Radius Auth Alcatel Telefone

berger11
Goto Top
Hallo zusammen,

ich habe paar Telefone, die trotz erfolgreicher Radius Authentifizierung (laut Log auf den Servern erhalten die Geräte Vollzugriff) keinen Netzwerkzugriff erhalten. Wenn ich ein anderes Telefon an dem gleichen Port anschließe mit den gleichen Einstellungen funktioniert es.
Ich habe an den Telefonen folgende Möglichkeiten einzustellen:
VLAN Aquirement: Yes/No
Use VLAN: Yes/No
VLAN ID: 4094

Ich habe schon alle Möglichkeiten ausprobiert und als VLAN ID auch die entsprechende VLAN ID bereits eingetragen, leider auch ohne Erfolg.

Hatte jemand von euch schon ein ähnliches Problem und kann mir sagen, wo ich suchen muss?

Vielen Dank
Gruß Berger

Content-Key: 2956885130

Url: https://administrator.de/contentid/2956885130

Ausgedruckt am: 15.08.2022 um 20:08 Uhr

Mitglied: user217
user217 01.06.2022 um 14:30:46 Uhr
Goto Top
ich weis es nicht aber ich tippe darauf das du "Herstellerspezifische Attribute" am Radius dafür hinterlegen musst.
Siehe: NPS->Richtlinien-> [irgendeineRichtlinie]--> Einstellungen --> Herstellerspezifisch
Mitglied: aqui
aqui 01.06.2022 aktualisiert um 17:27:50 Uhr
Goto Top
Nein, das muss er nicht, das sind alles Radius Standard Attribute die der Switch verwendet.
Siehe HIER mit einem Beispiel für Cisco und Ruckus Switches am FreeRadius Server.
Das ist also simpler Standard.

Um die Frage zielführend beantworten zu können mangelt es aber leider an hilfreichen Angaben. Die des TO sind viel zu oberflächlich, denn es gibt viele Unbekannte bei einer Portauthentisierung am LAN Switch.

Grundsätzlich gibt es entweder eine schlichte Mac Adress Authentisierung (sog. Mac Bypass oder MBP) oder die Authentisierung mit 802.1x, WPA-Enterprise.
Beide Optionen dann noch mit oder ohne dynamische VLAN Zuweisung am Port denkbar.
Der Unterschied zw. Mac Adress Authentisierung und 802.1x, WPA-Enterprise ist das bei letzterem das Telefon einen aktiven 802.1x Client haben muss. Bei reiner Mac Adress Authentisierung ist das nicht erforderlich.
4 Unbekannte also zu denen der TO keinerlei Aussagen macht und was dann hier im absoluten kristallkugeln enden muss. face-sad

Fazit:
  • Mehr zielführende Infos welches Authentisierungs Verfahren am Switch benutzt wird.
  • Sehr hilfreich sind die Radius Server Logs die meist direkt sagen was, warum schiefläuft
  • Das Authentisierungs Log des LAN Switches und ein show Kommando des Port Status wäre zusätzlich sehr hilfreich
Ohne diese Infos ist das Raten im freien Fall...
Mitglied: eggired
eggired 01.06.2022 um 18:49:14 Uhr
Goto Top
Was sind das denn genau für Alcatel-Telefone (z.B. ip-touch Serie)?
Mitglied: Berger11
Berger11 02.06.2022 um 12:17:03 Uhr
Goto Top
Zitat von @eggired:

Was sind das denn genau für Alcatel-Telefone (z.B. ip-touch Serie)?

Es handelt sich hauptsächlich um 8028/8038 Geräte.
Mitglied: Berger11
Berger11 02.06.2022 um 15:55:47 Uhr
Goto Top
Zitat von @aqui:

Nein, das muss er nicht, das sind alles Radius Standard Attribute die der Switch verwendet.
Siehe HIER mit einem Beispiel für Cisco und Ruckus Switches am FreeRadius Server.
Das ist also simpler Standard.

Um die Frage zielführend beantworten zu können mangelt es aber leider an hilfreichen Angaben. Die des TO sind viel zu oberflächlich, denn es gibt viele Unbekannte bei einer Portauthentisierung am LAN Switch.

Grundsätzlich gibt es entweder eine schlichte Mac Adress Authentisierung (sog. Mac Bypass oder MBP) oder die Authentisierung mit 802.1x, WPA-Enterprise.
Beide Optionen dann noch mit oder ohne dynamische VLAN Zuweisung am Port denkbar.
Der Unterschied zw. Mac Adress Authentisierung und 802.1x, WPA-Enterprise ist das bei letzterem das Telefon einen aktiven 802.1x Client haben muss. Bei reiner Mac Adress Authentisierung ist das nicht erforderlich.
4 Unbekannte also zu denen der TO keinerlei Aussagen macht und was dann hier im absoluten kristallkugeln enden muss. face-sad

Fazit:
  • Mehr zielführende Infos welches Authentisierungs Verfahren am Switch benutzt wird.
  • Sehr hilfreich sind die Radius Server Logs die meist direkt sagen was, warum schiefläuft
  • Das Authentisierungs Log des LAN Switches und ein show Kommando des Port Status wäre zusätzlich sehr hilfreich
Ohne diese Infos ist das Raten im freien Fall...

Es handelt sich bei uns um eine Authentifizierung mit 802.1x und wir haben eine dynamische VLAN Zuweisung. Der Log vom Radius Server beinhaltet nur, dass das Gerät erfolgreich authentifiziert wurde und Vollzugriff erhält. Der HP Switch zeigt jedoch im Log an, dass der Port "blocked by AAA" ist. Wenn ich ein anderes Telefon (sofern es nicht zu diesen Ausnahmefällen gehört) vom selben Modell mit der gleichen Konfiguration anschließe, funktioniert es. So eine Zahl, also bei ca. 70-80 funktioniert es nicht und bei ca. 500 funktioniert es. Wenn ich ein anderes Gerät anschließe, dass entsprechend angelegt wurde an dem selben Switchport klappt es zu 100%.

Vielen Dank für deine Hilfe.
Mitglied: aqui
aqui 02.06.2022 um 17:36:15 Uhr
Goto Top
Es handelt sich bei uns um eine Authentifizierung mit 802.1x und wir haben eine dynamische VLAN Zuweisung
OK, dann ist der Punkt schonmal geklärt.
Das bedeutet dann aber das du im Setup der Telefone den .1x Usernamen und Passwort definieren musst, es sei denn du arbeitest mit Zertifikaten.
Der Log vom Radius Server beinhaltet nur, dass das Gerät erfolgreich authentifiziert wurde und Vollzugriff erhält.
OK, bedeutet dann das der Part auch erfolgreich gemacht wurde und zumindestens die Radius Seite sauber rennt. Nur der Switch muss es dann richtig umsetzen...
Der HP Switch zeigt jedoch im Log an, dass der Port "blocked by AAA" ist.
OK, das zeigt das die LAN Switch Konfig dann falsch oder fehlerhaft ist. Der Fehler also dann definitv am Switch liegt und NICHT an Telefon oder Radius.
Schalte auf dem Switch die AAA bzw. Port Authentication Debugging Funktion ein und lass dir das anzeigen was da genau passiert.
Die HP Gurke ist auf dem aktuellsten Firmware Stand geflasht?? Das wäre noch sehr wichtig.

Es muss ja einen Unterschied der Port Authentisierung geben zw. den 2 Telefonen. 802.1x supportet auch eine Kombination zusammen mit Mac Authentisierung.
Man kann dann nur vermuten das bei der 802.1x Authentisierung die Kombination mit der Mac Adresse aktiv ist und das diese neuen Telefone von der Mac Adresse nicht im Radius Server erfasst sind. Oder umgekehrt. Mac stimmt aber .1x scheitert.
Dann rennt zwar die 802.1x Konfig durch aber scheitert an der zusätzlich erforderlichen Mac Authentisierung oder vice versa.