3
Probleme mit 802.1x
Probleme mit dem Intregrieren eines Radius-Servers in ein Lan.
Guten morgen,
ich stehe momentan vor einem kleinen Problem. Ich bin noch Azubi und habe im Bereich Netzwerk nur die Grundlagen gerlernt. Nun soll ich folgendes Bewerkstelligen.
Zunächst zum Aufbau.
Ich habe einen Anschluss ans Internet über einen Siemens Gigaset Router (mit aktiviertem DHCP).
->An dem darf ich leider nichts verändern.
Daran angeschlossen ist eine Fortigate 60 Firewall mit eingebauten Router.
Der Router bekommt vom DHCP des Gigasets die IP 192.168.2.172 und ist über den WAN1 Anschluss der FortigateFirewall mit dem Gigaset verbunden
An dem Internal-Interface der Fortigate ist dann ein Cisco Catalyst 24 Port Switch angeschlossen. Der Internal Port hat die static IP 192.168.1.2.
An dem Switch hängt ein Linux DHCP Server auf dem auch der Radius-Server installiert sein soll.
Der Linux Rechner hat die static IP 192.168.1.1
Der letzte Rechner in dem Netz ist ein Windows XP Prof Rechner der als Client arbeiten soll und die IP via DHCP anfordert, bzw sich beim Radius Server authentifizieren muss.
Meine Aufgabe:
Mein Netzwerk beginnt Quasi nach der Fortigate Firewall. Das Routing funktioniert ohne Probleme.
Nun ist es meine Aufgabe auf dem Linux Rechner Freeradius so einzurichten, dass sich der Windows Rechner beim Radius-Server authentifiziert und eine IP zugewiesen bekommt.
Wenn der Rechner dem Radius-Server bekannt ist, soll dieser in das Vlan x
wenn nicht in das Vlan y.
Ich kenne mich mit Linux nur wenig aus und hatte mit Radius sowie 802.1x noch nie was zu tun.
Kennt jemand ein paar gute Dokumentationen oder hat Zeit mir zu helfen?
Würde mich sehr freuen.
MfG
Sellfisch
Guten morgen,
ich stehe momentan vor einem kleinen Problem. Ich bin noch Azubi und habe im Bereich Netzwerk nur die Grundlagen gerlernt. Nun soll ich folgendes Bewerkstelligen.
Zunächst zum Aufbau.
Ich habe einen Anschluss ans Internet über einen Siemens Gigaset Router (mit aktiviertem DHCP).
->An dem darf ich leider nichts verändern.
Daran angeschlossen ist eine Fortigate 60 Firewall mit eingebauten Router.
Der Router bekommt vom DHCP des Gigasets die IP 192.168.2.172 und ist über den WAN1 Anschluss der FortigateFirewall mit dem Gigaset verbunden
An dem Internal-Interface der Fortigate ist dann ein Cisco Catalyst 24 Port Switch angeschlossen. Der Internal Port hat die static IP 192.168.1.2.
An dem Switch hängt ein Linux DHCP Server auf dem auch der Radius-Server installiert sein soll.
Der Linux Rechner hat die static IP 192.168.1.1
Der letzte Rechner in dem Netz ist ein Windows XP Prof Rechner der als Client arbeiten soll und die IP via DHCP anfordert, bzw sich beim Radius Server authentifizieren muss.
Meine Aufgabe:
Mein Netzwerk beginnt Quasi nach der Fortigate Firewall. Das Routing funktioniert ohne Probleme.
Nun ist es meine Aufgabe auf dem Linux Rechner Freeradius so einzurichten, dass sich der Windows Rechner beim Radius-Server authentifiziert und eine IP zugewiesen bekommt.
Wenn der Rechner dem Radius-Server bekannt ist, soll dieser in das Vlan x
wenn nicht in das Vlan y.
Ich kenne mich mit Linux nur wenig aus und hatte mit Radius sowie 802.1x noch nie was zu tun.
Kennt jemand ein paar gute Dokumentationen oder hat Zeit mir zu helfen?
Würde mich sehr freuen.
MfG
Sellfisch
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 43076
Url: https://administrator.de/contentid/43076
Ausgedruckt am: 16.11.2024 um 17:11 Uhr
3 Kommentare
Neuester Kommentar
Freeradius kannst du einfach aus der Distro installieren, das ist entsprechend eingerichtet für die .1x Anforderung.
Hier ist die fertige Konfiguration dafür für den Freeradius Server:
clients.conf
#
client 192.168.1.2/24 {
secret = geheim
shortname = cisco switch
}
users
#
test Auth-Type := EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 3
#
Wenn du den Freeradius mit der debug Option startest "radiusd -X" dann kannst du den Authentifizierungsprozess genau verfolgen bzw. bei Fehlern reagieren.
Denk dran das du nach jeder Änderung in der users Datei den Radiusdaemon neu starten musst ! Wenn du ihn händisch startest mit <ctrl> c stoppen und wie oben neu starten.
Der User "test" mit dem Password "test" bekommt dann dynamisch das VLAN 3 zugeordnet sofern der Cisco entsprechend konfiguriert ist für dot1x auf den Interfaces.
Die korrekten Radius Einstellungen für den Switch findest du im Handbuch oder auf der Cisco Seite.
Hier ist die fertige Konfiguration dafür für den Freeradius Server:
clients.conf
#
client 192.168.1.2/24 {
secret = geheim
shortname = cisco switch
}
users
#
test Auth-Type := EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 3
#
Wenn du den Freeradius mit der debug Option startest "radiusd -X" dann kannst du den Authentifizierungsprozess genau verfolgen bzw. bei Fehlern reagieren.
Denk dran das du nach jeder Änderung in der users Datei den Radiusdaemon neu starten musst ! Wenn du ihn händisch startest mit <ctrl> c stoppen und wie oben neu starten.
Der User "test" mit dem Password "test" bekommt dann dynamisch das VLAN 3 zugeordnet sofern der Cisco entsprechend konfiguriert ist für dot1x auf den Interfaces.
Die korrekten Radius Einstellungen für den Switch findest du im Handbuch oder auf der Cisco Seite.
Erst mal vielen Dank für die Antwort!
Hab das jetzt einfach mal eingefügt und bekomme folgende Rückmeldung:
Hast du in der Clients.conf angegeben, dass der cisco switch die ip 192.168.1.2 hat? Der Switch hat keine IP. Der dahinter liegende Router besitzt die Adresse 192.168.1.2
VMPS hat mit dem Radius Server weniger zu tun, oder?
Hab das jetzt einfach mal eingefügt und bekomme folgende Rückmeldung:
Module: Instantiated preprocess (preprocess)
Module: Loaded realm
realm: format = "suffix"
realm: delimiter = "@"
realm: ignore_default = no
realm: ignore_null = no
Module: Instantiated realm (suffix)
Module: Loaded files
files: usersfile = "/etc/raddb/users"
files: acctusersfile = "/etc/raddb/acct_users"
files: preproxy_usersfile = "/etc/raddb/preproxy_users"
files: compat = "no"
/etc/raddb/users[93]: Parse error (check) for entry Tunnel-Type: expecting '='
Errors reading /etc/raddb/users
radiusd.conf[1047]: files: Module instantiation failed.
radiusd.conf[1791] Unknown module "files".
radiusd.conf[1727] Failed to parse authorize section.Hast du in der Clients.conf angegeben, dass der cisco switch die ip 192.168.1.2 hat? Der Switch hat keine IP. Der dahinter liegende Router besitzt die Adresse 192.168.1.2
VMPS hat mit dem Radius Server weniger zu tun, oder?
Mit dem Fehler beim "=" hast du wahrscheinlich kein Blank davor und dahinter gesetzt. Freeradius ist da aber etwas zickig und verlangt jeweils ein Leerzeichen vor und hinter dem "="
damit sollte der Fehler gefixt sein.
Die Clients.conf bestimmt auf welche Anfragen der Freeradius überhaupt reagiert. Statt einer dedizierten Adresse kannst du hier auch ein netzwerk angeben (192.168.1.0) Dann akzeptiert er alle Anfragen aus dem 192.168.1.0er Netz. Ist einfacher wenn man mehrere Radius devices in diesem Netz hat. Mit "secret" ist das Verschlüsselungspasswort gemeint. Alle Radius Anfragen über das Netz werden verschlüsselt. Ist auch klar sonst könnte ich ja alle Passwörter mitsniffern
Dies "secret" Passwort muss mit den Passwörtern der Radiuskonfig auf dem Switch/Router übereinstimmen !!!
Der Switch MUSS eine IP haben, denn 802.1x soll ja eine Portauthentifizierung am Switch mit anschliessend zugewiesenem dynamischen VLAN am Port sein oder habe ich das falsch verstanden ???
Ausserdem muss der Switch ja irgendwie gemanged werden dafür ist zwingend eine IP Adresse erforderlich, deshalb ist es unverständlich das er keine haben soll !!!
Bei dot1x gibt es immer den "Supplicant" (das ist der Client der die dot1x Anfrage stellt) den "Authenticator" (Das ist derjenige der zuweist, meist ein Switch oder bei WLAN ein Accesspoint) und dann den Authentication Server, was in der Regel ein Radius Server ist.
Wenn der 802.1x Port am Switch zugewiesen werden soll nützt dir die IP am Router herzlich wenig.... Router partizipieren meist nie an dot1x Szenarien !
damit sollte der Fehler gefixt sein.
Die Clients.conf bestimmt auf welche Anfragen der Freeradius überhaupt reagiert. Statt einer dedizierten Adresse kannst du hier auch ein netzwerk angeben (192.168.1.0) Dann akzeptiert er alle Anfragen aus dem 192.168.1.0er Netz. Ist einfacher wenn man mehrere Radius devices in diesem Netz hat. Mit "secret" ist das Verschlüsselungspasswort gemeint. Alle Radius Anfragen über das Netz werden verschlüsselt. Ist auch klar sonst könnte ich ja alle Passwörter mitsniffern
Dies "secret" Passwort muss mit den Passwörtern der Radiuskonfig auf dem Switch/Router übereinstimmen !!!Der Switch MUSS eine IP haben, denn 802.1x soll ja eine Portauthentifizierung am Switch mit anschliessend zugewiesenem dynamischen VLAN am Port sein oder habe ich das falsch verstanden ???
Ausserdem muss der Switch ja irgendwie gemanged werden dafür ist zwingend eine IP Adresse erforderlich, deshalb ist es unverständlich das er keine haben soll !!!
Bei dot1x gibt es immer den "Supplicant" (das ist der Client der die dot1x Anfrage stellt) den "Authenticator" (Das ist derjenige der zuweist, meist ein Switch oder bei WLAN ein Accesspoint) und dann den Authentication Server, was in der Regel ein Radius Server ist.
Wenn der 802.1x Port am Switch zugewiesen werden soll nützt dir die IP am Router herzlich wenig.... Router partizipieren meist nie an dot1x Szenarien !
