Apr 20, 2021

4348

Packetfence mit Aruba Switch

Hallo Zusammen

Ich bin schon seit längerem an einem Projekt mit PacketFence und Aruba Switchs (Aruba 2530 mit Version 16.10).
Einiges hab ich beisammen aber ich blicke im Detail einfach nicht durch...

Es geht darum, dass mit der PacketFence eine MAC-Authentifizierung mit dynamischer Vlan zuweisung realisiert werden soll.

Ich habe eine PacketFence (Version 10.3) auf Basis von Debian aufgesetzt und soweit konfiguriert.
Die Rollen habe ich erstellt und dem Switch das Template "Aruba Switch NG" zugewiesen.

Am Anfang hatte ich noch das Problem das die PacketFence alle Authentifizierungsanfragen zugelassen hat weil die Geräte-Registrierung noch aktiv war.
Dies konnte ich aber beheben in dem ich bei den Rollen Registration, Isolation, Inline den Wert -1 gesetzt habe.
(Ich bin mir nicht sicher ob dies der richtige Weg ist, die Auswahl für das enforcement gibt es bei der Inital-Konfiguration ja nicht mehr. Wieso auch immer)

Den Switch habe ich gemäss Doku wie folgt konfiguriert:

radius-server host 172.16.1.17 key "key"  
radius-server host 172.16.1.17 dyn-authorization
radius-server host 172.16.1.17 time-window 0
aaa server-group radius "PacketFence" host 172.16.1.17  
aaa accounting network start-stop radius server-group "PacketFence"  
aaa authentication mac-based chap-radius server-group "PacketFence"  
aaa port-access mac-based 20
aaa port-access mac-based 20 addr-moves
aaa port-access mac-based 20 reauth-period 86400

Meines Erachtens funktioniert dies soweit oder gibt es da Einwende das man etwas besser machen könnte?

Nun möchte ich das der Switch den Port abschaltet wenn der Client nicht authentifiziert ist.

port-security 20 learn-mode port-access action send-disable

Der Switch erkennt den nicht authentifizierten Client, setzt aber das Intrusion-Flag nicht und den Port deaktiviert er auch nicht.
Hat jemand von euch eine Idee wo der Hund begraben sein kann?

Hier noch der Eintrag aus dem Audit-Log:

MAC Address: 3c:18:a0:51:6b:6f
Auth Status: Reject
Auth Status: Accept
Auto Registration: No
Calling Station Identifier: 3c:18:a0:51:6b:6f
Computer Name: Elitebook
EAP Type: Event Type
Radius-Access-Request: IP Address
Is a Phone: No
Node Status: unreg
Domain:
Profile: N/A
Realm: null
Reason:
Role: registration
Source: N/A
Stripped User Name: 3c18a0516b6f
User Name: 3c18a0516b6f
Unique Identifier:

Und das war die Antwort vom Radius:
Request Time

RADIUS Request
User-Name = "3c18a0516b6f"
CHAP-Password = 0x309d54aca192528287783bced46aa50e3c
NAS-IP-Address = 172.16.1.30
NAS-Port = 20
Service-Type = Call-Check
Framed-Protocol = PPP
Framed-MTU = 1492
Called-Station-Id = "e0:07:1b:98:54:ac"
Calling-Station-Id = "3c:18:a0:51:6b:6f"
NAS-Identifier = "HP-2530-24G-PoEP"
CHAP-Challenge = 0xa460a16913a606b3cc6c5f2245776214
NAS-Port-Type = Ethernet
Event-Timestamp = "Apr 20 2021 08:52:18 CEST"
Connect-Info = "CONNECT Ethernet 1000Mbps Full duplex"
Message-Authenticator = 0xdd7055d616fd7216b57710f6aacc7d84
NAS-Port-Id = "20"
HP-Capability-Advert = 0x011a0000000b28
HP-Capability-Advert = 0x011a0000000b2e
HP-Capability-Advert = 0x011a0000000b30
HP-Capability-Advert = 0x011a0000000b3d
HP-Capability-Advert = 0x011a0000000b18
HP-Capability-Advert = 0x011a0000000b19
HP-Capability-Advert = 0x0138
HP-Capability-Advert = 0x013a
HP-Capability-Advert = 0x0140
HP-Capability-Advert = 0x0141
HP-Capability-Advert = 0x0151
MS-RAS-Vendor = 11
Stripped-User-Name = "3c18a0516b6f"
Realm = "null"
FreeRADIUS-Client-IP-Address = 172.16.1.30
PacketFence-KeyBalanced = "271866b58f521e92688e7bd38695dcea"
PacketFence-Radius-Ip = "172.16.1.17"
User-Password = "**"
SQL-User-Name = "3c18a0516b6f"
RADIUS Reply
Reply-Message = "This node is not allowed to use this service"

Danke für eure Hinweise und Tipps.

Schönen Tag und einen Gruss an die Welt..

Stefan

Please also mark the comments that contributed to the solution of the article

Content-Key: 665918

Url: https://administrator.de/contentid/665918

Printed on: April 23, 2024 at 20:04 o'clock

7 Comments

Latest comment

Nun möchte ich das der Switch den Port abschaltet wenn der Client nicht authentifiziert ist.

Das macht die Mac Bypass Funktion auf Switches generell wenn diese Ports nicht authentisiert sind und muss man nicht noch extra machen. Genau das ist ja der tiefere Sinn einer Port Authentisierung mit Mac Bypass.
Die Fehlermeldung: "Reply-Message = "This node is not allowed to use this service" lässt eher befürchten das dein Radius Passwort in der Datei clients.conf nicht mit dem übereinstimmt was auf dem Switch konfiguriert ist !

Hier kannst du dir das mal an einem Beispiel für Cisco und Ruckus Switches inklusive alle Debug Messages ansehen wie das sauber ablaufen soll:
Cisco SG 350x Grundkonfiguration

Hallo Aqui

Ok.. Danke für den Hinweis mit dem Mac-Bypass. Werde mich da mal durch die Dokumentation von Aruba wühlen.

Was die Fehlermeldung betrifft: Hab den Radius-Key nochmals kontrolliert und die stimmen überein. Meiner Ansicht nach ist dies die "Fehlermeldung" bzw. Anwort welcher der Radius für den Client sendet. Jedenfalls ist die gleiche Nachricht im Switch Template unter Reject Scope - Reply-Message definiert.

Zitat von @stbrunner:
RADIUS Reply
Reply-Message = "This node is not allowed to use this service"

ups da war wohl jemand mit antworten schneller als ich mit dem tippen

Sieht wohl so aus als ob sich der Switch nicht beim Radius anmelden bzw komunizieren kann. Passwort ist auf dem Switch richtig gesetzt?
Der Switch ist als Radius Client bei Packetfence richtig eingetragen ?

Was sagt denn das Security Log von Packetfence ?

Kannst du mal die ganze Config des Switch reinstellen ?
Dir ist bewust das aktuell nur Port 20 für die Radius Authentifizierung freigegene/konfiguriert ist ?

Zitat von @Mr-Gustav:

Zitat von @stbrunner:
RADIUS Reply
Reply-Message = "This node is not allowed to use this service"

Die Antwort des Radius Servers hat schon seine Richtigkeit. Der Client ist ja nicht registriert, daher wird er abgewiesen.
Stelle ich den Client auf Registriert und gebe ihm ein Rolle, wird er authentifiziert und bekommt ein VLAN.

Ich habe jetzt noch mit der Mac Authentification Bypass probiert. Leider ohne Erfolg.
Der Switch lässt sich nicht dazu bringen bei einer negativen Authentifizierung den Port zu deaktivieren.
Leider ist auch die Doku seitens Aruba etwas dürftig darüber.

Hier noch die aktuelle Config dazu vom Switch:

radius-server host 172.16.1.17 key "key"  
radius-server host 172.16.1.17 dyn-authorization
radius-server host 172.16.1.17 time-window 0
aaa server-group radius "PacketFence" host 172.16.1.17  
aaa accounting network start-stop radius server-group "PacketFence"  

aaa authentication mac-based chap-radius server-group "PacketFence"  
aaa authentication port-access eap-radius server-group "PacketFence"  
aaa port-access 20 auth-order authenticator mac-based
aaa port-access mac-based 20
aaa port-access mac-based 20 addr-moves
aaa port-access mac-based 20 reauth-period 14400
aaa port-access authenticator 20
aaa port-access authenticator 20 client-limit 1
aaa port-access authenticator active

port-security 20 learn-mode port-access action send-disable

Zitat von @Mr-Gustav:
Dir ist bewust das aktuell nur Port 20 für die Radius Authentifizierung freigegene/konfiguriert ist ?

Ja, dessen bin ich mir bewusst. Der Switch ist bei mir Zuhause, wo ich immer solche Sachen zuerst erarbeite. Wenn ich mit dem ganzen Switch dieses Projekt testen würde, hätte ich sicher innert kürzester Zeit meine Frau mit dem Nudelholz hinter mir..

Hat noch jemand einen Hinweis? Hat jemand noch mehr Erfahrungen mit MAC Authentifizierung und Port-Security?

Der Client ist ja nicht registriert, daher wird er abgewiesen.

Das ist dann natürlich richtig. Das war aber aus der o.a. Beschreibung leider nicht klar !

Der Switch lässt sich nicht dazu bringen bei einer negativen Authentifizierung den Port zu deaktivieren.

Das liegt an der Default Einstellung der zu authentisierenden Ports und ist vermutlich normal wenn man es nicht explizit konfiguriert. In der Regel stellen die Hersteller den auf "authenticated" was dann den Port im Default öffnet.
Man muss es explizit in den "Auto" oder "Blocked" state bringen. Bei Cisco ist das z.B. das Kommando authentication port-control auto was zwingend erforderlich ist damit der Port im Default immer in den Blocked Zustand geht. Das dürfte bei deiner Aruba Gurke ähnlich sein....
Ein Blick ins Handbuch sollte hier helfen. Bzw. die HPE Doku sagt folgendes:
https://techhub.hpe.com/eginfolib/networking/docs/switches/WB/15-18/5998 ...
Das Kommando dort lautet also aaa port-access authenticator <port-list> auto

Wie einfach das an Switch Beispielen von Cisco und Ruckus geht kannst du ja oben im Beispiel sehen !

So, nach langem hin und her hab ich nun die Lösung gefunden und möchte euch diese nicht vorenthalten...

Ich hab einige Male noch mit dem HPE/Aruba Support telefoniert und ein 2. Level Supporter hat mir dann mitgeteilt, dass dieses Verhalten nicht vorgesehen ist bzw. nicht geht.

Mit Mac Based Authentification blockiert der Switch jeglichen Datenverkehr sofern keine uauth vid gesetzt ist.
Mit 802.1x blockiert der Switch den Datenverkehr und es kann zusätzlich noch konfiguriert werden, dass der Switch den Port deaktivieren soll.

Danke an alle, die hier ihre Hilfe beigetragen haben.

Tja falsche Hardware beschafft wie so oft. Bei Cisco und Ruckus Switches kann man das z.B. wahlfrei in der Konfig einstellen in welcher Reihenfolge das passieren soll.
Als weitere Option kann man es auch noch mit einem Vendor spezifischen Radius Attribut erzwingen das die jeweils andere Authentisierung immer folgen soll. Mehrere Optionen also die o.a. Anforderung problemlos zu lösen....wenn man denn die richtige HW hat.
Schade, HP Gurken halt und da wohl nicht weiter verwunderlich...

German solved Question Network Management Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments