10
ProCurve ereicht Radius-Server nicht
Moin,
ich habe 3 ProCurve 2610, 2620, 2510 Switche. Auf allen dreien sind VLANs erstellt worden. (VLAN 1, VLAN 2, VLAN3). Im VLAN 2 ist der Windows-Radius-Server (Server 2008R2).
Alle VLANs werden von Switch zu Switch über die Ports 25 und 26 durchgeschleift. Also alle VLANs tagged.
Der Windows-Server hängt an Switch 1. Der Switch 3 kann den Windows-Server nicht erreichen. Alle 3 Switche sind mit Telnet über das VLAN 2 erreichbar. Wenn ich am Switch 3 in der CLI den Radius-Server anpinge, bekomme ich eine Antwort. Die Firewall auf dem Windows-Server ist derzeit deaktivert.
Jetzt stehe ich etwas auf dem Schlauch. Eigentlich eine einfache Sache, aber im LOG des Switch 3 steht, dass der Radius-Server nicht erreichbar ist. Der Radius-Server auf allen Switchen ist wie folgt konfiguriert worden: radius-server host 192.168.2.20 key "23478rg38gr314"
Habe ich hier etwas übersehen?
ich habe 3 ProCurve 2610, 2620, 2510 Switche. Auf allen dreien sind VLANs erstellt worden. (VLAN 1, VLAN 2, VLAN3). Im VLAN 2 ist der Windows-Radius-Server (Server 2008R2).
Alle VLANs werden von Switch zu Switch über die Ports 25 und 26 durchgeschleift. Also alle VLANs tagged.
Der Windows-Server hängt an Switch 1. Der Switch 3 kann den Windows-Server nicht erreichen. Alle 3 Switche sind mit Telnet über das VLAN 2 erreichbar. Wenn ich am Switch 3 in der CLI den Radius-Server anpinge, bekomme ich eine Antwort. Die Firewall auf dem Windows-Server ist derzeit deaktivert.
Jetzt stehe ich etwas auf dem Schlauch. Eigentlich eine einfache Sache, aber im LOG des Switch 3 steht, dass der Radius-Server nicht erreichbar ist. Der Radius-Server auf allen Switchen ist wie folgt konfiguriert worden: radius-server host 192.168.2.20 key "23478rg38gr314"
Habe ich hier etwas übersehen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 350706
Url: https://administrator.de/contentid/350706
Ausgedruckt am: 26.11.2024 um 02:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
was möchtest du genau realisieren mit dem Radius Server ?
Hast du den Switch als Radius Client im NPS hinzugefügt + Shared Secret?
Gruß
was möchtest du genau realisieren mit dem Radius Server ?
Hast du den Switch als Radius Client im NPS hinzugefügt + Shared Secret?
Gruß
Ja sorry, hatte ich nicht geschrieben.
Ich möchte darüber eine mac-based authentifizierung durchführen. Das funktioniert auch alles. Denn an den Switchen 1+2 läuft das bereits. Auch sind alle 3 Switche im NPS-Server hinterlegt. Im Ereignisprotokoll des NPS-Servers würde auch stehen, dass eine Anfrage vn einem ungültigen Radius-Client erfolgte. Auch stehen dort im Sicherheitsprotokoll Einträge, wenn eine unbekannte MAC-Adresse auftaucht. Nur in diesem Fall steht dort nichts im Protokoll. Es ist tatsächlich so, dass der Switch 3 den NPS-Server nicht erreicht, was ja auch im LOG vom Switch 3 steht.
Ich möchte darüber eine mac-based authentifizierung durchführen. Das funktioniert auch alles. Denn an den Switchen 1+2 läuft das bereits. Auch sind alle 3 Switche im NPS-Server hinterlegt. Im Ereignisprotokoll des NPS-Servers würde auch stehen, dass eine Anfrage vn einem ungültigen Radius-Client erfolgte. Auch stehen dort im Sicherheitsprotokoll Einträge, wenn eine unbekannte MAC-Adresse auftaucht. Nur in diesem Fall steht dort nichts im Protokoll. Es ist tatsächlich so, dass der Switch 3 den NPS-Server nicht erreicht, was ja auch im LOG vom Switch 3 steht.
Moin,
wer macht das Routing bei euch?
Ist es einer der drei Switche, oder eine zentrale FIrewall?
Was unterschiedet Switch 3 von Switch 1+2?
Haben die ersten beiden Switche vielleicht eine IP in jedem VLAN, der Switch 3 aber nicht?
Gruß
em-pie
wer macht das Routing bei euch?
Ist es einer der drei Switche, oder eine zentrale FIrewall?
Was unterschiedet Switch 3 von Switch 1+2?
Haben die ersten beiden Switche vielleicht eine IP in jedem VLAN, der Switch 3 aber nicht?
Gruß
em-pie
Hi,
also das hier hier ist eine Billiglösung. Bedeutet nur auf dem Switch 1 ist das Routing aktiviert.
Auf allen Switchen ist die route 0.0.0.0 0.0.0.0 192.168.2.1 eingetragen. Die Firewall hängt an Switch 2.
Der Unterschied zu den Switchen? Das sind die Typen. Switch 1=2620, Switch 2=2510,Switch 3=2610.
Das ist bei allen 3 gleich. Also jeder Switch hat im Default-LAN ein IP und jeder hat im VLAN 2 jeweils eine IP-Adresse. Darüber werden sie auch über Telnet angesprochen.
PS:
Obwohl, stellt sich hier überhaupt die Frage zum Routing? Denn der NPS-Server liegt ja im gleichen LAN, wie die VLANs von den Switchen auch. Also Switch 1 VLAN2= 192.168.2.101, Switch 2 VLAN2= 192.168.2.102, Switch 2 VLAN2= 192.168.2.103. Und der NPS-Server hat die IP-Adresse 192.168.2.20
also das hier hier ist eine Billiglösung. Bedeutet nur auf dem Switch 1 ist das Routing aktiviert.
Auf allen Switchen ist die route 0.0.0.0 0.0.0.0 192.168.2.1 eingetragen. Die Firewall hängt an Switch 2.
Der Unterschied zu den Switchen? Das sind die Typen. Switch 1=2620, Switch 2=2510,Switch 3=2610.
Zitat von @em-pie:
Haben die ersten beiden Switche vielleicht eine IP in jedem VLAN, der Switch 3 aber nicht?
Haben die ersten beiden Switche vielleicht eine IP in jedem VLAN, der Switch 3 aber nicht?
Das ist bei allen 3 gleich. Also jeder Switch hat im Default-LAN ein IP und jeder hat im VLAN 2 jeweils eine IP-Adresse. Darüber werden sie auch über Telnet angesprochen.
PS:
Obwohl, stellt sich hier überhaupt die Frage zum Routing? Denn der NPS-Server liegt ja im gleichen LAN, wie die VLANs von den Switchen auch. Also Switch 1 VLAN2= 192.168.2.101, Switch 2 VLAN2= 192.168.2.102, Switch 2 VLAN2= 192.168.2.103. Und der NPS-Server hat die IP-Adresse 192.168.2.20
Zitat von @em-pie:
Haben die ersten beiden Switche vielleicht eine IP in jedem VLAN, der Switch 3 aber nicht?
Haben die ersten beiden Switche vielleicht eine IP in jedem VLAN, der Switch 3 aber nicht?
Das ist bei allen 3 gleich. Also jeder Switch hat im Default-LAN ein IP und jeder hat im VLAN 2 jeweils eine IP-Adresse. Darüber werden sie auch über Telnet angesprochen.
PS:
Obwohl, stellt sich hier überhaupt die Frage zum Routing? Denn der NPS-Server liegt ja im gleichen LAN, wie die VLANs von den Switchen auch. Also Switch 1 VLAN2= 192.168.2.101, Switch 2 VLAN2= 192.168.2.102, Switch 2 VLAN2= 192.168.2.103. Und der NPS-Server hat die IP-Adresse 192.168.2.20
was sagt denn ein Traceroute!?
Genau, wie bei den anderen Switchen auch, eine Antwort beim ersten HOP.
Zitat von @em-pie:
Wieso haben die beiden Switche 2 und 3 zwei IP-ADressen? denke, auf dem Switch 1 ist das Routing aktiv!?
Wieso haben die beiden Switche 2 und 3 zwei IP-ADressen? denke, auf dem Switch 1 ist das Routing aktiv!?
Die Frage verstehe ich jetzt nicht. Jeder Switch hat im Default-VLAN 1 eine IP-Adresse. Das wird jedoch nicht genutzt. Weiterhin hat jeder Switch im VLAN 2 eine IP-Adresse. Somit kann ich im VLAN 2 jeden Switch mit Telnet über 192.168.2.101 bis 192.168.2.103 erreichen.
Das einizige was mir derzeit noch einfällt wäre, dass mit NTRadPing Test zu überprüfen. Ich würde an dem besagten Switch einen Rechner anschließen und das damit testen. Das hatte ich bisher noch nicht gemacht.
Der Switch 3 kann den Windows-Server nicht erreichen
Einzig relevant ist hier WELCHER der 3 Switches das IP Routing macht bzw. wenn es keine L3 Switches sind wo hier zw. den VLANs geroutet wird.Die Management IP des Switches ist immer die IP in VLAN 1. Mit dieser Absender IP sendet jeder Switch die Radius Requests.
Essentiell ist nun das der Switch ein Default Gateway oder default Route definiert hat um ins VLAN 2 geroiutet werden zu können.
Da der Sewrver in VLAN 2 liegt wird er ferne keinen Zugriff mit einer VLAN 1 IP über seine lokale Firewall dulden. Auch hier muss deshalb die lokale Firewall angepasst werden. Ebenso für Traceroute oder Ping (ICMP Protokoll)
Leider sagst du in der oberflächlichen Beschreibung nichts zur Layer 3 Einrichtung die aber essentiell wichtig ist für die Funktion.
Ob das Routing richtig läuft sagen dir wie immer in dieser Sache deine besten Freunde Traceroute oder Pathping !
Auch solche simplen Basics wie (Traceroute) zum Troubleshooting hast du nicht gemacht
Tja was soll ich sagen,
den Fehler habe ich gefunden. Ist etwas peinlich. Der Fehler lag im NPS-Server. Bei diesem Radius-Client wurde ein falscher Key hinterlegt. Ich habe den Key dort in einer Textdatei kopiert. Jedoch fehlte hinten die letzte Stelle. Die anderen muss ich wohl per Hand eingetragen haben.
Tja nur blöd, dass Windows nicht immer genau erzählt, woran es denn lag.
Nunja, jetzt läuft alles. Danke nochmal für eure Hilfe.
den Fehler habe ich gefunden. Ist etwas peinlich. Der Fehler lag im NPS-Server. Bei diesem Radius-Client wurde ein falscher Key hinterlegt. Ich habe den Key dort in einer Textdatei kopiert. Jedoch fehlte hinten die letzte Stelle. Die anderen muss ich wohl per Hand eingetragen haben.
Tja nur blöd, dass Windows nicht immer genau erzählt, woran es denn lag.
Nunja, jetzt läuft alles. Danke nochmal für eure Hilfe.
