sroscher
Goto Top

HP ProCurve V1910 - Authorisierung von Netzwerk-Geräten per Mac-Adresse über Radius-Server

Hallo liebe Kollegen,

ich verzweifle hier an der Konfiguration eines HP V1910-24 Switches face-sad.

Ziel soll sein, das nur noch bekannte Geräte an unser LAN angestöpseln werden können, im Idealfall sogar noch automatisch ins richtige VLAN gelenkt werden. Ich möchte erreichen, dass der Switch jedes Gerät anhand seiner Mac-Adresse an einem Freeradius Server authentifiziert und den entsprechenden Port für Daten freigibt oder geschlossen hält und im Idealfall die VLAN-ID gleich noch einstellt.

Lt. Handbuch müsste das machbar sein, aber ich bekomme es einfach nicht hin. Ich habe im Switch WebGUI unter Menüpunkt "Authentication" alles wie im Handbuch bei AAA, Radius und 802.1x eingestellt. Leider passiert einfach nix. Am Radius-Server kommt keinerlei Anfrage an. Der Radius-Server ansich funktioniert, denn mit dem Tool ntradping kann ich darauf zugreifen.

Hat zufällig jemand so einen Switch mit meinem Konfigurationswunsch am laufen und kann mir erklären ob es da irgendwo noch einen Trick gibt, damit der Switch mit dem Radius-Server "redet"? Bin für Hilfe sehr dankbar.

Content-ID: 183784

Url: https://administrator.de/contentid/183784

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

aqui
aqui 19.04.2012, aktualisiert am 18.10.2012 um 18:50:41 Uhr
Goto Top
Hier findest du alles was du zu diesem Thema wissen musst:

Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch

Wenn dein Radius Server keinerlei Radius Anfragen vom Switch bekommt, dann hast du folgende mögliche probleme:
  • Das Routing der Switch IP stimmt nicht, was ein falsches Routing (Gateway) am Switch oder radius Server verursacht
  • Deinen Radius Requests kommen mit dem falschen TCP Port. Gültig ist 1812 / 1813. Die alten 16er Ports sollten nicht mehr verwendet werden !
  • Am Radius werkelt eine lokale Firewall die diese Pakete blockiert !
Kannst du denn wenigstens vom Switch den Radius anpingen ?
sroscher
sroscher 19.04.2012 um 12:52:57 Uhr
Goto Top
Diese sehr gute Tutorial habe ich mir natürlich schon reingezogen, hat mir prima Grundlagen vermittelt.

Zu deinen 3 Punkten kann ich nur sagen, dass ich das alles ausschließen kann.
Der Radius-Server ist im gleichen Segment wie der Switch, anpingen vom Switch ist auch kein Problem. iptables ist auf dem Radius-Server aktuell deaktiviert. Port habe ich auch nicht geändert, da verwendet der HP ja den UDP 1812.

Gibt es irgendeine Möglichkeit um vom Switch, von mir aus auch von der Konsole, einen Radius-Request abzusenden? Ich komme mit der Syntax der Konsole nicht so klar, aber vielleicht könnte man da auch schauen wie die Konfig überhaupt aussieht. Die Konsolen-Anleitungen die man so für HP-Switche findet scheinen für den 1910er HP Switch nicht zu funktionieren, die Befehle können meist gar nicht ausgeführt werden - kann sein das HP das in den "billigen" Switchen blockiert oder gar nicht implementiert hat. Also wie gesagt, ich schaue auch gern auf der Konsole, aber allein mir fehlt das wie ;).
aqui
aqui 19.04.2012 um 16:16:43 Uhr
Goto Top
Es gibt doch eine ganz einfache Möglichkeit das einmal schnell und umfassend querzuchecken:
Setz einen Port auf eine ative 802.1x Authentisierung und aktivier den .1x Client in einem Rechner. Steck den drauf und checke ob das Radius Paket kommt.
Das MUSS ja klappen, denn natives .1x supportet die Kiste ja.
Der finale Knackpunkt ist hier nämlich ob die HP ProCurve Billiggurke wirklich Mac Authentisierung über .1x supportet ?? Billigheimer wie ProCurve und Co. machen das in der Regel nicht, sondern nur einfaches, normales .1x. (Username/Passwort oder Zertifikat)
Das Datenblatt zu dem Switch ist hier auch mehr oder weniger eindeutig es redet nämlich NICHT von der Radius Mac Authentisierung wie alle anderen, sondern lediglich von Mac Security.
Das ist aber was ganz anderes.
Dabei "merkt" sich der Switch dann die Mac pro Port und lässt nix anderes mehr zu, also sowas wie ein lokaler statischer Mac Filter im Switch.
Mit einer Mac Radius Authentisierung hat das rein gar nix zu tun und würde auch sofort erklären warum der Switch gar keine Radius Pakete sendet, weil er Mac Authentisierung nämlich dann schlicht gar nicht supportet. Wäre nicht groß verwunderlich bei ProCurve....
Da solltest du also nochmal das Handbuch konsultieren oder die HP Hotline anrufen und mal ganz genau nachfragen !!
Consol Zugriff geht über Telnet. IP des Switches telnetten, einloggen und dann mal "?" eingeben. Ein "show run" zeigt meist die Konfig.
snoert
snoert 21.04.2012 um 22:26:09 Uhr
Goto Top
Hallo,

bitte nicht die HP Procurve-Produktlinie mit der eingekauften H3C basierten verwechseln, zu denen der V1910 gehört. Letztere haben deutlich mehr auf dem Kasten, selbst im "Billigbereich".
IEEE 802.1x + MAC wird unterstützt: http://h20000.www2.hp.com/bc/docs/support/SupportManual/c03177177/c0317 ...

Zunächst solltest Du Dir jedoch eine aktuelle Firmware auf das Gerät laden, da diese meist mit einer alten Version ausgeliefert werden:
https://h10145.www1.hp.com/downloads/SoftwareReleases.aspx?ProductNumber ...

Kannst Du mal Deine Konfiguration vom 1910 exportieren und hier posten?

(Du hast 802.1x schon auf den Ports selbst aktiviert? Du solltest dazu dann in den Logs einiges sehen, sobald Du einen PC dort ansteckst)

Davon sollte etwas in Deiner Config vorkommen:

#RADIUS

radius scheme 2000
primary authentication 10.11.1.1 1812
primary accounting 10.11.1.1 1813
key authentication abc
key accounting abc
quit

#domain system

domain system
authentication default radius-scheme 2000
authorization default radius-scheme 2000
accounting default radius-scheme 2000
quit

#802.1X global aktivieren

dot1x

#802.1x auf dem Port selbst aktivieren

interface gigabitethernet 1/0/2
dot1x
dot1x port-method macbased
dot1x port-control auto
quit
aqui
aqui 23.04.2012 um 13:55:22 Uhr
Goto Top
@sroscher
Wars das jetzt ??
Wenn ja bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
sroscher
sroscher 23.04.2012 um 14:03:26 Uhr
Goto Top
@aqui
Nein, leider nicht. Momentan muss ich mich erstmal um was anderes kümmern - ich bleib aber dran. Bis jetzt habe ich leider trotz aller möglichen Versuche noch keinen Kontakt zum Radius Server. Auch ein an einen mit 802.1x konfigurierten Port angestecktes Gerät bringt keinerlei Log-Eintrag bezüglich eines Radius-Request.

Nächste Schritte sind dann Konfig kontrollieren/exportieren und evtl. noch bei HP anrufen - brauch nur erstmal wieder ein bisschen Zeit ...
aqui
aqui 23.04.2012 um 15:02:24 Uhr
Goto Top
Der Radius Request kommt IMMER vom Switch ! Absender IP Adresse ist also immer die Switch IP und niemals ein Client am Switch. Beachte das !
Du musst also sicherstellen das ALLE Switch IPs (sofern du mehrere hast, VLANs etc.) einen Routing Eintrag haben, damit sie den Radius Server erreichen. Oder du musst in der Switchkonfig festlegen WELCHE IP (sollte er mehrere haben) der Switch als Absender IP für die Radius Pakete benutzt.
Sollten Switch und Radius Server in unterschiedlichen IP Netzen sein musst du logischerweise das Routing sicherstellen (Default Route auf Switch, Gateway auf Server) damit die sich "sehen" können !
Das der Switch die aktuellste Firmware geflasht haben sollte, sollte ebenfalls klar sein.

Wenn der Switch keinerlei Radius Pakete sendet, was man ja leicht mit einem Wireshark Sniffer oder aus dem Switch Log sehen kann, dann fehlt de facto etwas in der Switch Radius Konfig.

Wir sind dann mal gespannt hier woran es gelegen hat. In der Regel sind das meist Konfig Fehler, denn der Radius und seine Erreichbarkeit können es nicht wein wie dir dein NTRadPing Test ja schon verlässlich gezeigt haben !
q16marvin
q16marvin 08.06.2015 um 16:48:28 Uhr
Goto Top
bist du hier zu einer lösung gekommen?

wenn ich am window 7 client den dienst fpr die 802.1x geschichte aktiviere kann ich mich mit einem benutzername und ein passwort welches im radius hinterlegt ist anmelden. ist aber mehr als ich wollte, ziel war einfach nur geräte über die mac adresse zu erlauben, das scheinen die v1910 dinger nicht zu können, zumindest finde ich keine lösung eine art whitelist von mac adressen zentral im radius server zu hinterlegen und somit nur "bekannte" mac adressen lan access bekommen ...
aqui
aqui 10.06.2015 um 12:46:32 Uhr
Goto Top
das scheinen die v1910 dinger nicht zu können
Das Feature nennt sich "Mac Bypass" und können die billigen Systeme meist nicht. Mit 99%er Sicherheit auch diese HP Billiggurke nicht.
Bei Cisco ist es ähnlich. Die SG200 Systeme können das nicht aber die SG-300 Systeme und höher supporten es (Siehe zitiertes Tutorial oben !!)
Die einzige Option ist dasnn nur mit statische Mac Security zu arbeiten was aber ungleich aufwendiger ist, da du es auf jedem einzelnen Port customizen muss.
Mal ganz abgesehen von der Tatsache ob auch das Feature überhaupt von diesen HP Gurken supportet wird.