12
Freeradius VLAN-Zuordnung Fehler
Ausgabe eines Fehlers beim Ausführen von radiusd
Hallo liebe Mitglieder,
ich nutze die Software "Freeradius" und möchte, dass bestimmte Rechner beim anstöpseln an den Switch per MAC-Adresse authentifiziert und einem bestimmten VLAN zugeordnet werden.
Die Authentifizierung funktioniert auch problemlos nur die Zuordnung eben nicht.
User-Datei
MAC-Adresse Auth-Type:=CHAP , Cleartext-Password := "MAC"
Bis hier funktioniert alles.
Möchte ich jetzt eine VLAN-Zuordnung vornehmen z.B.:
MAC-Adresse Auth-Type:=CHAP , Cleartext-Password := "MAC"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 1
, so bekomme ich schon bei "Tunnel-Type" die Fehlermeldung:
Parse Error (check) for entry Tunnel-Type: Invalid octet string "13" for attribute name " "
Mit "VLAN" statt 13 tritt der Fehler auch auf.
Weiß jemand Rat und kann mir weiterhelfen?
Danke
Gruß dragonmaster86
Hallo liebe Mitglieder,
ich nutze die Software "Freeradius" und möchte, dass bestimmte Rechner beim anstöpseln an den Switch per MAC-Adresse authentifiziert und einem bestimmten VLAN zugeordnet werden.
Die Authentifizierung funktioniert auch problemlos nur die Zuordnung eben nicht.
User-Datei
MAC-Adresse Auth-Type:=CHAP , Cleartext-Password := "MAC"
Bis hier funktioniert alles.
Möchte ich jetzt eine VLAN-Zuordnung vornehmen z.B.:
MAC-Adresse Auth-Type:=CHAP , Cleartext-Password := "MAC"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 1
, so bekomme ich schon bei "Tunnel-Type" die Fehlermeldung:
Parse Error (check) for entry Tunnel-Type: Invalid octet string "13" for attribute name " "
Mit "VLAN" statt 13 tritt der Fehler auch auf.
Weiß jemand Rat und kann mir weiterhelfen?
Danke
Gruß dragonmaster86
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 135822
Url: https://administrator.de/contentid/135822
Ausgedruckt am: 26.11.2024 um 15:11 Uhr
12 Kommentare
Neuester Kommentar
Dein Auth Type ist vermutlich falsch !! Switches benutzen oft Standard oder auch EAP für diese Authentisierung. Sollte auch im Handbuch deines Switches stehen !!
Hier steht genau wie es sauber funktioniert mit 802.1x:
Freeradius Management mit WebGUI
Fragen zu NAS, Radius und verschiedenen Authentifizierungsmöglichkeiten
Für die reine Mac Authentifizierung mit dynamischer VLAN Zuweisung sieht eine funktionierende laufende Freeradius Konfig so aus:
Mac Authentication mit dynm. VLAN Zuordnung (Hier VLAN ID 7 im Beispiel):
Alternativ geht das auch:
Erfordert dann aber immer einen lokalen User auf dem System.
Ansonsten immer debuggen mit radiusd -X das zeigt dir immer sofort wo der Fehler liegt ! Ggf. hier posten.
Hier steht genau wie es sauber funktioniert mit 802.1x:
Freeradius Management mit WebGUI
Fragen zu NAS, Radius und verschiedenen Authentifizierungsmöglichkeiten
Für die reine Mac Authentifizierung mit dynamischer VLAN Zuweisung sieht eine funktionierende laufende Freeradius Konfig so aus:
# Nur MAC Authentication
000039fc9933 Service-Type == Framed-User, User-Password == "000039fc9933" # MAC Auth. und dyn. VLAN
#
000039fc9935 Service-Type == Framed-User, User-Password == "000039fc9935"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 7
## user-id (MAC) Authentication type password=MAC
00054e4d3d08 Auth-Type := Local, User-Password == "00054e4d3d08"
00186e8dc079 Auth-Type := Local, User-Password == "00186e8dc079" Ansonsten immer debuggen mit radiusd -X das zeigt dir immer sofort wo der Fehler liegt ! Ggf. hier posten.
Danke erstmal für die Antwort.
Ich habe die Authentifizierung mittlerweile über EAP realisiert.
Leider bekomme ich immer noch den Fehler "Parse Error (check) for entry Tunnel-Type: Invalid octet string "13" for attribute name " " " ,
wenn ich die VLAN-Zuordnung nach folgendem Schema vornehme:
Tunnel-Type = 13 oder Tunnel-Type = VLAN
Ich habe die Authentifizierung mittlerweile über EAP realisiert.
Leider bekomme ich immer noch den Fehler "Parse Error (check) for entry Tunnel-Type: Invalid octet string "13" for attribute name " " " ,
wenn ich die VLAN-Zuordnung nach folgendem Schema vornehme:
Tunnel-Type = 13 oder Tunnel-Type = VLAN
Bei der Authentifizierung nur unter Verwendung der MAC Addresse, sprich einstöpseln und danach eine IP bekommen... wie muss ich da den Switch konfigurieren?
000039fc9933 Service-Type == Framed-User, User-Password == "000039fc9933"
Das habe ich eingetragen! Aber weiß nicht was ich am Switch einstellen muss, damit er die MAC Adresse vom Radius Server holt.
Jemand ne Idee???
- Nur MAC Authentication
000039fc9933 Service-Type == Framed-User, User-Password == "000039fc9933"
Das habe ich eingetragen! Aber weiß nicht was ich am Switch einstellen muss, damit er die MAC Adresse vom Radius Server holt.
Jemand ne Idee???
Also ich habe es jetzt geschafft, dass ich mich am Radius authentifizieren kann! Und zwar muss man statt == immer := verwenden sonst bekommt man einen Fehler!!!
Ich muss aber im Moment auf meinem Mac und auf meinem Windows Client die Mac-Adresse als Benutzername und als Passwort eingeben, da ein Fenster aufpopt indem man sich legitimieren muss! Kommt mir so vor als ob der Server die Mac Adresse als Benutzer interpretiert und nicht als Mac Adresse.
Wie bekomme ich es hin, dass ich mich ohne Verbindungsdaten (User und PW) authentifizieren kann. Also, dass ich meine MAC Adresse auf dem Radius in der users Datei eintrage und nach dem einstöpseln des Netzwerkkabels ohne zusätzliches Tun eine IP Adresse bekomme???
Bitte helft mir! Aqui sollte das doch wissen oder????
Danke
Ich muss aber im Moment auf meinem Mac und auf meinem Windows Client die Mac-Adresse als Benutzername und als Passwort eingeben, da ein Fenster aufpopt indem man sich legitimieren muss! Kommt mir so vor als ob der Server die Mac Adresse als Benutzer interpretiert und nicht als Mac Adresse.
Wie bekomme ich es hin, dass ich mich ohne Verbindungsdaten (User und PW) authentifizieren kann. Also, dass ich meine MAC Adresse auf dem Radius in der users Datei eintrage und nach dem einstöpseln des Netzwerkkabels ohne zusätzliches Tun eine IP Adresse bekomme???
Bitte helft mir! Aqui sollte das doch wissen oder????
Danke
Hallo burge550,
hast du mal versucht den Dienst für die Authentifizierung ==> Automatische Konfiguration (verkabelt) zu deaktivieren?
Für die Authentifizierung per MAC-Adresse wird dieser Dienst nicht benötigt, da der Switch onehin die MAC-Adresse speichert.
Bitte berichte ob es so geklappt hat.
hast du mal versucht den Dienst für die Authentifizierung ==> Automatische Konfiguration (verkabelt) zu deaktivieren?
Für die Authentifizierung per MAC-Adresse wird dieser Dienst nicht benötigt, da der Switch onehin die MAC-Adresse speichert.
Bitte berichte ob es so geklappt hat.
Hallo Dragonmaster86
Ich habe den Dienst Automatische Konfiguration (verkabelt) deaktiviert. Dann kommt zwar das Popup nicht mehr, aber eine IP bekommt er auch nicht. In den Netzwerkverbindungen steht "nicht identifiziertes Netzwerk".
Ich habe das Gefühl, als ob ich den Switch falsch konfiguriert habe. Was für Konfigurationen muss ich tätigen... oder sind überhaupt welche nötig?
Grüße Markus
Ich habe den Dienst Automatische Konfiguration (verkabelt) deaktiviert. Dann kommt zwar das Popup nicht mehr, aber eine IP bekommt er auch nicht. In den Netzwerkverbindungen steht "nicht identifiziertes Netzwerk".
Ich habe das Gefühl, als ob ich den Switch falsch konfiguriert habe. Was für Konfigurationen muss ich tätigen... oder sind überhaupt welche nötig?
Grüße Markus
Die Konfiguration hängt vom Switch ab. Nutzt du einen HP oder Cisco-Switch?
Wichtig ist das die MAC-Authentifizierung auf dem Switch konfiguriert wurde.
Auf einem HP Procurve z.B. "aaa port-access mac-based < port-list >"
HP: http://h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/AN-S2_M ...
Cisco: https://supportforums.cisco.com/docs/DOC-4069
Wichtig ist das die MAC-Authentifizierung auf dem Switch konfiguriert wurde.
Auf einem HP Procurve z.B. "aaa port-access mac-based < port-list >"
HP: http://h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/AN-S2_M ...
Cisco: https://supportforums.cisco.com/docs/DOC-4069
Ich habe einen AT-8000 GS.
Hast du da auch eine Idee?
Gruß
Hast du da auch eine Idee?
Gruß
Wie du siehst ist das ein AT-9924. WIe oben beschrieben habe ich einen AT-8000S. Die beiden Switche haben komplett andere Befehle, deswegen bringt mir das NULL.
Trotzdem Danke....hatte ich mir auch schon angeschaut
Trotzdem Danke....hatte ich mir auch schon angeschaut
Die Befehle sind laut Dokument für die Serie AT-8600,AT-8900 und AT-9900.
Dachte halt deiner kann dann mit den Befehlen auch umgehen.
Schau dir mal hier die Befehle an:
http://www.infos-du-net.com/forum/287066-8-comment-faire-authentificati ...
Da du in diesem Forum schon einen Thread zu dem Thema eröffnet hast (Freeradius mit LDAP und 802.1x mit dynamische VLAN Zuweisung),
bitte ich dich auch weiterhin in diesem zu bleiben, damit Nutzer mit ähnlichen Problemen nicht lange suchen müssen.
Gruß
dragonmaster86
Dachte halt deiner kann dann mit den Befehlen auch umgehen.
Schau dir mal hier die Befehle an:
http://www.infos-du-net.com/forum/287066-8-comment-faire-authentificati ...
Da du in diesem Forum schon einen Thread zu dem Thema eröffnet hast (Freeradius mit LDAP und 802.1x mit dynamische VLAN Zuweisung),
bitte ich dich auch weiterhin in diesem zu bleiben, damit Nutzer mit ähnlichen Problemen nicht lange suchen müssen.
Gruß
dragonmaster86
Danke Dragonmaster86
Die Anleitung hat mir sehr geholfen. Es funktioniert jetzt.
Meine Frage wäre nun, wenn ich MAC Authentifizierung und später mal noch was mit LDAP machen möchte. Z.B User/Passwort Anmeldung oder was mit Zertifikaten, kann ich dann die Anmeldung mittels MAC auch noch verwenden oder geht nur eines der Methoden? Wenn es gehen sollte, wäre ich über einen Hinweis wie? sehr dankbar. Muss ich vielleicht dann die MAC Adressen im LDAP anlegen oder? Wäre aber dann schon sehr aufwendig. Oder bin ich da auf dem Holzweg?
Grüße Markus
Die Anleitung hat mir sehr geholfen. Es funktioniert jetzt.
Meine Frage wäre nun, wenn ich MAC Authentifizierung und später mal noch was mit LDAP machen möchte. Z.B User/Passwort Anmeldung oder was mit Zertifikaten, kann ich dann die Anmeldung mittels MAC auch noch verwenden oder geht nur eines der Methoden? Wenn es gehen sollte, wäre ich über einen Hinweis wie? sehr dankbar. Muss ich vielleicht dann die MAC Adressen im LDAP anlegen oder? Wäre aber dann schon sehr aufwendig. Oder bin ich da auf dem Holzweg?
Grüße Markus
