Packetfence mit Aruba Switch

Mitglied: stbrunner

stbrunner (Level 1) - Jetzt verbinden

20.04.2021 um 09:55 Uhr, 523 Aufrufe, 5 Kommentare

Hallo Zusammen

Ich bin schon seit längerem an einem Projekt mit PacketFence und Aruba Switchs (Aruba 2530 mit Version 16.10).
Einiges hab ich beisammen aber ich blicke im Detail einfach nicht durch...

Es geht darum, dass mit der PacketFence eine MAC-Authentifizierung mit dynamischer Vlan zuweisung realisiert werden soll.

Ich habe eine PacketFence (Version 10.3) auf Basis von Debian aufgesetzt und soweit konfiguriert.
Die Rollen habe ich erstellt und dem Switch das Template "Aruba Switch NG" zugewiesen.

Am Anfang hatte ich noch das Problem das die PacketFence alle Authentifizierungsanfragen zugelassen hat weil die Geräte-Registrierung noch aktiv war.
Dies konnte ich aber beheben in dem ich bei den Rollen Registration, Isolation, Inline den Wert -1 gesetzt habe.
(Ich bin mir nicht sicher ob dies der richtige Weg ist, die Auswahl für das enforcement gibt es bei der Inital-Konfiguration ja nicht mehr. Wieso auch immer)

Den Switch habe ich gemäss Doku wie folgt konfiguriert:


Meines Erachtens funktioniert dies soweit oder gibt es da Einwende das man etwas besser machen könnte?

Nun möchte ich das der Switch den Port abschaltet wenn der Client nicht authentifiziert ist.


Der Switch erkennt den nicht authentifizierten Client, setzt aber das Intrusion-Flag nicht und den Port deaktiviert er auch nicht.
Hat jemand von euch eine Idee wo der Hund begraben sein kann?

Hier noch der Eintrag aus dem Audit-Log:

MAC Address: 3c:18:a0:51:6b:6f
Auth Status: Reject
Auth Status: Accept
Auto Registration: No
Calling Station Identifier: 3c:18:a0:51:6b:6f
Computer Name: Elitebook
EAP Type: Event Type
Radius-Access-Request: IP Address
Is a Phone: No
Node Status: unreg
Domain:
Profile: N/A
Realm: null
Reason:
Role: registration
Source: N/A
Stripped User Name: 3c18a0516b6f
User Name: 3c18a0516b6f
Unique Identifier:

Und das war die Antwort vom Radius:
Request Time
0
RADIUS Request
User-Name = "3c18a0516b6f"
CHAP-Password = 0x309d54aca192528287783bced46aa50e3c
NAS-IP-Address = 172.16.1.30
NAS-Port = 20
Service-Type = Call-Check
Framed-Protocol = PPP
Framed-MTU = 1492
Called-Station-Id = "e0:07:1b:98:54:ac"
Calling-Station-Id = "3c:18:a0:51:6b:6f"
NAS-Identifier = "HP-2530-24G-PoEP"
CHAP-Challenge = 0xa460a16913a606b3cc6c5f2245776214
NAS-Port-Type = Ethernet
Event-Timestamp = "Apr 20 2021 08:52:18 CEST"
Connect-Info = "CONNECT Ethernet 1000Mbps Full duplex"
Message-Authenticator = 0xdd7055d616fd7216b57710f6aacc7d84
NAS-Port-Id = "20"
HP-Capability-Advert = 0x011a0000000b28
HP-Capability-Advert = 0x011a0000000b2e
HP-Capability-Advert = 0x011a0000000b30
HP-Capability-Advert = 0x011a0000000b3d
HP-Capability-Advert = 0x011a0000000b18
HP-Capability-Advert = 0x011a0000000b19
HP-Capability-Advert = 0x0138
HP-Capability-Advert = 0x013a
HP-Capability-Advert = 0x0140
HP-Capability-Advert = 0x0141
HP-Capability-Advert = 0x0151
MS-RAS-Vendor = 11
Stripped-User-Name = "3c18a0516b6f"
Realm = "null"
FreeRADIUS-Client-IP-Address = 172.16.1.30
PacketFence-KeyBalanced = "271866b58f521e92688e7bd38695dcea"
PacketFence-Radius-Ip = "172.16.1.17"
User-Password = "**"
SQL-User-Name = "3c18a0516b6f"
RADIUS Reply
Reply-Message = "This node is not allowed to use this service"


Danke für eure Hinweise und Tipps.

Schönen Tag und einen Gruss an die Welt..

Stefan
Mitglied: aqui
20.04.2021, aktualisiert um 11:24 Uhr
Nun möchte ich das der Switch den Port abschaltet wenn der Client nicht authentifiziert ist.
Das macht die Mac Bypass Funktion auf Switches generell wenn diese Ports nicht authentisiert sind und muss man nicht noch extra machen. Genau das ist ja der tiefere Sinn einer Port Authentisierung mit Mac Bypass.
Die Fehlermeldung: "Reply-Message = "This node is not allowed to use this service" lässt eher befürchten das dein Radius Passwort in der Datei clients.conf nicht mit dem übereinstimmt was auf dem Switch konfiguriert ist !

Hier kannst du dir das mal an einem Beispiel für Cisco und Ruckus Switches inklusive alle Debug Messages ansehen wie das sauber ablaufen soll:
https://administrator.de/content/detail.php?id=500006&token=166#comm ...
Bitte warten ..
Mitglied: stbrunner
20.04.2021 um 12:18 Uhr
Hallo Aqui

Ok.. Danke für den Hinweis mit dem Mac-Bypass. Werde mich da mal durch die Dokumentation von Aruba wühlen.

Was die Fehlermeldung betrifft: Hab den Radius-Key nochmals kontrolliert und die stimmen überein. Meiner Ansicht nach ist dies die "Fehlermeldung" bzw. Anwort welcher der Radius für den Client sendet. Jedenfalls ist die gleiche Nachricht im Switch Template unter Reject Scope - Reply-Message definiert.
Bitte warten ..
Mitglied: Mr-Gustav
20.04.2021, aktualisiert um 12:34 Uhr
Zitat von @stbrunner:
RADIUS Reply
Reply-Message = "This node is not allowed to use this service"


ups da war wohl jemand mit antworten schneller als ich mit dem tippen :-) face-smile

Sieht wohl so aus als ob sich der Switch nicht beim Radius anmelden bzw komunizieren kann. Passwort ist auf dem Switch richtig gesetzt?
Der Switch ist als Radius Client bei Packetfence richtig eingetragen ?

Was sagt denn das Security Log von Packetfence ?

Kannst du mal die ganze Config des Switch reinstellen ?
Dir ist bewust das aktuell nur Port 20 für die Radius Authentifizierung freigegene/konfiguriert ist ?
Bitte warten ..
Mitglied: stbrunner
21.04.2021 um 23:15 Uhr
Zitat von @Mr-Gustav:

Zitat von @stbrunner:
RADIUS Reply
Reply-Message = "This node is not allowed to use this service"


Die Antwort des Radius Servers hat schon seine Richtigkeit. Der Client ist ja nicht registriert, daher wird er abgewiesen.
Stelle ich den Client auf Registriert und gebe ihm ein Rolle, wird er authentifiziert und bekommt ein VLAN.

Ich habe jetzt noch mit der Mac Authentification Bypass probiert. Leider ohne Erfolg.
Der Switch lässt sich nicht dazu bringen bei einer negativen Authentifizierung den Port zu deaktivieren.
Leider ist auch die Doku seitens Aruba etwas dürftig darüber.

Hier noch die aktuelle Config dazu vom Switch:



Zitat von @Mr-Gustav:
Dir ist bewust das aktuell nur Port 20 für die Radius Authentifizierung freigegene/konfiguriert ist ?

Ja, dessen bin ich mir bewusst. Der Switch ist bei mir Zuhause, wo ich immer solche Sachen zuerst erarbeite. Wenn ich mit dem ganzen Switch dieses Projekt testen würde, hätte ich sicher innert kürzester Zeit meine Frau mit dem Nudelholz hinter mir.. ;-) face-wink

Hat noch jemand einen Hinweis? Hat jemand noch mehr Erfahrungen mit MAC Authentifizierung und Port-Security?
Bitte warten ..
Mitglied: aqui
22.04.2021 um 11:01 Uhr
Der Client ist ja nicht registriert, daher wird er abgewiesen.
Das ist dann natürlich richtig. Das war aber aus der o.a. Beschreibung leider nicht klar !
Der Switch lässt sich nicht dazu bringen bei einer negativen Authentifizierung den Port zu deaktivieren.
Das liegt an der Default Einstellung der zu authentisierenden Ports und ist vermutlich normal wenn man es nicht explizit konfiguriert. In der Regel stellen die Hersteller den auf "authenticated" was dann den Port im Default öffnet.
Man muss es explizit in den "Auto" oder "Blocked" state bringen. Bei Cisco ist das z.B. das Kommando authentication port-control auto was zwingend erforderlich ist damit der Port im Default immer in den Blocked Zustand geht. Das dürfte bei deiner Aruba Gurke ähnlich sein....
Ein Blick ins Handbuch sollte hier helfen. Bzw. die HPE Doku sagt folgendes:
https://techhub.hpe.com/eginfolib/networking/docs/switches/WB/15-18/5998 ...
Das Kommando dort lautet also aaa port-access authenticator <port-list> auto

Wie einfach das an Switch Beispielen von Cisco und Ruckus geht kannst du ja oben im Beispiel sehen !
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
FB und Archer 2 getrennte Netze mit einer WAN-Verbindung
neuhier14Vor 1 TagFrageRouter & Routing26 Kommentare

Hallo, ich habe eine Fritzbox 7490 und einen Archer C5 mit OpenWRT. Die Fritzbox ist mein Hauptrouter. Ich würde daneben gerne ein komplett getrenntes ...

Netzwerke
PFSense und Transferprobleme
Xaero1982Vor 1 TagFrageNetzwerke25 Kommentare

Moin Zusammen, leidiges Thema PFSense - ich hab mich mal wieder ran gewagt. Ich hab hier so ein paar VLANs laufen und nen ESX. ...

Linux
Bootable Win7 stick from Raspberry commandline
winlinVor 22 StundenFrageLinux12 Kommentare

Hallo zusammen Ich benötige einen bootfähigen Win7 USB Stick. Muss diesen über meine Raspberry erstellen. Was ist die beste Variante habe schon ein paar ...

Exchange Server
Postfach für öffentliche Ordner ist voll
gelöst Tommy525600Vor 1 TagFrageExchange Server6 Kommentare

Hallo an alle, ich habe folgendes Problem: Mein primäres Postfach für öffentliche Ordner ist voll (99,58 GB) (und ja, ich kann auch nix dafür). ...

Windows Server
Kein Netzwerkzugriff auf Windows Server 2019?
Henk86Vor 1 TagFrageWindows Server8 Kommentare

Ich habe mir einen neuen "Heimserver" mit Windows Server 2019 (evaluation vorerst) aufgesetzt. Gestern habe ich von meinem Hauptrechner einige Daten auf den Server ...

Windows Server
Problem bei Windows 10 Deployment mit MDT
gelöst neophyte2021Vor 1 TagFrageWindows Server7 Kommentare

Hallo, ich habe folgendes Problem, ich habe in einem Artikel auf englisch gelesen, das wenn man mit dem MDT Windows 10 ausrollen will und ...

Netzwerke
Verständnisfrage pfSense mit Fritzbox, VLAN und Switch
newbie1Vor 1 TagFrageNetzwerke9 Kommentare

Hallo, ich bin kurz davor mir eine pfSense einzurichten via ISO-Image auf einem alten PC. Vorhaben: Fritzbox -> pfSense -> Switch -> Endgeräte Was ...

Exchange Server
Mails fehlen im Exchange-Server 2016
it-basixsVor 1 TagFrageExchange Server4 Kommentare

Moin, moin zusammen. Ich habe leider ein Problem mit einem Exchange Server 2016 CU20 inkl. aller Patches. Laut Ereignisanzeige von POPcon, werden die Mails ...