Mikrotik - dyn-vLAN und MAC-auth in ROS 7.2

visucius
Goto Top
Hallo in die Runde,

ich stehe mal wieder auf dem Schlauch und möchte doch eigentlich nur neue Gefilde erobern face-wink

Gegeben sei ein CRS326 mit RouterOS 7.2/stable und mehreren bestehenden port-gebundenen vLANs. Entspricht im großen und ganzen aquis Anleitung hier im Forum. Das läuft auch stabil.

Ziel:
Statt portgebundenen vLANs sollen die vLANs nun über die MAC-Adresse zugeordnet werden. User-Manager und Radius sind lokal auf dem CRS installiert und es gibt ne Hand voll Anleitungen zu ähnlichen Setups (aqui, colinardo und auch citraweb/youtube) , die aber mMn. nicht genau das umsetzen was ich möchte oder zu alt für den internen ROS-internen Radius sind face-wink


UserManager:
Enabled, Router dot1x angelegt, Adresse 127.0.0.1, Passwort vergeben
User angelegt, siehe screenshot
bildschirmfoto 2022-04-10 um 16.25.59


Radius:
dot1x, enabled, 127.0.0.1, udp, Passwort (identisch zum Usermanager)
bildschirmfoto 2022-04-10 um 15.55.17


Port3 zum testen:
Bisher: PVID 33, admit only untagged and prioritiy tagged
So bekommt der Rechner natürlich eine IP aus dem 33er Netz - wie bisher auch.

jetzt: PVID 1, admit all
bildschirmfoto 2022-04-10 um 15.56.24


Stecke ich nun einen Rechner an den Port, bekommt dieser zwar nen DNS aus dem 33 vLAN aber keine (passende) IP mehr.
Im Radius Server "Status" erscheinen Requests und zahlenmäßig passende Timeouts
Im Logfile finde ich nichts vom UserManager aber ich meine irgendwo was von "not assigned" beim Status gesehen zu haben.
Im Logfile meldet sich dafür der Radius wie folgt
bildschirmfoto 2022-04-10 um 15.54.27

Aber nix passiert. Eigentlich sollte der Rechner ja jetzt eine IP aus dem 22er Netz bekommen?!

Liegt es an der Verbindung Usermanager - Radius (deren beider local-host-Adresse?!) oder ist das Port-Setup fehlerhaft?! Das mit dem Trunk-Config ist sozusagen ne Eigen-Inspiration.


Anbei noch der Rest des Setups:

Content-Key: 2466135253

Url: https://administrator.de/contentid/2466135253

Ausgedruckt am: 15.08.2022 um 19:08 Uhr

Mitglied: aqui
Lösung aqui 10.04.2022, aktualisiert am 23.06.2022 um 13:46:15 Uhr
Goto Top
Bei allen Herstellern muss man die Switchports entsprechend markieren die mit MBP oder .1x arbeiten. Das wäre sehr verwunderlich wenn man das bei MT nicht müsste, denn WIE soll der Port wissen ob er eine Authentisierung machen muss oder nicht wenn man ihm das nicht dediziert sagt ?! Cisco macht es pro Port und Ruckus unter dem globalen "authentication" Konfig Block.
Hier mal als Beispiel bei einer Cisco Catalyst oder Ruckus ICX Switch Konfig:
https://administrator.de/contentid/500006#comment-1396235
Bzw. ein Praxisbeispiel zur Radius Authentisierung eines Cisco Catalyst Switches einmal mit Mac Adress Port Authentication und mit 802.1x Port Authentication und Cisco WLAN Access Points mit dem Mikrotik Radius.
Vermutlich liegt da der Schlüssel zu einer Lösung sofern dynamische VLANs auf Kupfer Ports überhaupt supportet sind ?!
Ich sehe mir das auf einem CRS3er hier mal an.
Mitglied: 1915348599
Lösung 1915348599 10.04.2022 aktualisiert um 17:50:50 Uhr
Goto Top
dot1x auf Kupfer mit VLAN Zuweisung ist in der aktuellen 7.2er Firmware noch immer "broken", siehe
https://forum.mikrotik.com/viewtopic.php?t=184778
Der Radius sendet zwar ein AccessAccept aber der Router bekommt es nicht hin das Interface der Bridge als untagged dem VLAN hinzuzufügen, er schreibt zwar das er es hinzufügen will tut es aber nicht, kann ich hier nachstellen.

screenshot
Mitglied: 1915348599
Lösung 1915348599 10.04.2022 aktualisiert um 18:57:18 Uhr
Goto Top
Habe zum Test nochmal ne Firmware 7.1.3 rausgekramt und damit funktioniert die MAC Auth und VLAN Zuweisung mit dem Usermanager wie erwartet problemlos!!

screenshot


Es ist also definitiv ein Bug wenn man die aktuelle 7.2er Firmware verwendet.

Ich sag ja der 7er Zweig hat noch immer seine Tücken, aktueller ist nicht immer gleich besser face-wink.
Mitglied: aqui
Lösung aqui 10.04.2022 um 19:05:19 Uhr
Goto Top
Böses Faul ! Da kann man ja lange suchen.... face-sad
Nebenbei gefragt: Betrifft das rein nur die dynamische VLAN Zuweisung ? Sprich funktioniert wenigstens die nackte Mac Authentisierung in 7.2 ?
Und weitere Frage: Wenn man den "Enable" Haken setzt im User Manager
mt-um
implizieren die Port Angaben ja das das ggf. an sich schon der Radius ist.
Ist es da wirklich erforderlich den Radius explizit zusätzlich nochmal auf die Loopback Adresse zu setzen ?
Vermutlich wohl ja, denn man kann das shared secret ja nicht um UM setzen.
Mitglied: 1915348599
Lösung 1915348599 10.04.2022 aktualisiert um 19:21:43 Uhr
Goto Top
Zitat von @aqui:
Nebenbei gefragt: Betrifft das rein nur die dynamische VLAN Zuweisung ? Sprich funktioniert wenigstens die nackte Mac Authentisierung in 7.2 ?
Nein geht beides nicht. Mac Auth und dot1x via TLS geht ebenso nicht.
Und weitere Frage: Wenn man den "Enable" Haken setzt im User Manager
mt-um
implizieren die Port Angaben ja das das ggf. an sich schon der Radius ist.
Jepp Usermanagager ist ein vollwertiger Radius Server
Ist es da wirklich erforderlich den Radius explizit zusätzlich nochmal auf die Loopback Adresse zu setzen ?
Vermutlich wohl ja, denn man kann das shared secret ja nicht um UM setzen.
Nöp ist nicht die Ursache, ich setze da aber auch als SRC immer die 127.0.0.1. Das ist aber nicht die Ursache.
Gibt ja auch unter 7.2 schön ein Access-Accept des Usermanager, aber der Router selbst macht einfach nicht die Freigabe des Ports, unter 7.1.3 die selbe Config klappt sowohl die MAC Auth als auch die EAP Auth (benötigt dann zwingend ein Server-Zertifikat im Usermanager) auf Anhieb!
Mitglied: aqui
Lösung aqui 10.04.2022, aktualisiert am 11.04.2022 um 09:04:26 Uhr
Goto Top
Danke fürs Feedback ! Dann heisst es also mal wieder warten...oder die 7.1.3 oder 7.1.5 behalten. 😉
Mitglied: colinardo
Lösung colinardo 10.04.2022 aktualisiert um 19:43:57 Uhr
Goto Top
Servus @all.
Zitat von @Visucius:
es gibt ne Hand voll Anleitungen zu ähnlichen Setups (aqui, colinardo und auch citraweb/youtube) , die aber mMn. nicht genau das umsetzen was ich möchte oder zu alt für den internen ROS-internen Radius sind face-wink
Die sind nicht zu alt, nur RouterOS im 7er Zweig spielt hier einfach nicht immer mit face-smile.
@1915348599 hat recht, in der aktuellen Firmware ist die dynamische Zuweisung zu VLANs im dot1x Modul "broken", sowohl mit reiner MAC auth als auch über EAP & Co. Ist mir gestern auch erst aufgefallen als ich meine VMs aktualisiert habe. Dachte auch zuerst meine Config wäre fehlerhaft, war sie aber definitiv nicht.
Mit RouterOS 7.1.5 geht es übrigens auch noch.

Also, abwarten und Tee trinken oder für Tests downgraden ...
Grüße Uwe
Mitglied: Visucius
Visucius 11.04.2022 um 11:19:38 Uhr
Goto Top
Guten Morgen,

also erstmal vielen Dank für das flotte, professionelle und differenzierte Feedback!

Puh, dann bin ich ja froh, dass ich nicht mehr mit diesen billigen Plaste-Routern zu tun habe, die einfach nen halbes Jahrzehnt mit Auto-Update ihren Dienst tun. Mit dem "Profi-Equipment" darf ich jetzt Update-Veröffentlichungen lesen, die Features auf Notwendigkeit und Implikation mit meinem Setup abwägen und anschließend im Firmenforum prüfen ob evtl. bisher vorhandene Funktionen weg sind bzw. nur in einer ausgesuchten Kombination aus Prozessor, Software und magnetischem Feen- ähh Saharastaub von links bei Vollmond funktionieren 😂

Spaß beiseite:
Wenn man den "Enable" Haken setzt im User Manager ... implizieren die Port Angaben ja das das ggf. an sich schon der Radius ist. (@aqui)
und
Jepp Usermanagager ist ein vollwertiger Radius Server (@Pretty)

Heißt das im Prinzip, ich muss den Radius-Server (Root-Menue-Ebene) gar nicht aktivieren, weil in 7.2 der Usermanager das schon inkludiert hat?! Ich dachte, der Usermanager hat nur die Zugangsdaten und ruft den (extra) Radius-Server auf um die Zugänge zu verifizieren?!

Viele Grüße

PS: Der (zusätzliche?) Radius scheint eh etwas buggy. Das Fenster ist immer erstmal leer und irgendwann erscheint dann die angelegte Zeile. Gestern habe ich versehentlich 8 Radius-Setups angelegt, weil ich dachte, die würden nicht gespeichert und irgendwann füllte sich dann das Fenster.
Mitglied: colinardo
Lösung colinardo 11.04.2022 aktualisiert um 12:18:30 Uhr
Goto Top
Zitat von @Visucius:
Heißt das im Prinzip, ich muss den Radius-Server (Root-Menue-Ebene) gar nicht aktivieren, weil in 7.2 der Usermanager das schon inkludiert hat?!
Doch unter dem Punkt RADIUS werden die Radius-Clients aufgeführt und den brauchst du zwingend, da dieser ja die Anfragen der Clients an den Radius-Server(Usermanager) weiterleitet, wenn du das im Radius-Client so eingestellt hast. Der Radius-Server ist dann hier der Usermanager selbst.

Ich dachte, der Usermanager hat nur die Zugangsdaten und ruft den (extra) Radius-Server auf um die Zugänge zu verifizieren?!
Nein, der Usermanager ist in dem Fall gleichzeitig der Radius Server der dem Radius-Client sein Access-Accept/Reject übermittelt und der Client dann darufhin wiederum Zugang freischaltet/blockiert!

Hier mal zur Verdeutlichung wie das ganze abläuft.

screenshot


PS: Der (zusätzliche?) Radius scheint eh etwas buggy. Das Fenster ist immer erstmal leer und irgendwann erscheint dann die angelegte Zeile. Gestern habe ich versehentlich 8 Radius-Setups angelegt, weil ich dachte, die würden nicht gespeichert und irgendwann füllte sich dann das Fenster.
Das ist ein Anzeige-Fehler in der Winbox. Auch die Sessions können in der Usermanager GUI nicht entfernt werden, über ein Terminal kannst du es aber jederzeit machen.
Mitglied: aqui
aqui 11.04.2022 um 11:52:56 Uhr
Goto Top
der dem Radius-Client sein Access-Accept/Reject übermittelt und der Client dann darufhin wiederum Zugang freischaltet/blockiert!
Ich denke mal das ist quasi das was man beim FreeRadius in der client.conf Datei anlegt und was die Client IP Adressen oder Range und das Radius Passwort spezifiziert die Zugang zum Radius haben.
Mitglied: 1915348599
1915348599 11.04.2022 aktualisiert um 12:08:22 Uhr
Goto Top
Der Mikrotik ist halt Authenticator und Radius-Server in einem, ergo muss er eine Client- und eine Server-Config haben. Eigentlich ganz logisch face-wink. Leider steht in der GUI der Winbox fälschlicherweise "Radius-Server" wenn man einen neuen Eintrag in der Radius-Client Config anlegt, ist etwas missverständlich betitelt.
Mitglied: aqui
aqui 11.04.2022 um 15:36:26 Uhr
Goto Top
Eigentlich ganz logisch
Absolut ! 😉
Andere Mikrotik Komponenten im Netz (oder Hersteller fremde) könnten ihn aber auch als zentralen Radius Server nutzen wo dann lediglich nur die Client Funktion erforderlich wäre. Oder z.B. alternativ bei einem Core Switch, der ja eher selten Port Security macht, zentral die Server Funktion bereitstellen.
Muss man sich auch erstmal dran gewöhnen das ein Switch gleichzeitig auch Radius Server spielen kann. 😎
Mitglied: Visucius
Visucius 12.04.2022 aktualisiert um 16:03:01 Uhr
Goto Top
@colinardo: Danke, jetzt glaube ich, hab ichs.

Bilder sagen mehr als tausend Worte:
bildschirmfoto 2022-04-12 um 15.57.11

@1915348599: Jo, so ist es. Wenn man dann nicht sattelfest ist, wird man über die Benennung in die falsche Richtung geschoben.

Danke nochmals an alle Teilnehmer. Habe gerade gesehen, dass sich daran offenbar auch in 7.2.1 nix geändert hat.
Mitglied: aqui
aqui 12.04.2022 um 16:34:51 Uhr
Goto Top
dass sich daran offenbar auch in 7.2.1 nix geändert hat.
face-sad
Mitglied: 1915348599
1915348599 12.04.2022 aktualisiert um 17:19:55 Uhr
Goto Top
Is halt nur eine Baustelle von hunderten ...
Es hindert ja keinen daran einfach erst mal bei 7.1.3 oder 7.1.5 zu bleiben 😉, wenn man von den anderen offenen Ticks nicht betroffen ist. Der 7er Zweig muss halt erst mal 1-2 Jahre reifen ... Als stable verkauft auf den Markt geworfen wurde er ja ehrlich gesagt im frühen Beta-Stadium.
Mitglied: aqui
aqui 14.05.2022 um 11:19:24 Uhr
Goto Top
Gibt es Infos zum Verhalten in der aktuellen 7.2.3 Stable? Ist das .1x Problem da ggf. gefixt??
Mitglied: colinardo
colinardo 14.05.2022 aktualisiert um 19:42:17 Uhr
Goto Top
Zitat von @aqui:

Gibt es Infos zum Verhalten in der aktuellen 7.2.3 Stable? Ist das .1x Problem da ggf. gefixt??
In der aktuellen stable ist der Fehler noch vorhanden, aber im aktuellen Testing ist es gefixt (7.3.beta40)

https://forum.mikrotik.com/viewtopic.php?p=933175#p933175
Mitglied: aqui
aqui 14.05.2022 um 11:53:59 Uhr
Goto Top
Danke für dein Feedback.
Na dann hoffen wir mal das das dann auch asap in einen .4 Stable Fix fliesst... 😉
Mitglied: Visucius
Visucius 25.05.2022 um 15:59:39 Uhr
Goto Top
Hm, ich habs in der 7.3beta40 geht es bei mir noch nicht?! Hat das evtl. schon jemand mit der Version am laufen?!

@colinardo:
Ich habe noch eine Frage zu Deiner Erklärung des configs vom Dot1x-Fensters. Nur zu Sicherheit: Unter "Client" muss ich da nix eintragen?! Oder ist das ausschließlich für die Zertifikate-Auth.?

Mir ist das Verfahren noch nicht so ganz klar.

Im Usermanager definiere ich, welche MAC-Adressen, welche vLAN-Zuweisung erhalten. Aber PW habe ich da nicht hinterlegt?! Müsste ich da nicht die login-Daten des Users irgendwie ...?! Oder brauche ich sowas nciht, weil die Geräte "in der Schwebe" hängen, bis ich ihrer MAC-Adresse "freigebe" und eine vLAN zuweise?!

Vielen Dank im Voraus!
Mitglied: colinardo
colinardo 25.05.2022 aktualisiert um 16:21:51 Uhr
Goto Top
Zitat von @Visucius:

Hm, ich habs in der 7.3beta40 geht es bei mir noch nicht?! Hat das evtl. schon jemand mit der Version am laufen?!
Ja läuft hier im Test wieder einwandfrei!
@colinardo:
Ich habe noch eine Frage zu Deiner Erklärung des configs vom Dot1x-Fensters. Nur zu Sicherheit: Unter "Client" muss ich da nix eintragen?! Oder ist das ausschließlich für die Zertifikate-Auth.?
Das ist nur wenn sich der Mikrotik selbst gegenüber einem anderen Router authentifizieren soll, also er den Client spielt.
Im Usermanager definiere ich, welche MAC-Adressen, welche vLAN-Zuweisung erhalten. Aber PW habe ich da nicht hinterlegt?! Müsste ich da nicht die login-Daten des Users irgendwie ...?! Oder brauche ich sowas nciht, weil die Geräte "in der Schwebe" hängen, bis ich ihrer MAC-Adresse "freigebe" und eine vLAN zuweise?!
MAC Auth verwendet Standardmäßig kein Passwort, die MAC Adresse ist hierbei ja das Authentifizierungsmerkmal.
Außer du definierst im dot1x Abschnitt "mac as username and password" dann musst du im Passwort-Feld des Usermanagers auch die MAC Adresse hinterlegen weil der Radius-Client des Mikrotik dann auch ein Passwort an den Usermanager sendet und wenn das im Usermanager leer ist schlägt die Authentifizierung fehl.
Mitglied: Visucius
Visucius 25.05.2022 aktualisiert um 16:39:31 Uhr
Goto Top
Mist, dann kann ich mein Unvermögen doch nicht auf Mikrotik schieben face-wink

PS: Danke fürs flotte Feedback!

PPS: Wenn ich mein Logfile richtig interpretiere droppt die Firewall die UDP-Anfragen vom dot1x. Weil kinderfrei, gucke ich mir das aber erst morgen in Ruhe an.
Mitglied: aqui
aqui 07.06.2022 um 13:23:54 Uhr
Goto Top
Jemand die Radius Funktion mit der nun aktuellen Stable 7.3 schonmal wasserdicht getestet ob die o.a. Zicken dort jetzt gefixt wurden?!
Mitglied: colinardo
colinardo 07.06.2022 aktualisiert um 15:40:41 Uhr
Goto Top
Zitat von @aqui:

Jemand die Radius Funktion mit der nun aktuellen Stable 7.3 schonmal wasserdicht getestet ob die o.a. Zicken dort jetzt gefixt wurden?!
Ja, die Fixes der 7.2beta40 sind in 7.3 eingeflossen, läuft hier im Test bisher wieder unauffällig. Mal sehen wie lange diesmal 🙃.

dot1x EAP am client:

screenshot

MAC Auth:

screenshot

Grüße Uwe
Mitglied: aqui
aqui 07.06.2022 um 15:31:59 Uhr
Goto Top
Perfekt! Dann setze ich das hier auch mal auf zum Testen....
Mitglied: Visucius
Visucius 07.06.2022 aktualisiert um 15:35:14 Uhr
Goto Top
Wie, Du testest erst, wenn alles funktioniert?!

Irgendwas mache ich hier falsch 😂

Um den Thread bzw. Kreis zu "schließen". Bei mir hats auch funktioniert (am LAN-Port), nach der Modifikation der Firewall

@aqui: Am Wifi-Thema bin ich noch dran, war am WE keine Zeit.
Mitglied: aqui
aqui 08.06.2022, aktualisiert am 09.06.2022 um 19:02:41 Uhr
Goto Top
Just for Info....
Heute einmal einen Cisco Catalysten und Ruckus ICX mit reiner Mac Authentisierung (mab), dynamischer VLAN Zuweisung gegen den Mikrotik Radius Server auf einem CRS Switch mit der o.a. Stable 7.3 getestet.

back-to-topMikrotik Radius Setup

macmikr

back-to-topCisco Konfig

!
spanning-tree mode mst
spanning-tree extend system-id
!
spanning-tree mst configuration
name Mikrotik
revision 3
!
aaa new-model
!
aaa authentication login default local
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
!
dot1x system-auth-control
!
interface FastEthernet0/1
description Authentication mab plus dot1x
switchport mode access
authentication order mab dot1x
authentication port-control auto
authentication periodic
mab (eap)
dot1x pae authenticator
spanning-tree portfast
!
interface FastEthernet0/2
description Port Authentication
switchport mode access
authentication port-control auto
authentication periodic
mab (eap)
spanning-tree portfast
!
radius server labradius
address ipv4 172.30.3.1 auth-port 1812 acct-port 1813
key testing123
!

back-to-topCatalyst Logging

Fazit:
Works as designed ! 👍
Tests mit 802.1x und einer Kombi aus Mac und .1x folgen noch.
Sieht also bis dato sehr gut aus das das jetzt mit der 7.3er stabil rennt.

Interessant:
Zum Vergleich lief im gleichen Management Netz parallel ein FreeRadius.
Schaltet man den Cisco am Port von PAP (Default) testweise einmal auf EAP um kann der Mikrotik das Endgerät nicht mehr authentisieren obwohl alle EAP und PEAP Verfahren im Profil angehakt waren, der FreeRadius hingegen authentisiert auch EAP.
Mitglied: colinardo
colinardo 08.06.2022 aktualisiert um 23:28:45 Uhr
Goto Top
Zitat von @aqui:
Interessant:
Zum Vergleich lief im gleichen Management Netz parallel ein FreeRadius.
Schaltet man den Cisco am Port von PAP (Default) testweise einmal auf EAP um kann der Mikrotik das Endgerät nicht mehr authentisieren obwohl alle EAP und PEAP Verfahren im Profil angehakt waren, der FreeRadius hingegen authentisiert auch EAP.

EAP-? was?
Hast du im Mikrotik auch nicht vergessen ein CA-Zertifikat im Usermanager zu hinterlegen? Ohne das werden die meisten EAP Methoden fehlschlagen. EAP-TLS oder EAP-MSChapv2 läuft hier mit der 7.3 und 802.1x bis jetzt einwandfrei, s. Screenshot oben.

Grüße Uwe
Mitglied: aqui
aqui 08.06.2022 aktualisiert um 23:02:17 Uhr
Goto Top
Hi Uwe !
Nee, alles (noch) ohne Zertifikat. Bei reinem MacAuth braucht man das nicht denn MacBypass verifiziert das m.E. gar nicht. Zumindestens kann man es bei keinem Hersteller bei reiner MacAuth konfigurieren.
Macht der User Manager übrigens ganz klaglos auch ohne Zertifikat. Siehe oben... 😉
Bei dot1x ist das natürlich anders wo der Client das ja authentifizieren kann sofern man das im Client anhakt/aktiviert.
Man kann dem MacAuth beim Cisco sagen er soll EAP statt PAP nutzen bei der Radius Anfrage:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/m1/sec-m1-cr- ...
Möglich das er da mit EAP ein Zertifikat erzwingt und das der Grund des Scheiterns ist?!
Wohlgemerkt MacAuth only, kein dot1x. Mehr hatte ich oben noch nicht getestet.
Mitglied: colinardo
colinardo 09.06.2022 aktualisiert um 00:23:03 Uhr
Goto Top
Zitat von @aqui:
Man kann dem MacAuth beim Cisco sagen er soll EAP statt PAP nutzen bei der Radius Anfrage:
Ach so, OK.
Möglich das er da mit EAP ein Zertifikat erzwingt und das der Grund des Scheiterns ist?!
Zertifikate werden für eap-tls, eap-ttls und eap-peap Methoden am MIkrotik benötigt, da EAP-MD5 das ohne certs arbeitet beim Usermananger eh wegfällt da nicht supported, müsstest du schauen welche EAP-Spielart dein Router beim Setzen des EAP Flags bei MAC auth hier benutzt (sollte dir das Debug Log deines Freeradius ja verraten). Juniper supported bspw. auch eap-peap bei der MAC auth, dann wäre im Usermanager ein Server-Cert Pflicht.
Mitglied: aqui
aqui 09.06.2022 aktualisiert um 10:48:38 Uhr
Goto Top
EAP mag er, da MD5, trotz Zertifikate nicht. OK, klar wenn nicht supportet im MT.
Just for Info...

back-to-topFreeRadius Debug

Mit PAP (Default)
Mit EAP (mab eap)

back-to-topMT Log

mtlog
Alle Haken bei Outer Auth und Inner Auth testweise gesetzt.
Es ist jetzt aber eh nur kosmetische Spielerei, denn mit dem Default PAP rennt es ja fehlerlos.
Mitglied: colinardo
colinardo 09.06.2022 aktualisiert um 10:00:13 Uhr
Goto Top
(2) eap: Peer sent packet with method EAP MD5 (4
Der Cisco probiert es mit EAP-MD5 und das supported der Usermanager wie erwähnt nicht, wäre auch ehrlich gesagt kein großer Gewinn.
Mitglied: aqui
aqui 09.06.2022, aktualisiert am 04.07.2022 um 12:32:46 Uhr
Goto Top
Danke für das Feedback. Hatte ich im Eifer des Gefechts glatt überlesen.
MD5 ist ja auch schon etwas "antik" und nicht mehr empfehlenswert.
Mitglied: aqui
aqui 09.06.2022, aktualisiert am 04.07.2022 um 12:33:35 Uhr
Goto Top
Just for Info zum Abgesang auch nochmal Dot1x mit und ohne Zertifikat getestet mit Mac und Windows 10/11 (Linux hat Kollege @colinardo in seinem umfassenden Tutorial zu dem Thema ja schon erledigt) und auch das klappt fehlerlos mit dem MT Radius.
Auch die kombinierte Port Authentisierung mit MAB und Dot1x am Catalysten als auch am Ruckus ICX. Auch die klappt fehlerlos.
!
interface GigabitEthernet0/4
description Authentication map plus dot1x
switchport mode access
authentication event fail action authorize vlan 10
authentication order mab dot1x
authentication port-control auto
authentication periodic
mab
dot1x pae authenticator
spanning-tree portfast
!

dot1x
Der Mac macht es dem User (wie gewohnt) sehr leicht indem er beim Dot1x Erstkontakt automatisch das Server Zertifikat in die Schlüsselbundverwaltung importiert. face-wink

Auch die gleiche Radius Authentisierung im WLAN Umfeld funktioniert ebenso fehlerlos.