FreeRadius-Server (raspberry pi) kann keine neuen Clients in andere VLANs zuordnen
Hallöchen allerseits,
wir haben ein kleines Problem in unserer Abteilung und suchen nach Rat.
wie im Titel beschrieben, verwenden wir einen raspberry pi als Radius-Server, welcher wenn mich nicht alles täuscht direkt an die Firewall gekoppelt ist. Das Konzept hat bis jetzt super funktioniert. Der Radius-Server hatte bisher allen eingesessenen Benutzern das richtige VLAN zugewiesen, ohne größere Probleme zu machen. Allerdings will er dies nicht mehr bei neuen Nutzern machen.
Bisher mussten wir immer nur die MAC samt VLAN in eine Config einfügen, den Service neustarten und voila.. es passte. Jetzt wenn ich das mache, tut sich einfach nichts.
Um welche Geräte es sich handelt:
Der client Windows 8.1 Pro Laptop.
Unsere Firewall ist von Watchguard - Modell XTM. Der Radius-Server ist dort auch hinterlegt.
Der neue Client soll dem VLAN 10 "Management" zugewiesen werden, erhält jedoch immer nur das VLAN 30.
Der Client selber ist in der Lage den Radius zu pingen. umgekehrt ist das allerdings nicht möglich. Dafür kann der Radius alle anderen pingen außer den Client.
In der Firewall haben wir auch Test halber mal für den Radius alle Ports in Trusted rein und raus freigegeben. Hat leider nichts gebracht.
Um zu gucken wo der Radius alles durch kommt, habe ich mal einen Traceroute gemacht. Das Ergebnis war, dass dieser beim ersten Hop an der Firewall hängen bleibt, was für mich nicht erklärlich ist, weil der eben alle Ports frei bekommen hat. Natürlich habe ich die Regeln auch relativ weit oben gesetzt um zu gucken, ob es wirklich daran liegt.
Hat dazu einer eine Idee, oder Vorschläge?
Danke
Grüße
edit: ich hab mal nachgesehen. der radius ist am switch von cisco angeschlossen. kann es eventuell sein, dass dort der cache voll ist?
wir haben ein kleines Problem in unserer Abteilung und suchen nach Rat.
wie im Titel beschrieben, verwenden wir einen raspberry pi als Radius-Server, welcher wenn mich nicht alles täuscht direkt an die Firewall gekoppelt ist. Das Konzept hat bis jetzt super funktioniert. Der Radius-Server hatte bisher allen eingesessenen Benutzern das richtige VLAN zugewiesen, ohne größere Probleme zu machen. Allerdings will er dies nicht mehr bei neuen Nutzern machen.
Bisher mussten wir immer nur die MAC samt VLAN in eine Config einfügen, den Service neustarten und voila.. es passte. Jetzt wenn ich das mache, tut sich einfach nichts.
Um welche Geräte es sich handelt:
Der client Windows 8.1 Pro Laptop.
Unsere Firewall ist von Watchguard - Modell XTM. Der Radius-Server ist dort auch hinterlegt.
Der neue Client soll dem VLAN 10 "Management" zugewiesen werden, erhält jedoch immer nur das VLAN 30.
Der Client selber ist in der Lage den Radius zu pingen. umgekehrt ist das allerdings nicht möglich. Dafür kann der Radius alle anderen pingen außer den Client.
In der Firewall haben wir auch Test halber mal für den Radius alle Ports in Trusted rein und raus freigegeben. Hat leider nichts gebracht.
Um zu gucken wo der Radius alles durch kommt, habe ich mal einen Traceroute gemacht. Das Ergebnis war, dass dieser beim ersten Hop an der Firewall hängen bleibt, was für mich nicht erklärlich ist, weil der eben alle Ports frei bekommen hat. Natürlich habe ich die Regeln auch relativ weit oben gesetzt um zu gucken, ob es wirklich daran liegt.
Hat dazu einer eine Idee, oder Vorschläge?
Danke
Grüße
edit: ich hab mal nachgesehen. der radius ist am switch von cisco angeschlossen. kann es eventuell sein, dass dort der cache voll ist?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 267249
Url: https://administrator.de/forum/freeradius-server-raspberry-pi-kann-keine-neuen-clients-in-andere-vlans-zuordnen-267249.html
Ausgedruckt am: 27.12.2024 um 10:12 Uhr
21 Kommentare
Neuester Kommentar
Die hiesigen Tutorials zu dem Thema hast du gelesen zu dem Thema??
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Speziell der Punkt zu dyn. VLANs:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Hilfreich in deinem Falle auch sicher noch:
Netzwerk Management Server mit Raspberry Pi
Wenn du all das beachtest sollte es keinerlei Probleme geben ?!
Checke das also wasserdicht und poste das Ergebnis hier!
Wenn überhaupt, dann ist die Radius Konfig auf dem LAN Switch oder WLAN AP relevant, niemals aber auf einer Firewall sofern die nicht selber irgendwas gegen den Radius authentisiert.
Das solltest du hier also auch nochmal klarstellen.
Radius benutzt die Ports 1812 (Authentication) und 1813 (Accounting). ACHTUNG hier: Ältere Radius Implementationen benutzen teilweise noch die Ports 1645 und 1646. Stelle also sicher das deine Endgeräte die richtigen Ports verwenden !
Wenn auf deinem RasPi tcpdump installiert ist (apt-get install tcpdump) dann kannst du dort tcpdump port 1812 eingeben, das zeigt dir dann alle eingehenden Radius Pakete an also ob vom Switch oder AP überhaupt Radius Requests der angeschlossenen Winblows 8.1 Clients den Server erreichen!
Das wäre ja logischerweise der erste Schritt wenn man mal strategisch vorgeht !
Kommt dort gar nix an, dann solltest du dringenst mal die Firewall Regeln überprüfen und demjenigen auf die Finger hauen der die administriert.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Speziell der Punkt zu dyn. VLANs:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Hilfreich in deinem Falle auch sicher noch:
Netzwerk Management Server mit Raspberry Pi
Wenn du all das beachtest sollte es keinerlei Probleme geben ?!
welcher welcher wenn mich nicht alles täuscht direkt an die Firewall gekoppelt
Solche Aussagen wie "wenn mich nicht alles täuscht" sind natürlich tödlich für ein Troubleshooting über ein Forum. WIE bitte sollen wir denn kontrollieren ob das nun stimmt oder nicht ?Checke das also wasserdicht und poste das Ergebnis hier!
Bisher mussten wir immer nur die MAC samt VLAN in eine Config einfügen, den Service neustarten und voila.. es passte.
So sollte es ja auch sein !Unsere Firewall ist von Watchguard - Modell XTM. Der Radius-Server ist dort auch hinterlegt.
Das ist Blödsinn, denn die FW hat damit ja gar nichts zu tun ! "Hinterlegen" dort ist also völlig unsinnig. Außer vielleicht das du damit meinst das der Radius Traffic die Firewall passieren darf.Wenn überhaupt, dann ist die Radius Konfig auf dem LAN Switch oder WLAN AP relevant, niemals aber auf einer Firewall sofern die nicht selber irgendwas gegen den Radius authentisiert.
Das solltest du hier also auch nochmal klarstellen.
Radius benutzt die Ports 1812 (Authentication) und 1813 (Accounting). ACHTUNG hier: Ältere Radius Implementationen benutzen teilweise noch die Ports 1645 und 1646. Stelle also sicher das deine Endgeräte die richtigen Ports verwenden !
Wenn auf deinem RasPi tcpdump installiert ist (apt-get install tcpdump) dann kannst du dort tcpdump port 1812 eingeben, das zeigt dir dann alle eingehenden Radius Pakete an also ob vom Switch oder AP überhaupt Radius Requests der angeschlossenen Winblows 8.1 Clients den Server erreichen!
Das wäre ja logischerweise der erste Schritt wenn man mal strategisch vorgeht !
Kommt dort gar nix an, dann solltest du dringenst mal die Firewall Regeln überprüfen und demjenigen auf die Finger hauen der die administriert.
das problem ist, dass ich das netz samt vlans nicht aufgesetzt habe und genauso wenig die firewall eingerichtet.
Das tut ja erstmal fürs Troubleshooting nix zur Sache.die verbindung vom radius server verläuft erst über den switch von cisco, weiter zur firewall.
Ganz einfach: Kannst du vom Cisco Switch der die VLAN Zuordnung machen soll den Radius Server anpingen ?Damit überprüfst du ob der Switch den Server erreichen kann.
Noch sinnvoller ist es den FreeRadius auf dem RasPi mal mit der Degugging Option "-X" also freeradius -X zu starten und dann mal einen 802.1x Client sich anmelden zu lassen.
Dann kannst du am FreeRadius sofort den eigehenden Request sehen und sofort sehen was der Radius damit macht und obs Fehler gibt.
Das ist in 3 Minuten erledigt und gibt dir dann Gewissheit ob
a.) Der Switch Kontakt zum Radius hat und die FW nix blockt
b.) Der Radius Request sauber und korrekt abgearbeitet wird.
Diese Info oder der Output wäre hier sehr sehr hilfreich !
und doch die firewall hat damit was zu tun.
OK, dann macht die FW die Admin User Authentisierung auch über den Radius, was ja aus Sicherheitssicht vorbildlich ist voila ... der neue client erhält das richtige VLAN.
OK, das zeigt generell erstmal das an deiner Infrastruktur und Radius vermutlich nichts falsch ist ! Vermutlich...also warum kann der die alten clients verwalten, aber nicht die neuen?
Da ist dann ganz klar irgendwas faul mit den alten 802.1x Clients.Wie gesagt, setz den Freeradius und den Debug Mode und mach so einen Connect Zugriff mit einem alten Client und seh dir das an. Da siehst du in Sekundenschnelle wo es kneift.
habe ich ein TRACEROUTE (ähnlich wie bei windows tracert) vom radius server aus gemacht. genau zu der IP des neuen Clients und beim 1. Hop der bei unserer Firewall beginnt und endet.
Das ist Blödsinn, denn wenn der Client NICHT authentisiert ist mit 802.1x kommt dieser Traceroute niemals an !Logisch ! Denn der Port an dem dieser Client ist ist ja dicht solange der nicht authentisiert ist.
Folglich MUSS das also logischerweise scheitern !
Anders sieht die Sache aus wenn der authentisiert ist. Dann ist es die Firewall !!
Die blockt dann ICMP Traffic. Traceroute nutzt wie Ping ICMP Pakete und das ist in der Firewall dann zu 99% geblockt in den regeln.
Check das !
Also deine To Dos um das rauszubekommen:
- FreeRadius im Debug und eingehende Requests checken
- Firewall Regeln überprüfen und ins Log sehen was da geblockt wird.
P.S.: Deine Shift Taste auf der Tastatur ist defekt. Solltest du mal reparieren !
Ich persönlich hatte weder den Radius, noch das Netzwerk eingerichtet. ^^ Ich soll nur eine Lösung finden.
Haben wir ja verstanden aber das hilft dir nicht bei der Fehlersuche....frage ich mich warum es funktioniert, wenn ich dem Ethernet am Client eine andere MAC vorgaukel?
Mmmhhh, du meinst damit das du einem Client bei dem es normal NICHT funktioniert eine Mac Adresse fakest von einem Client mit dem es funktioniert und dann klappt es mit eben diesem Client ??Das wäre in der Tat interessant zeigt dann aber ganz klar das es Unterschiede in der Client Konfiguration in der users Datei des FreeRadius gibt.
Anders wäre das ja dann nicht mehr zu erklären wenn das obige wirklich stimmt.
Da wäre es dann hilfreich wenn du mal einen Auszug aus der useres Datei für einen Mac User postest der funktioniert und einer bei dem es nicht klappt.
P.S.: Wieso ist der Thread denn nun auf "gelöst" gesetzt. Ist das Problem gelöst ??
Also auf gelöst gesetzt habe ich es nicht?
Sorry, aber das ist Blödsinn, das kannst nur DU selber als TO !Kann man übrigens mit Klick auf "Bearbeiten" beim Thread auch wieder rückgängig machen.
Das Verhalten ist abartig...das es mit ändern der Mac funktioniert. Kann eigentlich nicht sein... :-o
Fakt ist aber das der Radius die Requests anders behandelt ! Das kannst du sehen wenn du dir die Debugs mal genauer ansiehst.
Das interne Durchlaufen der Auhtnetisierungs Modi ist unterschiedlich.
Damit kann das fast eigentlich nur noch vom Switch selber kommen. Das einzige was übrig bleibt.
- Was ist das für ein Switch ? (Hersteller)
- Ist die Firmware des Switches auf dem aktuellsten Stand ?
Cisco.
WELCHER ?? IOS Catalyst oder SG-xxx Billigserie ?Lass dir doch nicht alles einzeln aus der Nase ziehen...
Die 802.1x Switchkonfig wäre mal ganz hilfreich. Und der FW Stand.
Wo wär es ratsam eine Maschine mit Wireshark dran zu hängen? Direkt am Switch?
Ja, der Wireshark Sniffer sollte irgendwo im Pfad zwischen Switch und Radius Server sein !Am besten generierst du einen Mirrorport am Switch und schliesst den Sniffer dort an.
Und auf welche Pakete sollte ich besonders achten?
Setz einen Capture Filter auf und filter auf die Source IP des Switches und Destination IP des Radius Servers.Dann sniffert der Wireshark nur mit was zwischen Switch und Radius passiert. Den Rest vom Traffic foltert er dann weg.
Zum ansehen für andere (sofern das OK für dich ist) kannst du den Trace auf der Wireshark Seite posten in einem Viewer.
ich kam nicht mehr dazu und ich werde auch nicht mehr dazu kommen ...
Schade eigentlich...da man die büros und eine ikea küche wichtiger empfand, als ein funktionierendes VLAN.
Igitt...Ikea ! Na ja man muss halt Prioritäten setzen was wichtig ist und was nicht...Ich bin den kompletten April nicht mehr in der Firma. Was so viel heißt wie, das Problem darf wer anders lösen
Du musst dich hier nicht rechtfertigen und dein Berufsleben offenlegen. Besser du behälst das für dich !kann man diesen Thread also als "fast Gelöst" ansehen.
Dann erlöse uns bitte und vergesseWie kann ich einen Beitrag als gelöst markieren?
nicht dafür !