NPS Radius - Win 10 Client wird nicht im richtigen VLAN zugeordnet
Hallo,
ich stehe vor einem Problem und könnte eure Hilfe gebrauchen.
Wir möchten ein dynamisches VLAN für kabelgebundene Windows 10 Clients einrichten.
Dazu haben wir den NPS auf einem Windows Server 2019 installiert.
Die VLANs sind auf unserer Firewall eingerichtet (inkl. DHCP) und zu den Switchen durchgetagged.
Das ist auch soweit getestet und funktioniert.
Jetzt habe ich einen Netgear Switch GS748TR zum Testen hier. Dort wurde der Radius Server auf Port 1812 eingetragen.
802.1X "Port Based Authentication State" wurde aktiviert und die entsprechenden Ports, wie bei Netgear beschrieben, auf "Auto" gesetzt.
Soweit so gut.
Die Konfiguration der Netzwerkrichtlinie sieht folgendermaßen aus:
EAP-Konfiguration: Konfiguriert
Zugriffsberechtigung: Zugriff gewähren
EAP-Methode: Microsoft: Geschütztes EAP (PEAP) OR Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
NAS-Porttyp: Ethernet
Authentifizierungmethode: EAP
Tunnel-Medium-Type: 802
Tunnel-Pvt-Group-ID: 150
Tunnel-Type: Virtual LANs
Service-Type: Framed
Framed-Protocol: PPP
Der Dienst "Automatische Verkabelung" wurde am Windows Client aktiviert.
Das Ereignisprotokoll des NPS wird mir bei meinem Benutzer auch angezeigt "Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt." Scheint also soweit zu funktionieren. Ich habe Zugriff aufs Netz.
Jetzt aber das Problem: ich komme immer ins Standard VLAN und nicht in VLAN150, was mein eigentliches Ziel ist?
Weiterhin habe ich an einem Netgear S3300-52X, welcher im Produktiveinsatz ist, getestet. Dieser hat im Gegensatz zu GS748TR drei weitere 802.1x "Funktionen", die da lauten:
- "VLAN Assignment Mode"
- "Dynamic VLAN Creation Mode"
- "EAPOL Flood Mode"
Ich glaube beim Aktivieren des "VLAN Assignment Mode" habe ich mich ausgekegelt. Ich komme nicht mehr auf die Managementkonsole. Die IP des Switches ist auch nicht mehr anpingbar. Habe zum Glück vorher ein Backup gemacht, welches ich dann wieder nach einem Reset einspielen werde.
Interessant zu erwähnen, dass bei diesem Switch bei gleicher Konfiguration / Anpassung im NPS, nichtmal eine Radius Meldung an den Radius Server gesendet wurde. (Habe ich geprüft mit Wireshark).
Hat jemand eine Idee woran das mit den beiden Switchen liegen könnte?
Im Bereich WLAN mit Watchguard APs funktioniert die Radius Anmeldung und VLAN Zuordnung einwandfrei.
ich stehe vor einem Problem und könnte eure Hilfe gebrauchen.
Wir möchten ein dynamisches VLAN für kabelgebundene Windows 10 Clients einrichten.
Dazu haben wir den NPS auf einem Windows Server 2019 installiert.
Die VLANs sind auf unserer Firewall eingerichtet (inkl. DHCP) und zu den Switchen durchgetagged.
Das ist auch soweit getestet und funktioniert.
Jetzt habe ich einen Netgear Switch GS748TR zum Testen hier. Dort wurde der Radius Server auf Port 1812 eingetragen.
802.1X "Port Based Authentication State" wurde aktiviert und die entsprechenden Ports, wie bei Netgear beschrieben, auf "Auto" gesetzt.
Soweit so gut.
Die Konfiguration der Netzwerkrichtlinie sieht folgendermaßen aus:
EAP-Konfiguration: Konfiguriert
Zugriffsberechtigung: Zugriff gewähren
EAP-Methode: Microsoft: Geschütztes EAP (PEAP) OR Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
NAS-Porttyp: Ethernet
Authentifizierungmethode: EAP
Tunnel-Medium-Type: 802
Tunnel-Pvt-Group-ID: 150
Tunnel-Type: Virtual LANs
Service-Type: Framed
Framed-Protocol: PPP
Der Dienst "Automatische Verkabelung" wurde am Windows Client aktiviert.
Das Ereignisprotokoll des NPS wird mir bei meinem Benutzer auch angezeigt "Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff gewährt." Scheint also soweit zu funktionieren. Ich habe Zugriff aufs Netz.
Jetzt aber das Problem: ich komme immer ins Standard VLAN und nicht in VLAN150, was mein eigentliches Ziel ist?
Weiterhin habe ich an einem Netgear S3300-52X, welcher im Produktiveinsatz ist, getestet. Dieser hat im Gegensatz zu GS748TR drei weitere 802.1x "Funktionen", die da lauten:
- "VLAN Assignment Mode"
- "Dynamic VLAN Creation Mode"
- "EAPOL Flood Mode"
Ich glaube beim Aktivieren des "VLAN Assignment Mode" habe ich mich ausgekegelt. Ich komme nicht mehr auf die Managementkonsole. Die IP des Switches ist auch nicht mehr anpingbar. Habe zum Glück vorher ein Backup gemacht, welches ich dann wieder nach einem Reset einspielen werde.
Interessant zu erwähnen, dass bei diesem Switch bei gleicher Konfiguration / Anpassung im NPS, nichtmal eine Radius Meldung an den Radius Server gesendet wurde. (Habe ich geprüft mit Wireshark).
Hat jemand eine Idee woran das mit den beiden Switchen liegen könnte?
Im Bereich WLAN mit Watchguard APs funktioniert die Radius Anmeldung und VLAN Zuordnung einwandfrei.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1291904516
Url: https://administrator.de/contentid/1291904516
Ausgedruckt am: 25.11.2024 um 07:11 Uhr
12 Kommentare
Neuester Kommentar
Vielleicht helfen als Vergleich mal die Setups für Cisco und Ruckus Switches mit FreeRadius:
Ruckus ICX - 802.1x - is mac-vlan member of 2 vlans in single-untagged mode
Cisco SG 350x Grundkonfiguration
Was den Mode anbetrifft muss es der Dynamic VLAN Creation Mode sein denn es handelt sich hier ja um dynamische VLAN Zuweisung via Radius. Siehe HIER, Seite 259, Punkt 4
Authentisierst du über die Mac Adresse oder den Windows Usernamen ?
Ruckus ICX - 802.1x - is mac-vlan member of 2 vlans in single-untagged mode
Cisco SG 350x Grundkonfiguration
Was den Mode anbetrifft muss es der Dynamic VLAN Creation Mode sein denn es handelt sich hier ja um dynamische VLAN Zuweisung via Radius. Siehe HIER, Seite 259, Punkt 4
Authentisierst du über die Mac Adresse oder den Windows Usernamen ?
OK, Port Control darf dann nicht auf "Mac based" stehen sondern auf "Auto".
Bei Cisco ist es auch so das die SG2xx Serie zwar .1x macht aber keine dyn. VLANs. Das Feature ist erst aber der SG3xx Serie und höher supportet. Steht dummerweise nicht in der Doku.
Du tust also gut daran einmal die NetGear Hotline in München anzurufen um das wasserdicht zu klären !
Normal, wenn die ein gutes Logging machen, gibt es eine Log Meldung im Switch mit einem Radius Attribut Error das sie dieses Attribut nicht lesen können.
Den Dynamic VLAN Creation Mode gibt es bei demGS748 nicht
Ja, das kann sehr gut sein. Viele dieser billigen Websmart Switches supporten keine dynamischen VLANs bei 802.1x Port Security.Bei Cisco ist es auch so das die SG2xx Serie zwar .1x macht aber keine dyn. VLANs. Das Feature ist erst aber der SG3xx Serie und höher supportet. Steht dummerweise nicht in der Doku.
Du tust also gut daran einmal die NetGear Hotline in München anzurufen um das wasserdicht zu klären !
Normal, wenn die ein gutes Logging machen, gibt es eine Log Meldung im Switch mit einem Radius Attribut Error das sie dieses Attribut nicht lesen können.
Aber welchen Nutzen hat dann die 802.1x Authentifizierung am Switch?
Das man eine absolut wasserdichte Zugangskontrolle zum Netzwerk hat in das ausschliesslich gewollte Hardware oder User Zutritt haben. Das ist doch schonmal was, oder ?Hersteller gehen davon aus das solches User Clientel dumme, flache Layer 2 Netze hat die nicht segmentiert sind und denen bietet man dann zumindest diese einfache Sicherheit. VLAN s müssen sie am Port dann weiter statisch zuweisen. Die Masse dieser User zahlt solche Features auch nicht weil sie rein preisorientiert kaufen.
Etwas anspruchsvolleres Clientel soll auch etwas anspruchsvollere HW kaufen. Da steckt bei jedem Hersteller auch immer etwas Marketing mit drin. Als Netzwerker kennt man ja solche Spielchen und achtet entsprechend bei der Beschaffung darauf !
Wenn dir ums Budget geht kaufst du Mikrotik Switches. Die konnen alles in dem Umfeld zum kleinen Preis.
Als Firmennetzwerk Admin beschafft man sich aber immer einen "Spare Part" Switch wenn eh neu beschafft wurde. Zum einen kann man damit problemlos neue Features vor dem Rollout wasserdicht testen und hat zudem einen Ersatz. Wurde wohl leider versäumt, kann man ja aber nachholen.
Ich melde mich, wenn ich neue Erkenntnisse habe
Wir sind gespannt...
👍
Bitte dann auch nicht vergessen den Thread als gelöst zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
Bitte dann auch nicht vergessen den Thread als gelöst zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
Das dynamische VLAN funktioniert soweit.
👍Hättest du eine Idee, wie man das einrichten könnte? Eventuell über MAB?
Uuuhhh da muss einer unser Windows Profis ran. Kollege @DerWoWusste u.a. hat da seinerzeit mal ein paar Tutorials zum Thema Bitlocker verfasst.