ntwusr01
Goto Top

NPS Radius - Win 10 Client wird nicht im richtigen VLAN zugeordnet

Hallo,

ich stehe vor einem Problem und könnte eure Hilfe gebrauchen.

Wir möchten ein dynamisches VLAN für kabelgebundene Windows 10 Clients einrichten.
Dazu haben wir den NPS auf einem Windows Server 2019 installiert.
Die VLANs sind auf unserer Firewall eingerichtet (inkl. DHCP) und zu den Switchen durchgetagged.
Das ist auch soweit getestet und funktioniert.

Jetzt habe ich einen Netgear Switch GS748TR zum Testen hier. Dort wurde der Radius Server auf Port 1812 eingetragen.
802.1X "Port Based Authentication State" wurde aktiviert und die entsprechenden Ports, wie bei Netgear beschrieben, auf "Auto" gesetzt.
Soweit so gut.

Die Konfiguration der Netzwerkrichtlinie sieht folgendermaßen aus:
EAP-Konfiguration: Konfiguriert
Zugriffsberechtigung: Zugriff gewähren
EAP-Methode: Microsoft: Geschütztes EAP (PEAP) OR Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
NAS-Porttyp: Ethernet
Authentifizierungmethode: EAP
Tunnel-Medium-Type: 802
Tunnel-Pvt-Group-ID: 150
Tunnel-Type: Virtual LANs
Service-Type: Framed
Framed-Protocol: PPP


Der Dienst "Automatische Verkabelung" wurde am Windows Client aktiviert.

Das Ereignisprotokoll des NPS wird mir bei meinem Benutzer auch angezeigt "Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt." Scheint also soweit zu funktionieren. Ich habe Zugriff aufs Netz.
Jetzt aber das Problem: ich komme immer ins Standard VLAN und nicht in VLAN150, was mein eigentliches Ziel ist?

Weiterhin habe ich an einem Netgear S3300-52X, welcher im Produktiveinsatz ist, getestet. Dieser hat im Gegensatz zu GS748TR drei weitere 802.1x "Funktionen", die da lauten:
- "VLAN Assignment Mode"
- "Dynamic VLAN Creation Mode"
- "EAPOL Flood Mode"

Ich glaube beim Aktivieren des "VLAN Assignment Mode" habe ich mich ausgekegelt. Ich komme nicht mehr auf die Managementkonsole. Die IP des Switches ist auch nicht mehr anpingbar. Habe zum Glück vorher ein Backup gemacht, welches ich dann wieder nach einem Reset einspielen werde.
Interessant zu erwähnen, dass bei diesem Switch bei gleicher Konfiguration / Anpassung im NPS, nichtmal eine Radius Meldung an den Radius Server gesendet wurde. (Habe ich geprüft mit Wireshark).

Hat jemand eine Idee woran das mit den beiden Switchen liegen könnte?
Im Bereich WLAN mit Watchguard APs funktioniert die Radius Anmeldung und VLAN Zuordnung einwandfrei.

Content-ID: 1291904516

Url: https://administrator.de/contentid/1291904516

Ausgedruckt am: 25.11.2024 um 07:11 Uhr

aqui
aqui 22.09.2021 aktualisiert um 14:04:14 Uhr
Goto Top
Vielleicht helfen als Vergleich mal die Setups für Cisco und Ruckus Switches mit FreeRadius:
Ruckus ICX - 802.1x - is mac-vlan member of 2 vlans in single-untagged mode
Cisco SG 350x Grundkonfiguration

Was den Mode anbetrifft muss es der Dynamic VLAN Creation Mode sein denn es handelt sich hier ja um dynamische VLAN Zuweisung via Radius. Siehe HIER, Seite 259, Punkt 4
Authentisierst du über die Mac Adresse oder den Windows Usernamen ?
ntwusr01
ntwusr01 22.09.2021 aktualisiert um 16:17:52 Uhr
Goto Top
Ich authentifiziere über Windows User. Es gibt für jede Abteilung eine Gruppe und ein eigenes VLAN.
Den Dynamic VLAN Creation Mode gibt es bei demGS748 nicht, heißt das, dass es auch nicht so klappen kann wie ich es mir wünsche?
aqui
aqui 22.09.2021 aktualisiert um 16:25:16 Uhr
Goto Top
OK, Port Control darf dann nicht auf "Mac based" stehen sondern auf "Auto".
Den Dynamic VLAN Creation Mode gibt es bei demGS748 nicht
Ja, das kann sehr gut sein. Viele dieser billigen Websmart Switches supporten keine dynamischen VLANs bei 802.1x Port Security.
Bei Cisco ist es auch so das die SG2xx Serie zwar .1x macht aber keine dyn. VLANs. Das Feature ist erst aber der SG3xx Serie und höher supportet. Steht dummerweise nicht in der Doku.
Du tust also gut daran einmal die NetGear Hotline in München anzurufen um das wasserdicht zu klären !
Normal, wenn die ein gutes Logging machen, gibt es eine Log Meldung im Switch mit einem Radius Attribut Error das sie dieses Attribut nicht lesen können.
ntwusr01
ntwusr01 22.09.2021 um 17:13:52 Uhr
Goto Top
Ok, schade. Kläre ich ab, aber sowas in der Richtung habe ich schon vermutet. Aber welchen Nutzen hat dann die 802.1x Authentifizierung am Switch?
Hast du noch Ideen, warum es beim 2. Switch nicht funktioniert bzw. warum ich den Zugriff aufs Management verliere?
aqui
aqui 22.09.2021 aktualisiert um 19:36:45 Uhr
Goto Top
Aber welchen Nutzen hat dann die 802.1x Authentifizierung am Switch?
Das man eine absolut wasserdichte Zugangskontrolle zum Netzwerk hat in das ausschliesslich gewollte Hardware oder User Zutritt haben. Das ist doch schonmal was, oder ?
Hersteller gehen davon aus das solches User Clientel dumme, flache Layer 2 Netze hat die nicht segmentiert sind und denen bietet man dann zumindest diese einfache Sicherheit. VLAN s müssen sie am Port dann weiter statisch zuweisen. Die Masse dieser User zahlt solche Features auch nicht weil sie rein preisorientiert kaufen.
Etwas anspruchsvolleres Clientel soll auch etwas anspruchsvollere HW kaufen. Da steckt bei jedem Hersteller auch immer etwas Marketing mit drin. Als Netzwerker kennt man ja solche Spielchen und achtet entsprechend bei der Beschaffung darauf !
Wenn dir ums Budget geht kaufst du Mikrotik Switches. Die konnen alles in dem Umfeld zum kleinen Preis.
ntwusr01
ntwusr01 23.09.2021 um 05:14:11 Uhr
Goto Top
Ums Budget geht es nicht. Ich habe die Switche damals nicht beschaffen. Die Anforderungen an das Netzwerk waren damals ganz andere, da das Unternehmen nicht so groß war wie heute. Die GS748 sind letztes Jahr alle ersetzt worden. Die „neuen“ S3300 sollen das dynamische VLAN ja auch unterstützen.
Das Problem nur, dass ich jetzt nur in Produktivumgebung testen kann - oder ich müsste die anderen Clients umstecken. Ich melde mich, wenn ich neue Erkenntnisse habe. Danke schonmal für die Unterstützung
aqui
aqui 23.09.2021 aktualisiert um 09:10:30 Uhr
Goto Top
Als Firmennetzwerk Admin beschafft man sich aber immer einen "Spare Part" Switch wenn eh neu beschafft wurde. Zum einen kann man damit problemlos neue Features vor dem Rollout wasserdicht testen und hat zudem einen Ersatz. Wurde wohl leider versäumt, kann man ja aber nachholen. face-wink
Ich melde mich, wenn ich neue Erkenntnisse habe
Wir sind gespannt...
ntwusr01
Lösung ntwusr01 27.09.2021 um 09:58:40 Uhr
Goto Top
Hallo aqui,

hatte in der letzten Woche die Switche so umverkabelt, dass ich den S3300 frei zum Testen hatte.
Nachdem ich die aktuelle Firmware aufgespielt, die Konfiguration neu vorgenommen und dabei die drei oben genannten Funktionen aktiviert hatte, funktionierte auch das dynamische VLAN.

Damit ist das Thema für mich erstmal erledigt.
Einen "Spare Part" Switch habe ich mit in die Investitionsliste aufgenommen.
Vielleicht sitzt ja noch einer drin. face-wink
aqui
aqui 27.09.2021 um 10:08:41 Uhr
Goto Top
👍
Bitte dann auch nicht vergessen den Thread als gelöst zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
ntwusr01
ntwusr01 01.10.2021 um 17:47:46 Uhr
Goto Top
Hallo aqui,

das Thema ist zwar erledigt, aber ich möchte es gerne hier einmal weiterführen, weil es inhaltlich passt.
Das dynamische VLAN funktioniert soweit.

Nun nutzen wir aber Bitlocker zur Verschlüsselung der Windows Clients. Aktuell befinden sich alle Clients noch in einem IP-Netz.
Dazu haben wir eine Netzwerkentsperrung eingerichtet. Diese Netzwerkentsperrung funktioniert jedoch im dynamischen VLAN nicht mehr, weil die Authentifizierung ja logischerweise erst beim Windows Start beginnt. Somit muss der Benutzer vor Start des Rechners einen Pin eingeben.

Hättest du eine Idee, wie man das einrichten könnte? Eventuell über MAB?
aqui
aqui 01.10.2021 aktualisiert um 17:51:07 Uhr
Goto Top
Das dynamische VLAN funktioniert soweit.
👍
Hättest du eine Idee, wie man das einrichten könnte? Eventuell über MAB?
Uuuhhh da muss einer unser Windows Profis ran. Kollege @DerWoWusste u.a. hat da seinerzeit mal ein paar Tutorials zum Thema Bitlocker verfasst.
DerWoWusste
DerWoWusste 01.10.2021 um 19:40:22 Uhr
Goto Top
Hallo.

Wir sind "PIN-Piloten" und nutzen Network-unlock nicht, so dass ich leider zu diesem Fall speziell nichts sagen kann.