast
!
interface Vlan1
ip address 192.168.7.8 255.255.255.0
!
ip radius source-interface Vlan1
!
radius server freeradius
address ipv4 192.168.7.166 auth-port 1812 acct-port 1813
key testing123
!
ntp server de.pool.ntp.org
end

2.1) FreeRadius Debug Meldungen Cisco Catalyst (gekürzt):

Ready to process requests

(0) Received Access-Request Id 2 from 192.168.7.8:1645 to 192.168.7.166:1812 length 157
(0)   User-Name = "002185dd065c"
(0)   User-Password = "002185dd065c"
(0)   Service-Type = Call-Check
(0)   Framed-MTU = 1500
(0)   Called-Station-Id = "00-17-5A-99-FA-01"
(0)   Calling-Station-Id = "00-21-85-DD-06-5C"
(0)   Message-Authenticator = 0x6aa89ea78a6c5b67fb9c08f44c4354bf
(0)   NAS-Port-Type = Ethernet
(0)   NAS-Port = 50001
(0)   NAS-Port-Id = "FastEthernet0/1"
(0)   NAS-IP-Address = 192.168.7.8
(0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(0) files: users: Matched entry 002185dd065c at line 33
(0)     [files] = ok
(0)     [expiration] = noop
(0)     [logintime] = noop
(0)     [pap] = updated
(0)   } # authorize = updated
(0) Found Auth-Type = PAP
(0) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(0)   Auth-Type PAP {
(0) pap: Login attempt with password
(0) pap: Comparing with "known good" Cleartext-Password
(0) pap: User authenticated successfully
(0)     [pap] = ok
(0)   } # Auth-Type PAP = ok

(0) Sent Access-Accept Id 2 from 192.168.7.166:1812 to 192.168.7.8:1645 length 0
(0)   Tunnel-Type = VLAN
(0)   Tunnel-Medium-Type = IEEE-802
(0)   Tunnel-Private-Group-Id = "10"
(0) Finished request
Waking up in 4.9 seconds.
(0) Cleaning up request packet ID 2 with timestamp +2592
Ready to process requests 

2.2) Log Messages und show Kommandos Cisco Catalyst 2960 Switch:
Hier kannst du sehen das VOR der Port Authentisierung das VLAN nicht zugewiesen ist (Default VLAN). Nach der Port Authentisierung der Port im VLAN 10 liegt.

Cat2960#sh vlan brie

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/7, Fa0/8, Fa0/9
                                                Fa0/10, Fa0/19, Fa0/20, Fa0/21
                                                Fa0/23, Fa0/24, Gi0/1, Gi0/2
10   VLAN-10                          active
11   LabNetz                          active    Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18
20   VLAN-20                          active    Fa0/6, Fa0/11, Fa0/12
30   VLAN-30                          active
Cat2960#
Oct  6 17:43:44: %AUTHMGR-5-START: Starting 'mab' for client (0021.85dd.065c) on Interface Fa0/1 AuditSessionID C0A80708000000240062C1B1
Oct  6 17:43:44: %MAB-5-SUCCESS: Authentication successful for client (0021.85dd.065c) on Interface Fa0/1 AuditSessionID C0A80708000000240062C1B1
Oct  6 17:43:44: %AUTHMGR-7-RESULT: Authentication result 'success' from 'mab' for client (0021.85dd.065c) on Interface Fa0/1 AuditSessionID C0A80708000000240062C1B1
Oct  6 17:43:44: %AUTHMGR-5-VLANASSIGN: VLAN 10 assigned to Interface Fa0/1 AuditSessionID C0A80708000000240062C1B1
Oct  6 17:43:44: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (0021.85dd.065c) on Interface Fa0/1 AuditSessionID C0A80708000000240062C1B1
Oct  6 17:43:46: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
Oct  6 17:43:47: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
Cat2960#sh vlan brie

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/2, Fa0/3, Fa0/4, Fa0/5
                                                Fa0/7, Fa0/8, Fa0/9, Fa0/10
                                                Fa0/19, Fa0/20, Fa0/21, Fa0/23
                                                Fa0/24, Gi0/1, Gi0/2
10   VLAN-10                          active    Fa0/1
11   LabNetz                          active    Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                Fa0/17, Fa0/18
20   VLAN-20                          active    Fa0/6, Fa0/11, Fa0/12
30   VLAN-30                          active
Cat2960# 

Letztlich kannst du also sehen das die FreeRadius Standard Konfig der Mac Authentisierung mit dynamischer VLAN Zuweisung fehlerfrei für diese 2 Hersteller auf unterschiedlicher HW rennt.
Übrigens desgleichen auf einem Mikrotik CRS Switch und einem HP Procurve. Das extra zu posten hier hätte den Thread noch länger gemacht. Musst du also mal so glauben.

Achtung!: bei dynamischen VLANs mit dem OPNsense FreeRadius Plugin:
OPNSense FreeRadius Server-MAC Authentication-dynamische VLAN Zuweisung

Als Fazit kann man also sagen das diese FreeRadius Konfig wasserdicht und universell ist für alle Hersteller die sich Standard konform verhalten.
Sie sollte deshalb gerade auch auf einem SG3xx ebenso fehlerfrei laufen da sie es auf einen Cisco Catalyst ja ebenso macht.
https://www.cisco.com/c/en/us/support/docs/smb/switches/cisco-350-series ...
Hope this helps...?!

Hi aqui,
ich danke Dir für Deinen Einsatz. Ich werde das morgen mal durchspielen...heute schaffe ich das nicht mehr!
Ich habe allerdings herausgefunden, dass die Fehlermeldung auf einen falschen Benutzernamen hindeutet und nicht, wie vorher angenommen, auf ein falsches Passwort. Das Steht in Kapitel 5 der FreeRadius-Doku. Ich weiß aber momentan nicht, was an meinem Benutzernamen falsch ist...

Bis dann,
Christian

Du kannst ja oben an den FreeRadius Debug Messages genau sehen in welchem Format die Usernamen und Passwörter vom Switch kommen:

User-Name = "002185dd065c"

User-Password = "002185dd065c"

Exakt so sollten sie dann natürlich auch in der users.conf Datei des FreeRadius stehen ! Achtung ! Der FreeRadius unterscheidet hier wie andere Radius Server auch genau nach Groß- und Kleinschrift. Die Namen und Passwörter sollten also schon genau mit dem übereinstimmen was der Authenticator (Switch) schickt und man im Debug Output sieht !
Oben kannst du das sehen am Eitrag des funktionierenden "Notebooks".
Der Mac Eintrag vom "Laptop" wäre falsch, da Großschrift und eine Authentisierung würde folglich scheitern ! Deshalb ist mal bewusst ein richtiger und falscher Eintrag in der Users Datei.
Würde man aber auch sofort mit einem Reject quittiert bekommen im Debug Output !

Auf die Übermittling des Formates von Username und Passwort (Client Mac Adressen) hast du wenig bis keinen Einfluss, da das Firmware bedingt ist. Manche Switches haben ein Konfig Kommando wo man das Mac Format der Radius Requests mit ":" oder "-" oder ganz ohne (wie oben) customizen kann. Bei denen die das nicht haben musst du mit dem Format leben oder es innerhalb des Radius Servers durch dessen Konfig anpassen. Das ist aber einzig nur dann erforderlich wenn man ein gemischtes Hersteller Umfeld hat wo es zufällig unterschiedlich ist.
Oben bei z.B. einem gemischten Cisco / Ruckus Umfeld müsste man das nicht, da beide, wie du selber sehen kannst, identische Formate benutzen.
Ganz sicher ist das auch bei Ciscos SoHo Serie so, denn man kann davon ausgehen das Cisco KEIN unterschiedliches Format zwischen seinen SoHo Produkten und Catalyst Produkten nutzt. Gerade auch weil die mit ihrer ISE Lösung einen eigenen Radius Server verkaufen der alle Produkte in deren Portfolio authentisiert via Radius.
Bei HP und Mikrotik ist es übrigens identisch, keine Trennzeichen. Andere Hersteller orientieren sich sehr oft an dem was der "Martktführer" macht und folgen dem.

Hi aqui und Guten Morgen,
so, es läuft jetzt! Ich habe den RadiusServer noch mal ganz von Anfang an neu aufgesetzt und dann nur die client.conf und die users angepasst. Wahrscheinlich ist im Laufe der ganzen Versuche irgendetwas durcheinandergraten.

Ich kann Dir aber nicht sagen, wo der Fehler nun war......

Ich ziehe jetzt nen Image vom raspberry und dann mache ich mich an das Thema mysql, bevor ich den Mikrotik angehe.

Nochmal Besten Dank bis hierher und ich melde mich...gaaanz sicher!

Christian

so, es läuft jetzt!

👏 Das war ja eine schwere Geburt !

Aber klasse wenn es nun klappt wie es soll. Manchmal hilft eben auch der klassische Microsoft "Trick" mit alles plattmachen und neu... !

Die Integration mit MySQL oder MariaDB würde mich auch sehr interessieren. Ggf. könnte man das hiesige Tutorial dazu noch erweitern oder anpassen. Zumal man dafür dann sicher ein einfaches PHP GUI aufsetzen kann. Die Spielwiese dazu ist ja groß...

Moin, Moin,
da bin ich wieder!

Die SQL-DB für den FreeRadius läuft auf der Qnap. Mit dem Windows-Tool "HeidiSQL" kann ich die Tabellen auch befüllen.
Ich habe dann versucht den Radius-Server anzubinden aber on man es glaubt oder nicht, es kommt wieder der olle Fehler von gestern. ICh denke, er findet die DB nicht. Die Connection ist aber technisch da und auch die Rechte für den User "radius" sind ok. Schließlich kann das Windows Tool ja zugreifen.

Hier mal die Antwort vom RadiusServer, wenn ich mit dem TestTool versuche darauf zuzugreifen: Ich kann hieraus nicht erkennen, ob er die DB nicht findet, oder ob es einen anderen Fehler gibt....auf jeden fall findet er keinen User "Christian", der aber definitiv in der DB eingetragen ist.

Ready to process requests
(0) Received Access-Request Id 0 from 172.16.10.20:53894 to 172.16.50.100:1812 length 49
(0)   User-Name = "Christian"  
(0)   User-Password = "Schetti"  
(0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(0)   authorize {
(0)     policy filter_username {
(0)       if (&User-Name) {
(0)       if (&User-Name)  -> TRUE
(0)       if (&User-Name)  {
(0)         if (&User-Name =~ / /) {
(0)         if (&User-Name =~ / /)  -> FALSE
(0)         if (&User-Name =~ /@[^@]*@/ ) {
(0)         if (&User-Name =~ /@[^@]*@/ )  -> FALSE
(0)         if (&User-Name =~ /\.\./ ) {
(0)         if (&User-Name =~ /\.\./ )  -> FALSE
(0)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))  {
(0)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))   -> FALSE
(0)         if (&User-Name =~ /\.$/)  {
(0)         if (&User-Name =~ /\.$/)   -> FALSE
(0)         if (&User-Name =~ /@\./)  {
(0)         if (&User-Name =~ /@\./)   -> FALSE
(0)       } # if (&User-Name)  = notfound
(0)     } # policy filter_username = notfound
(0)     [preprocess] = ok
(0)     [chap] = noop
(0)     [mschap] = noop
(0)     [digest] = noop
(0) suffix: Checking for suffix after "@"  
(0) suffix: No '@' in User-Name = "Christian", looking up realm NULL  
(0) suffix: No such realm "NULL"  
(0)     [suffix] = noop
(0) eap: No EAP-Message, not doing EAP
(0)     [eap] = noop
(0)     [files] = noop
(0) sql: EXPAND %{User-Name}
(0) sql:    --> Christian
(0) sql: SQL-User-Name set to 'Christian'  
rlm_sql (sql): Reserved connection (0)
(0) sql: EXPAND SELECT id, username, attribute, value, op FROM radcheck WHERE username = '%{SQL-User-Name}' ORDER BY id  
(0) sql:    --> SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'Christian' ORDER BY id  
(0) sql: Executing select query: SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'Christian' ORDER BY id  
(0) sql: EXPAND SELECT groupname FROM radusergroup WHERE username = '%{SQL-User-Name}' ORDER BY priority  
(0) sql:    --> SELECT groupname FROM radusergroup WHERE username = 'Christian' ORDER BY priority  
(0) sql: Executing select query: SELECT groupname FROM radusergroup WHERE username = 'Christian' ORDER BY priority  
(0) sql: User not found in any groups
rlm_sql (sql): Released connection (0)
Need 5 more connections to reach 10 spares
rlm_sql (sql): Opening additional connection (5), 1 of 27 pending slots used
(0)     [sql] = notfound
(0)     [expiration] = noop
(0)     [logintime] = noop
(0) pap: WARNING: No "known good" password found for the user.  Not setting Auth-Type  
(0) pap: WARNING: Authentication will fail unless a "known good" password is available  
(0)     [pap] = noop
(0)   } # authorize = ok
(0) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject
(0) Failed to authenticate the user
(0) Using Post-Auth-Type Reject
(0) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(0)   Post-Auth-Type REJECT {
(0) sql: EXPAND .query
(0) sql:    --> .query
(0) sql: Using query template 'query'  
rlm_sql (sql): Reserved connection (1)
(0) sql: EXPAND %{User-Name}
(0) sql:    --> Christian
(0) sql: SQL-User-Name set to 'Christian'  
(0) sql: EXPAND INSERT INTO radpostauth (username, pass, reply, authdate) VALUES ( '%{SQL-User-Name}', '%{%{User-Password}:-%{Chap-Password}}', '%{reply:Packet-Type}', '%S')  
(0) sql:    --> INSERT INTO radpostauth (username, pass, reply, authdate) VALUES ( 'Christian', 'Schetti', 'Access-Reject', '2019-10-07 20:10:04')  
(0) sql: Executing query: INSERT INTO radpostauth (username, pass, reply, authdate) VALUES ( 'Christian', 'Schetti', 'Access-Reject', '2019-10-07 20:10:04')  
(0) sql: SQL query returned: success
(0) sql: 1 record(s) updated
rlm_sql (sql): Released connection (1)
(0)     [sql] = ok
(0) attr_filter.access_reject: EXPAND %{User-Name}
(0) attr_filter.access_reject:    --> Christian
(0) attr_filter.access_reject: Matched entry DEFAULT at line 11
(0)     [attr_filter.access_reject] = updated
(0)     [eap] = noop
(0)     policy remove_reply_message_if_eap {
(0)       if (&reply:EAP-Message && &reply:Reply-Message) {
(0)       if (&reply:EAP-Message && &reply:Reply-Message)  -> FALSE
(0)       else {
(0)         [noop] = noop
(0)       } # else = noop
(0)     } # policy remove_reply_message_if_eap = noop
(0)   } # Post-Auth-Type REJECT = updated
(0) Delaying response for 1.000000 seconds
Waking up in 0.3 seconds.
Waking up in 0.6 seconds.
(0) Sending delayed response
(0) Sent Access-Reject Id 0 from 172.16.50.100:1812 to 172.16.10.20:53894 length 20
Waking up in 3.9 seconds.
(0) Cleaning up request packet ID 0 with timestamp +24
Ready to process requests

Ideen?
Danke und Gruß,
Christian

Tach auch!,
ich klopfe mir mal selber auf die Schulter, wenn das hier schon keiner macht

!
Bin ein Stück weiter. Der SQL-Dialekt war in der Datei "sql" falsch eingestellt. Der muss auf mysql stehen.
Zumindest wird der User jetzt authentifiziert.

...jetzt geht es weiter....

Christian

wenn das hier schon keiner macht

Du meinst die SQL Integration ? Und hier das hiesige Forum ?
Das war hier schon mal Thema und vor einiger Zeit hat hier auch al jemand ein PHP GUI dafür gepostet.
Mittlerweile gibt es ein fix und fertig Tutorial dafür das das Thema in 15 Minuten erledigt.
Freeradius Management mit WebGUI

Findet man aber auch im Internet, denn bei größeren Netzen wird keiner immer ASCII Text Dateien editieren wollen auf Dauer

Interessant wäre mal das Anlegen der Datenbank. OK mit phpmyadmin sicher nicht das Ding aber auch "zu Fuß" mal spannend. Und...wie man FreeRadius beibringt in die Datenbank zu sehen statt in die users.conf.
Tip: Besser deine Klarnamen oben anonymisieren wenn du hier postest

...jetzt geht es weiter....

Wir sind gespannt !!!

Hi aqui,
vielleicht kannste Dich noch an den Namen der GUI erinnern. Aktuell habe ich den MariaDB ODBC-Connector installiert und greife mit MS-Access auf die Tabellen zu. Mit Excel kann man nicht schreiben!

Das Anlegen der Datenbanken ist ganz easy. Wichtig ist, dass der Benutzer "radius" auch Zugriff von externen Hosts aus hat, sonst kann sich der RadiusServer auf dem Pi nicht mit der DB auf der qnap verbinden (access denied).
Deshalb habe ich hier das "@ %" genommen. Damit ist der User von jedem Host aus autorisiert. Ggf. kann man auch gezielt einen separaten Benutzer für den fernen RadiusServer definieren (z.B radius@raspberry), das habe ich nicht ausprobiert.

Das Tabellen-Schema wird mit dem Paket "freeradius-mysql" mitinstalliert und kann über phpadmin leicht eingespielt werden.
(/etc/freeradius/3.0/mods-config/sql/main/mysql).

# Datenbank anlegen
CREATE DATABASE radius;
#
# User anlegen
CREATE USER 'radius'@'%';  
SET PASSWORD FOR 'radius'@'%' = PASSWORD('geheim');  
#
# Leserechte vergeben
GRANT SELECT ON radius.* TO 'radius'@'%';  
#
# Schreibrechte gezielt vergeben
GRANT ALL on radius.radacct TO 'radius'@'%';  
GRANT ALL on radius.radpostauth TO 'radius'@'%';  
FLUSH PRIVILEGES;

Im Prinzip sind nur ein paar Handgriffe am FreeRadius Server vorzunehmen um ihm die SQL beizubringen.
Ganz grob mal hier, was ich aus der Erinnerung noch parat habe:

# /etc/freeradius/3.0/mods-available/sql
#
# Change driver = "rlm_sql_null" to driver = "rlm_sql_mysql"  
# Change dialect = "sqlite" to dialect = "mysql"  
# Uncomment server, port, login and password by removing # from the beginning of the line, 
# as well as changing password = "radpass" to password = "radiuspassword".  
# Uncomment the read_clients = yes line, by removing the # at the beginning of the line.
#
# Sym-Link für SQL anlegen
# cd mods-enabled
#
 
# SQL auskommentieren
#	
# sites-available/default:
# in the authorize{} section.
#
# sites-available/inner-tunnel:
# in "authorize {}" section  
# in "accounting{}" section (to tell FreeRADIUS to store accounting records in SQL as well.)  
# in "session{}" section (Simultaneous-Use detection!)  
# in " post-auth{}" section (to log all Authentication attempts to SQL)  

Was mir jetzt noch fehlt, ist in der DB, eine zus. Spalte in Tabelle radcheck, die das Endgerät etwas beschreibt, denn nur anhand der MAC-Adresse ist das später schlecht zu Identifizieren. Ich weiß nicht, wie FreeRadius reagiert, wenn ich da eine Spalte einfüge. Das wäre auszuprobieren.

Ebenfalls finde ich die Spaltennamen unglücklich, aber das Schema jetzt auch noch anzupassen....muss nicht sein, oder?

So, bis dahin mal ! Ich spiele etwas weiter, bevor ich alle meine MACs einhacke und den Cisco in Betrieb nehme!

Christian

P.S.
die Logon-Daten sind reine fiktive Daten. Das muss man nicht unkenntlich machen!

Aktuell habe ich den MariaDB ODBC-Connector installiert und greife mit MS-Access auf die Tabellen zu. Mit Excel kann man nicht schreiben!

Das ist ja auch mal eine coole Variante !

Ich verlinke das 802.1x / Mac Bypath Tutorial mal auf diesen Thread hier.

Das muss man nicht unkenntlich machen!

Christian Schetti auch ??

Zitat von @aqui:
Christian Schetti auch ??

Das sind fiktive Namen die ich produltiv nicht benute
yep!

Ein Schelm wer Böses dabei denkt !

...also wirklich!....

Hi aqui,
ich bin gerade dabei den Switch so nach und nach in Betrieb zu nehmen. Alle MAC-Adressen meiner Clients sind über Access auf den Radius registriert worden und es sieht ganz gut aus. Die qnap und die cAPs AC habe ich klassisch angebunden, und einen festen Port zugewiesen, ohne MAC-Auth.

Auf dem Cisco kann ich nun unter Authenticated Hosts, sehen, welcher Client sich mit welchem Port verbunden hat.

Gibt es irgendwie eine Möglichkeit, diese Liste in eine SQL DB zurückzuschreiben? Ich finde keine Möglichkeit, diese Daten vom Switch zu exportieren. Gibt es da Möglichkeiten?

Gruß,
Spartacus

Ich finde keine Möglichkeit, diese Daten vom Switch zu exportieren. Gibt es da Möglichkeiten?

So direkt sicher nicht.
Wenn dann vermutlich nur mit einem Expect oder Pearl oder anderem Script was über Telnet oder SSH die Daten extrahiert. Oder noch eleganter per SNMP vom Switch zieht und und sie dann in ein CSV Format konvertiert oder was auch immer damit macht.
Da ist dann wohl etwas Handarbeit angesagt.

Hallo,
ok. dann lassen wir das vorerst mal!

Allerdings habe ich hier noch ein Problem, was ich nicht in den Griff kriege.

Ich habe mein NAS mit LAG (Port 47+Port 48) angebunden und irgendwie habe ich da ein Security Problem. Nach kurzer Zeit ist die Qnap nicht mehr erreichbar und ich kriege an einem von beiden Ports angezeigt, dass das Gerät nicht autorisiert ist. auf LAG 2 wird aber überhaupt kein MAC-Auth gemacht. Kann man da irgendetwas erkennen, was hier falsch läuft?

Hier mal die Einstellungen:

Nach kurzer Zeit ist die Qnap nicht mehr erreichbar

So sieht das richtig aus:
QNAP:

Switch:

Damit rennt es fehlerlos !
Wenn der QNAP isoliert ist bedeutet das das er den LACP LAG nicht aufbauen konnte. Das ist aber entweder nach einem shut, no shut des LAGs oder der beide Switchports erledigt. Mindestens aber nach einem Reboot des NAS.
Das NAS sollte natürlich wie alle Server Ports auch IMMER aus der 802.1x Port Security rausgenommen werden. Das ist bei dir leider NICHT der Fall ! Vermutlich ist das der Grund der Fehlfunktion.
Port Security bzw. dyn. VLANs macht man aus gutem Grund niemals mit Server oder NAS Ports !
QNAP ist hier nicht ganz so stabil was den 802.3ad LACP Status anbetrifft. Mit den 2-3 letzten Firmware Updates ist das aber besser und stabiler geworden so das es nicht mehr auftritt.
Am Switch liegt es de facto nicht, denn der ist stabil auch mit anderen LACP LAGs zu weiteren an ihm angeschlossen Switches egal welcher Hersteller.
Das LACP Timeout sollte aber in jedem Falle auf "long" gesetzt sein !

Hallo aqui,
ich danke Dir! Irgendwie hat es nach einem Switch Reboot auch wieder geklappt. Werde Deine Konfiguration aber trotzdem mal mit meiner vergleichen. In meiner qnap ist IEEE802.3ad eingestellt, aber das "dynamic" fehlt hier! Sieht etwas anders aus, scheint aber das Gleiche zu sein.

Aber eine Sache noch!
Im Zuge der Umstellung auf den SG350x würde ich gerne mein Admin-LAN von DEFAULT VLAN1 auf VLAN99 umstellen aber ich trau mich nicht

!

Der SG200-26, die cAPs und das Routerboard laufen im Moment im VLAN1 (172.16.99.0/24). Das neue Management-VLAN heißt VLAN 99 und ist im RB3011 und im Trunk zu den Switches konfiguriert. Es ist überall verfügbar. Im SG350x habe ich unter IPv4 Mgmt. zusätzlich zum DEFAULT VLAN1 auch das VLAN99 konfiguriert und der SG350x zieht sich auch brav eine Adresse aus dem VLAN99 per DHCP. Das Web Interface ist auch unter VLAN99 erreichbar. Der SG200 soll vorerst im alten VLAN1 bleiben. Der SG200 wird dann später sowieso abgeschaltet.

Ich weiß jetzt aber nicht so richtig, was ich alles tun muss, um das RB3011 und die cAPs, die über den CAPSMAN verwaltet werden, in einem Rutsch von VLAN1 auf VLAN99 umzustellen. Reicht es hier aus, einfach die PVID unter Bridge von 1 auf 99 umzustellen und auf den cAPs das neue Subnetz einzurichten?

Ich will mein produktives Netz nicht lahmlegen, dann gibt es Haue von den Kids!

Was ist hier der Beste Weg und was muss ich noch beachten?

Danke
Christian

würde ich gerne mein Admin-LAN von DEFAULT VLAN1 auf VLAN99 umstellen aber ich trau mich nicht

Warum nicht ?!

Das neue Management-VLAN heißt VLAN 99 und ist im RB3011 und im Trunk zu den Switches konfiguriert.

Tagged oder untagged ??

um das RB3011 und die cAPs, die über den CAPSMAN verwaltet werden, in einem Rutsch von VLAN1 auf VLAN99 umzustellen

Umstellen musst du ja nix mehr. Du hast ja gerade gesagt das 99 liegt überall an. Dann gibst du dem 3011 in dem VLAN eine IP und gut iss. Ebenso bei den cAP ac. Wenn die alle erreichbar sind kannst du das vlan 1 killen darauf.
beide VLANs als Management VLANs auf dem Switch ist natürlich etwas widersprüchlich. Du willst ja nur via 99 managen und das nicht aufweichen durch einen Backdoor Zugriff..

Was ist hier der Beste Weg und was muss ich noch beachten?

Bringe beise Netze parallel zum Laufen so das Zugriff auf alles via 99 und 1 geht. Ist das der Fall löschst du 1 weg.
Nur Mut...

Hi,
ok. Danke für Deine Einschätzung! Ich werde das dann mal heute im Laufe des Tages angehen.

Die VLANs sind aktuell so konfiguriert:

Ich muss doch in den Bridge Einstellungen die PVID 1 durch die 99 ersetzten, oder nicht? Das ist mir noch nicht ganz klar!

Ach ja, der SG350x hängt über den sfp1 am VLAN99

Gruß,
Christian

Das IP Interface im VLAN 99 (vlan99) fehlt auf dem 3011er !!
So hast du keine IP Connectivity im VLAN 99 auf dem 3011.
Außerdem hängen die VLAN IP Interfaces auf dem Mikrotik immer Tagged an der Bridge. Auch das hast du falsch gemacht. (VLAN 1)
Siehe Mikrotik Switching Tutorial:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Lesen und verstehen...

Hi aqui,
bevor ich hier jetzt völlig verwirrt bin:
Das IP Interface ist eingerichtet, ich nehme an, Du meinst das hier!

Eine Adresse haben die Interfaces auch!

und der DHCP ist auch eingerichtet. Das hatte ich damals schon nach Deiner Anleitung durchgeführt.

Was genau meinst Du mit::

Außerdem hängen die VLAN IP Interfaces auf dem Mikrotik immer Tagged an der Bridge. Auch das hast du falsch gemacht. (VLAN 1)

Wenn ich meine Konfig mit der in Deinem Tut vergleiche: Heißt daß , das ich hier zwingend das VLAN selber noch als tagged mit aufnehmen muss?

und dass es bei mir für VLAN1 definitiv falsch konfiguriert ist?

Eigentlich läuft das so seit fast 1,5 Jahren auch ohne dass das VLAN selber als tagged angegeben ist!
Aber ich werde das dann abändern!

Und wenn ich das jetzt abgeändert habe, ist es dann korrekt, dass ich das neue Management VLAN 99, wie ich unten geschrieben habe, auf die Bridge legen muss, oder bleibt das DEFAULT-VLAN 1 auf der Bridge? Sorry, das habe ich noch nicht verstanden!

Christian.

Das IP Interface ist eingerichtet, ich nehme an, Du meinst das hier!

Oben fehlte aber das vlan99 IP Interface in der VLAN Brdige Defintion. Wenn du es nicht an die Bridge hängst kannst du es auf den tagged Trunks auch IP mässig nicht erreichen.

Du kannst es dann nur dediziert irgendwelchen Ports fest zuweisen. Wenn aber dein Management PC irgendwo an einem abgesetzten L2 VLAN Switch an einem Vlan 99 Port hängt ist's aus.

Das hatte ich damals schon nach Deiner Anleitung durchgeführt.

Das stimmt dann aber nicht. Wenn du das Tutorial genau durchliest wirst du sehen das jedes VLAN IP Interface immer tagged an der VLAN Bridge hängt.

Bei dir ist das nicht der Fall, jedenfalls nicht für VLAN 99.

Wenn ich meine Konfig mit der in Deinem Tut vergleiche: Heißt daß , das ich hier zwingend das VLAN selber noch als tagged mit aufnehmen muss?

Ja ! Ist ja auch logisch, denn sonst kannst du das VLAN Interface immer nur feste einem Port zuweisen. So hängst du es als L3 Interface global in das Layer 2 VLAN 99 ein. Andernfalls ist doch das VLAN Interface auf deinem 3011er Router gar nicht über tagged Trunks erreichbar. Der 3011er ist doch dein zentraler Router für alle VLANs.

Eigentlich läuft das so seit fast 1,5 Jahren auch ohne dass das VLAN selber als tagged angegeben ist!

Kann eigentlich nicht sein. Vermutlich zufällig deshalb, weil du das Management bis dato fest nur im Default VLAN 1 hattest und sich so alles "sieht".

ist es dann korrekt, dass ich das neue Management VLAN 99, wie ich unten geschrieben habe, auf die Bridge legen muss,

Wie alle VLAN Interfaces die auf den 3011er geroutet werden müssen. Oben ists ja mehrfach gesagt und auch im Tutorial so abgebildet. Hast du wohl überlesen.. ?

Ob du das Default VLAN 1 dann auf der Bridge und als VLAN IP behalten willst ist deine Entscheidung. Damit ist das VLAN 1 dann global erreichbar im Netz (Access Filterlisten jetzt mal unberücksichtigt.)
Wenn du das VLAN 1 isolieren willst das Default Ports da nicht rauskommen (Sicherheit) löschst du es überall auf den Uplink Ports weg und auch das IP Setting. Damit ist es dann isoliert und eine Kommunikation immer nur lokal am Gerät möglich. Das auch nur mit statischen IPs denn durch den Wegfall der VLAN IP fällt auch der DHCP Server weg. Vlan 1 ist damit unbrauchbar und isoliert und kann auf keine anderen Kompojenten in den anderen VLANs zugreifen. Das ist es ja was du erreichen willst, oder ?

Hi aqui,
ich bin heute offenbar eine schwere Geburt, denn so ganz habe ich es immer noch nicht verstanden!

Das mit den "tagged" VLANs auf der Bridge habe ich jetzt (glaub ich) verstanden. Ich habe es jetzt überall eingetragen . VLAN1 auf dem RB3011 mal außen vor, dass will ich später komplett entfernen.

Das Ganze sieht jetzt so aus:

Immer noch nicht ganz klar ist mir, wie ich mit dieser Einstellung umgehe.

Aktuell hängt sie auf PVID 1. Das steht doch für das DEFAULT VLAN, oder nicht? Muss das denn jetzt nicht auf 99 zeigen, damit sich die cAPS im CAPSMAN-Mode auch die Konfiguration aus dem Management-VLAN ziehen (sofern sie nicht eine statische Adresse aus diesem LAN kriegen)? Oder wie kriegen die CAPS es sonst mit, dass sie ins VLAN99 sollen?

Christian

Immer noch nicht ganz klar ist mir, wie ich mit dieser Einstellung umgehe.

Ethertype 0x8100 ist ganz normal. Das ist der Ethernet Frame Type den generell 802.1q getaggte Pakete nutzen:
https://en.wikipedia.org/wiki/EtherType#VLAN_tagging
Das kennzeichnet jeden tagged Frame. Default also.
PVID ist die VLAN ID in die untagged Pakete auf einem Tagged Trunk geforwardet werden. Siehe auch hier:
Warum gibt es PVID bei VLANs?
Das heisst alles was untagged an Tagged Uplinks rumschwirrt kommt in VLAN 1.

Muss das denn jetzt nicht auf 99 zeigen,

Das kannst du machen. Das bedeutet dann das alle untagged Pakete ohne VLAN ID dann immer in dein Management VLAN geforwardet werden. Ob du das willst...?!?

damit sich die cAPS im CAPSMAN-Mode auch die Konfiguration aus dem Management-VLAN ziehen

Ja, da hast du Recht. Das ist ein gewichtiger Grund wenn du "nackte" APs an einen Switchport hängst. Die senden unkonfiguriert ihre Capsman Pakete ja untagged aus, normal also VLAN 1. Sie kennen kein VLAN 99.
Damit die dann ins Management VLAN kommen sollte die PVID in der Tat auf 99. Das gilt übrigens dann auch für die Uplinks der Switches !

..ich glaub so langsam komme ich dahinter!

Ich will natürlich nicht, dass mein Management-VLAN geflutet wird von "untagged" Traffic. Das wäre dann ja wieder contra-produktiv. Das sollte dann schon im jeweiligen DEFAULT-VLAN bleiben. Ich entziehe dann dem Trunk zu den Switchen und zu den cAPS das VLAN1 und somit ist jedes Gerät isoliert.

Jetzt wäre es doch sinnvoll, wenn man Switches und cAPs zwecks "Grundkonfiguration" an den Mikrotik hängt. Die nackten Geräte ziehen sch dann aus dem VLAN1 eine IP- Adresse und man konfiguriert bequem das neue Management-VLAN. So habe ich es ja auch bei den beiden Ciscos (SG350x und SG250-10) gemacht. Das alte Admin VLAN1 wird dann am Mikrotik zu einem lokalen Konfigurations-VLAN und schottet es zusätzlich mit FW-Regeln in Richtung WAN und weiteren internen Subnetzen ab.

Allerdings habe ich aktuell keinen Plan, wie man den cAPS das VLAN99 beibringt. Macht man das in der Bridge? Aktuell werden bei mir alle VLANs übereinen Uplink (Trunk) an die cAPs verteilt, damit ich diese funken kann.

Christian

Die nackten Geräte ziehen sch dann aus dem VLAN1 eine IP- Adresse und man konfiguriert bequem das neue Management-VLAN

Das kann man so machen, keine Frage. Dann musst du aber an diesen Konfig Ports doch weiterhin das VLAN 1 belassen. Wie sollte es sonst gehen ? Wenn du die PVID an den Konfig Ports auf 99 setzt "denken" die Endgeräte ja es ist ihr VLAN 1 aber dann hast du eben diesen Traffic in VLAN 99.
Das musst letztendlich DU entscheiden was dir lieber ist ! 1 oder 99

Allerdings habe ich aktuell keinen Plan, wie man den cAPS das VLAN99 beibringt.

Eigentlich steuerst du das nur mit der PVID an den Konfig Ports. setzt du die auf 99 dann landen deine Konfig Pakete alle im VLAN 99 an diesen Ports.

Hi aqui,

Ja, das VLAN 1 ist dann nur noch am Router verfügbar und zwar nur auf einem Beinchen. Es wird aber über den Trunk nicht weiter an die anderen Switche verteilt. Das heißt, es ist im Netzwerk nicht verfügbar, sondern nur lokal am Router...oder habe ich das schon wieder falsch verstanden?

Ich glaube, das Nächste verstehe ich auch schon wieder nicht!

Eigentlich steuerst du das nur mit der PVID an den Konfig Ports. setzt du die auf 99 dann landen deine Konfig Pakete alle im VLAN 99 an diesen Ports.

Die cAPS hängen am Cisco und alle VLANs liegen über den Trunk an diesem Port an. Da der cAP ja alle VLANs funken muss, muss ich das VLAN99 doch für ihn irgendwie rausfiltern sodaß der cAP selber über das Mgmt-VALN erreichbar ist und die anderen Subnetzte in den Äther bläst. Wo konkret stelle ich denn jetzt die PVID ein? Am cAP in der Bridge, oder am Cisco-Port? Letzteres würde doch bedeuten, dass ich nur das VLAN99 auf dem Cisco Port herausfiltere und die restlichen VLANs am cAP nicht ankommen. Sorry, ich habe es noch nicht!

Christian

Hallo,
so, jetzt musst Du mich noch mal aushalten:

Ich habe das jetzt wie folgt eingestellt, bin mir aber nicht sicher, ob ich das Richtige gebaut habe:

cAP zurückgesetzt und in den cAP Modus gebracht.
an den RB3011 auf einen "untagged" Port VLAN 99 geklemmt.
der cAP hat sich eine IP aus dem Management VLAN gezogen.
cAP an Port 13 des Ciscos gehängt
im CAPSMAN habe ich VLAN 99 zugelassen
am Cisco habe ich den Port so eingestellt:
cAP selber hängt im VLAN 99, und wird vollständig über CAPSMAN gesteuert.
VLAN 10 und VLAN 60 sind auf Port 13 des Switches "getaggt" und werden gefunkt.

FW--Regeln:

2 Windows Clients und VLAN 99 dürfen auf RB3011 (Input Chain)
2 Windows Clients dürfen ins VLAN 99 um die Netzwerkkomponenten zu managen
VLAN 99 hat kein WAN Zugriff
VLAN 99 hat Zugriff auf alle lokalen Subnetze, umgekehrt nicht!

FAZIT:

VLAN 1 kann m.E. komplett abgeschaltet werden
zur Konfiguration von cAPs und Switche wird ein "untagged" Port des VLAN 99 am RB3011 genutzt.

Besser hätte ich es gefunden, wenn die cAPs von Hause aus ein" getaggtes" Management-LAN verstanden hätten, so wie es die CISCOs können.

Ist das jetzt Grütze, oder eine halbwegs vernünftige Konfiguration?

Danke fürs Feedback,
Christian

Das heißt, es ist im Netzwerk nicht verfügbar, sondern nur lokal am Router...oder habe ich das schon wieder falsch verstanden?

Alles richtig ! 👍 😉

Da der cAP ja alle VLANs funken muss, muss ich das VLAN99 doch für ihn irgendwie rausfiltern sodaß der cAP selber über das Mgmt-VALN erreichbar ist und die anderen Subnetzte in den Äther bläst

Das ist richtig !
Da stellst du am Switchport des Cisco das Native VLAN (PVID) auf 99. Sprich der Cisco forwardet dann alle Pakete die vom cAP untagged kommen (sein Management) ins VLAN 99.
Das VLAN 99 mappst du natürlich NICHT auf eine SSID, denn dein Management Netz willst du ja logischerweise nicht "in der Luft" haben.
Eigentlich ganz einfach...

so, jetzt musst Du mich noch mal aushalten:

Kein Problem

an den RB3011 auf einen "untagged" Port VLAN 99 geklemmt.

Das hättest du gar nicht gemusst. Es wäre auch am Cisco Port gegangen wenn du an diesem Port das Native VLAN (PVID) auf 99 setzt.
Den untagged 99 Port am 3011er hättest du dir sparen können...

Dann forwardet er, wie bereits gesagt, alle untagged Pakete ins VLAN 99. Sprich dann gehen die Caps Man Pakete da wo sie hinsollen am 3011 und der cAP zieht seine Konfig, fertisch !

wenn die cAPs von Hause aus ein" getaggtes" Management-LAN verstanden hätten, so wie es die CISCOs können.

Das ist unüblich. Keiner der WLAN Hersteller macht das und alle Controller bezogenen APs ziehen sich in der Default Konfig immer über ein untagged Interface die Konfig vom Controller. Das ist üblicher Standard.
Genau deshalb kreiert man immer ein WLAN Management VLAN und setzt alle Ports dieses VLANs an dem APs hängen mit ihrem Native VLAN (PVID) in die ID des WLAN Management VLANs. Das Management VLAN selber mappt man natürlich NICHT auf einem MSSID ! Simpler Standard.

Ist das jetzt Grütze, oder eine halbwegs vernünftige Konfiguration?

Nee, ist OK. Da aber Switch und 3011er beide ein Bein im VLAN 99 haben musst du hier sehr genau aufpassen WER von beiden hier Gateway spielt, sprich routet !
Bei den anderen VLANs sollte dann einzig und allein nur das Gerät IP Adressen in den VLANs haben was auch zentral routet ! Das sollte klar sein, hatten wir oben ja auch schon das Thema.

Hi aqui,

Das NAS sollte natürlich wie alle Server Ports auch IMMER aus der 802.1x Port Security rausgenommen werden. Das ist bei dir leider NICHT der Fall ! Vermutlich ist das der Grund der Fehlfunktion.

Wenn ich versuche die Port Security an dem SG350 aubzuschalten, kommt eine FM. Wie schalte ich das korrekt ab?

Und dann habe ich noch ein Problem:
Ich bekomme es nicht hin, dass ich am SG350 das 99er VLAN als PVID setzte, wo wie ich es am SG200 gemacht habe. Die Folge ist, dass mein CAP sich mit dem Management VLAN nicht verbindet.

Hier mal die Einstellung vom SG200

Und hier die Einstellung vom SG350x. Wo kann ich das PVID für VLAN 99 setzten?

Christian

NACHTRAG:
also im "General" Mode geht das jetzt.

Nur die Port Security kann ich für qnap und cAPs nicht abschalten.

Hi aqui,

Das NAS sollte natürlich wie alle Server Ports auch IMMER aus der 802.1x Port Security rausgenommen werden. Das ist bei dir leider NICHT der Fall ! Vermutlich ist das der Grund der Fehlfunktion.

Wie macht man das! Habe es versucht, aber ohne Port Security gibt es eine Error Message (siehe Post weiter oben).

Der Rest hat sich erledigt. Das geht jetzt!

Christian

In der Security unter 802.1x Ports den Port auf "Force Authorized" setzen.

Moin aqui,
so reicht das aus?

und das ist dann auch so ok, richtig?

Gruß,
Christian

Ja !
Bedenke aber das wenn der QNAP Anschluss ein LACP LAG ist du das logischerweise auf dem LAG Interface machst und NICHT auf den Member Interfaces !!
Sieht etwas danach aus das es ein LACP LAG da ist ?!?

Hi aqui,
ja, das stimmt und ich habe mir das auch schon gedacht, aber auf dem LAG Interface lässt sich keine Security einstellen. Das bekommt man in den u.a. Optionen nicht zur Auswahl angeboten. Daher habe ich es auf beiden Ports eingestellt.

Gruß,
Christian

aber auf dem LAG Interface lässt sich keine Security einstellen

Dann musst du das tatsächlich auf den beiden Member Ports machen. Achte aber darauf das das absolut identisch ist andernfalls kommt der LACP LAG nicht hoch !

Daher habe ich es auf beiden Ports eingestellt.

Intuitiv richtig gemacht ! 👍

Hi aqui,
ganz lieben Dank für Deinen Support. Der Cisco SG350x-48P ist jetzt in Betrieb. Es sind tatsächlich 40 Ports belegt und alle MAC-Addr. wurden brav über den Raspberry FreeRadius und der über MS-Access in die mySQL auf der Qnap eingetragenen Daten dynamisch den VLANs zugeordnet.

Bin mal gespannt, was passiert, wenn ich den Switch neu starte und 40 Clients gleichzeitig den Radius fragen! Die QNAP mit der SQL-DB hängt per LAG auch an dem SG350x und wenn die DB nich antwortet, kommt kein Client ins NEtz.

Der Radius ist zwar direkt am Mikrotik und die QNAP-Ports am Switch sind "fest" verdrahtet, aber ohne DB wird der Radius alle andren Clients abweisen. Ich hoffe nur, das funktioniert, nicht das ich alle Stecker am Switch ziehen muss, nach einem Reboot...

Erfahrungen damit ?

NACHTRAG:
ich habe heute in der Früh, den alten SG200 deaktiviert. Dabei musste ich natürlich die Glasfaserverbindung zwischen Router un SG350x trennen, der u.a. auch den Anschluss an die QNAP mit der SQL-DB bereitstellt. Obwohl ich die Verbindung innerhalb von 10sec wieder hergestellt hatte, war kein Gerät am SG350x mehr erreichbar...auch nach mehreren Stunden nicht. Erst nachdem ich die qnap kurzfristig vom Netz genommen hatte, pendelte sich alles ein. ICh habe keinen blassen Schimmer, warum das so ist. Ich werde jetzt noch mal drei Worst-Case Szenarien ausprobieren:

Cisco brutal vom Strom trennen und wieder einschalten
Mikrotik (mit RADIUS) neu starten
beide Geräte gleichzeitig vom Strom nehmen.

Das muss sich ja von selber einpegeln, andernfalls wäre das nicht praktikabel!

Der Cisco SG350x-48P ist jetzt in Betrieb.

👍

FreeRadius und der über MS-Access in die mySQL auf der Qnap eingetragenen Daten dynamisch den VLANs zugeordnet.

👏
Glückwunsch ! Interessante Konfig zu der jetzt im Forum auch ein gutes Tutorial existiert. Ist sicher auch für andere sehr interessant ?! 👨‍🎓
Freeradius Management mit WebGUI

Ich hoffe nur, das funktioniert, nicht das ich alle Stecker am Switch ziehen muss, nach einem Reboot...

Nein, warum solltest du das müssen ?? Solange der Radius IP seitig erreichbar ist alles bella !
In größeren Netzten hat man dann redundante Radius Server oder macht einen Fallback auf die lokale User/Passwort Konfig des Switches. Solange der lebt kommt dann wenigstens noch der Admin ins Netz

Zum Nachtrag:

ICh habe keinen blassen Schimmer, warum das so ist.

Das ist ganz sicher der LACP LAG am QNAP der nicht richtig hochkommt. Probiere dein WC Szenario auch mal wenn der QNAP nur einbeinig ohne LAG angeschlossen ist.
Am QNAP hängt natürlich alles weil der die User Datenbank hat für den Radius. Übrigens gibt es den FreeRadius auch als QNAP Package. Es wäre also durchaus Sinnvoll Radius und Datenbank auf dem QNAP laufen zu lassen.
So oder so sollte alles wieder so hochkommen wie gewohnt.
Nur wenn der Radius weg ist oder rebootet geht natürlich keine Port Authentisierung bzw. der Reboot sollte dann in einem GAP passieren wo keine Reauthentication erzwungen wird (Reauth Intervall). Oder du schaltest die Reauthentication ganz ab.

Moin,
ich schon wieder! So ganz toll ist das Ganze Konstrukt noch nicht, und keine Ahnung warum!

Das "Worst-Case" Szenario klappt wunderbar. Nach einem "Stromausfall" sind alle Geräte wieder da und auch die Clients werden sauber authentifiziert.

Allerdings:
Wenn im Netz ein paar Stunden Ruhe ist (waren heute für 5-6 Stunden unterwegs )scheint es ein Problem zu geben:

Die Ursache habe ich noch nicht herausgefunden. Fakt ist nur, dass dies nicht passierte, als der SG200 noch im Netz war, obwohl QNAP und Radius bereits am SG350 hingen. Auf jeden Fall kann der Cisco Switch keine Authentifizierung der Clients mehr durchführen und diese landen dann plötzlich alle im VLAN 70 (sehe Bild).

Ich hatte die Re-Authentisierung am Switch bewusst abgeschaltet, aber vielleicht muss die eingeschaltet sein? Vielleicht war aber auch der RaspberryPi mit dem RADIUS abgeschmiert. Zumindest konnte ich den nicht mehr erreichen und das LOG zeigt auch eine entsprechende Meldung.

Radius neu gestartet und die Windows Kisten kurzzeitig physikalisch vom Ethernet getrennt, dann lief es plötzlich wieder!
Auf jeden Fall habe ich noch massive Probleme im Betrieb!

So sehen die Ports aus, die den RADIUS anfragen (Mit Ausnahme der Qnap-Ports und der cAPs). Der Radius hängt direkt am RB3011. Vielleicht sollte der auch auf den Cisco Switch.

Und was beuten hier diese WARNUNGEN, die zu Hauf im Cisco Log auftauchen...muss man sich Sorgen machen, oder einfach abschalten!

2147483157	2019-Oct-21 19:24:53	Warning	%STP-W-PORTSTATUS: gi1/0/29: STP status Forwarding   
2147483160	2019-Oct-21 19:24:51	Warning	%STP-W-PORTSTATUS: gi1/0/20: STP status Forwarding   

Christian

NACHTRAG:

Ich habe jetzt den RADIUS auch mal in das Management VLAN gehängt. War vorher noch in einem anderen VLAN, aber rein von der Logik her, sollte er schon im Mgmt.-LAN sein. Daran kann es zwar eigentlich nicht liegen, aber schauen wir mal....

Ich habe den Verdacht, dass die QNAP der Übeltäter ist, denn nach einiger Zeit gehen die Platten in den Standby. Wenn dann eine Anfrage vom RADIUS kommt, gibt es von der Datenbank auf der QNAP erst mal keine Antwort, denn das dauert, bis die wieder hochgefahren sind. Der Radius schmiert ab, oder schickt einen Reject und der Switch sendet das Gäste-VLAN da er keinen Benutzer authentifizieren kann.

Die Platten dauernd drehen zu lassen macht auch keinen Sinn. Weißt Du/jemand ob man auf dem Radius einen "Delay" einstellen kann, dass er - sagen wir mal - 20s warten soll?

Gruß,
Spartacus

ch hatte die Re-Authentisierung am Switch bewusst abgeschaltet, aber vielleicht muss die eingeschaltet sein?

Das wird es vermutlich sein. Es ist möglich das ohne Reauthentisierung der Port in den Secure Mode zurückfällt und damit geblockt ist.
Checke mal wie das Reauth Intervall ist und dann überprüfe das zeitverhalten. Ist es genau das Intervall ist es dann die Reauth Geschichte. Lass sie also an ist eh sicherer.

denn nach einiger Zeit gehen die Platten in den Standby.

Auch möglich... Wenn die Timeout Zeit des Radius kürzer ist als die Anlaufzeit der Platten timed der Radius Request aus. Der wird aber eigentlich wiederholt und es sollte nur eine Verzögerung geben.
Wenn du so oder so NAS zertifizierte Platten einsetzt sollte man den Standby Timer eh nicht zu kurz nehmen !
Das wiederkehrende an und aus ist für die Platten schädlicher als längeres Laufen.
Die Standby Zeit sollte nicht unter 1 Std. liegen. 1 Std. ist eh das maximum bei QNAP im Setting.

Hi aqui,
das mit dem Standby der Platten passiert eigentlich nur nachts. Und wenn dann morgens, die REchner starten, haben sie das Problem.
Ich habe jetzt an diesen Parametern mal gespielt. Schauen wir mal, was morgen passiert.

Man könnte auch noch mal die Dead-Time verändern.
Das Reauth stelle ich dann mal auf 24h (86400s) das sollte doch eigentlich reichen, wenn sich die Kisten 1 x pro Tag reauthentifizieren. Ich hatte geglaubt, dass dies nicht nötig ist und der Haken raus kann.

Christian

Das wird dann morgen mal spannend...

Hi,
ich brauche hier doch noch einmal Hilfe, denn ich glaube nicht, dass die Einstellungen am Cisco RADIUS Client erfolgversprechend sind.

Der FreeRadius muss hier ja auf den mySQL-DB warten und wenn diese auf einem NAS ausgelagert ist, dessen Platten gerade im Standby sind, muss der RADIUS hier warten, bi er eine Antwort von der DB bekommt, bevor er dem Cisco eine Antwort schickt.

Ich denke, das wird über die Datei /mods-available/sql geregelt, aber ich verstehe die Zusammenhänge nicht ganz.

M.E. ist dieser Bereich hier für die Ansteuerung der DB verantwortlich:

	pool {
		#  Connections to create during module instantiation.
		#  If the server cannot create specified number of
		#  connections during instantiation it will exit.
		#  Set to 0 to allow the server to start without the
		#  database being available.
		start = ${thread[pool].start_servers}

		#  Minimum number of connections to keep open
		min = ${thread[pool].min_spare_servers}

		#  Maximum number of connections
		#
		#  If these connections are all in use and a new one
		#  is requested, the request will NOT get a connection.
		#
		#  Setting 'max' to LESS than the number of threads means  
		#  that some threads may starve, and you will see errors
		#  like 'No connections available and at max connection limit'  
		#
		#  Setting 'max' to MORE than the number of threads means  
		#  that there are more connections than necessary.
		max = ${thread[pool].max_servers}

		#  Spare connections to be left idle
		#
		#  NOTE: Idle connections WILL be closed if "idle_timeout"  
		#  is set.  This should be less than or equal to "max" above.  
		spare = ${thread[pool].max_spare_servers}

		#  Number of uses before the connection is closed
		#
		#  0 means "infinite"  
		uses = 0

		#  The number of seconds to wait after the server tries
		#  to open a connection, and fails.  During this time,
		#  no new connections will be opened.
		retry_delay = 30

		# The lifetime (in seconds) of the connection
		lifetime = 0

		#  idle timeout (in seconds).  A connection which is
		#  unused for this length of time will be closed.
		idle_timeout = 60

		#  NOTE: All configuration settings are enforced.  If a
		#  connection is closed because of "idle_timeout",  
		#  "uses", or "lifetime", then the total number of  
		#  connections MAY fall below "min".  When that  
		#  happens, it will open a new connection.  It will
		#  also log a WARNING message.
		#
		#  The solution is to either lower the "min" connections,  
		#  or increase lifetime/idle_timeout.
	}

Ist das so zu verstehen, dass der Parameter retry_delay = 30 bewirkt, dass der RADIUS hier bis zu 30sec. auf eine Antwort aus der SQL-DB wartet, bis er eine Antwort an den Antragsteller (hier der Cisco Switch) verschickt? Ich finde leider keine nähere Erklärung zu diesen Einstellungen und essen Bedeutung im Context mit der mySQL Verbindung

Danke und Gruß,
Christian

Müsste mal einer der MySQL DB Gurus hier beantworten. Ich bin da nicht so der SQL Profi....

Hm!
ist eigentlich mehr eine Einstellung am FreeRadius. Gibt es hier auf der Administrator-Plattform dafür einen eigenen Bereich, dann schiebe ich die Frage mal dort hin!"

Moin aqui,
so! So einigermaßen läuft das jetzt mit den Cisco Einstellungen weiter unten. An dem RADIUS habe ich nichts verändert. Ich hatte einen Versuch über Freeradius MailingListen gestartet, aber da kam nicht viel zurück. Nur der Vorschlag, die Platten laufen zu lassen...auf die Idee bin ich selber auch gekommen, aber das will ich ja nicht, dass die Dinger 8-10h am Tag laufen, ohne das irgendjemand die Platten nutzt.

Es dauert nach einem Rechnerstart halt ein wenig (10-15s), bis ein Client seine IP bekommt und dann höre ich schon das Gemecker aus allen Etagen "...hab kein Internet!" Geduld haben die Fortnite Spieler und YouTube Gucker halt nicht mehr

. Müssen sie aber mit leben!

Das Thema Mikrotik und RADIUS Auth geht nicht weiter. Ich habe hier im Mikrotik Forum gepostet, aber kein Feedback bekommen. Hier weiß ich noch nicht, welche Lösung ich umsetzten werde. Das Verfahren mit den unterschiedlichen SSIDs und dem passenden VLAN ist auch nicht so toll!!

Ich werde jetzt noch mal das Thema SQL-DB und Access etwas sauberer angehen. Dafür brauche ich aber noch Unterstützung von CISCO Experten. Ich würde gerne das aktuelle Port-Mapping am Switch (alos MAC-Address, VLAN und Port) in Richtung SQL importieren. Keine Ahnung, ob das geht. Vielleicht mit SNMP? ICh mache hier mal ein neues Thema im Forum auf!

Es dauert nach einem Rechnerstart halt ein wenig (10-15s), bis ein Client seine IP bekommt

Na ja aber mit 10-15 Sek kann man doch leben. Auch Frau und Kinder. Wenns doch der Sicherheit dient !!

Das Thema Mikrotik und RADIUS Auth geht nicht weiter.

Ich mache mal einen Testaufbau. Wollte das eh mit CapsMan mal testen und einem Cisco Catalysten.

Das Verfahren mit den unterschiedlichen SSIDs und dem passenden VLAN ist auch nicht so toll!!

In der Tat ! Ist bei dynamic VLANs ja auch nicht der Sinn der Sache.

Hey aqui,
coole Sache das mit dem Testaufbau! lass es mich bitte wissen, was dabei rausgekommen ist.

...hätte besser schreiben sollen:
das aktuelle Verfahren mit den unterschiedlichen SSIDs...das muss auf jeden Fall ersetzt werden!

Bis dahin,
Christian

Das hier sieht ganz spannend aus und der hat es so wohl hinbekommen.
https://forum.mikrotik.com/viewtopic.php?t=139387
Oder auch hier im Forum:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Habe den FreeRadius jetzt mal so gesetzt für vlan 1 und 10:

"mikrotik"      Cleartext-Password := "mikrotik"
                        Mikrotik-Wireless-VLANID := 1,
                        Mikrotik-Wireless-Comment = "Test-1",
                        Mikrotik-Wireless-Forward := 1,
                        Mikrotik-Wireless-VLANID-type := 0
#
"mt10"          Cleartext-Password := "mt10"
                        Mikrotik-Wireless-VLANID := 10,
                        Mikrotik-Wireless-Comment = "Test-10",
                        Mikrotik-Wireless-Forward := 1,
                        Mikrotik-Wireless-VLANID-type := 0 

Senden tut der Radius auf alle Fälle die Attribute an den cAP wie du sehen kannst:

Mal sehen was dabei rauskommt....

Mag er irgendwie nicht... Jedenfalls nicht mit WPA2 Enterprise User/Pass.
Hab dann mal einen Ruckus AP im Unleashed Mode genommen:

FreeRadius sieht so aus:

002712345abc  Cleartext-Password := "002712345abc"
   Tunnel-Type = VLAN,
   Tunnel-Medium-Type = IEEE-802,
   Tunnel-Private-Group-ID = 20 

Rennt sofort !

Client ist sofort im VLAN 20 mit entsprechender IP !
Am Radius Setup liegt es also nicht.
Ich werde den Mikrotik auch nochmal mit Mac Authentisierung testen ob er da ins VLAN 20 schwenkt.

Mittlerweile alles gelöst und funktioniert fehlerlos. Siehe:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
und auch
Mikrotik: Wifi clients in anderes VLAN schieben?

German solved Question Network Management Networks

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 2 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment

Check of ZFW Firewallgleixnerd