11
Verbindungsprobleme bei Cisco Mac Authentication Bypass
Hallo Forum,
habe mal wieder ein kleines Problemchen und dachte weil ihr mir immer so gut geholfen habt, frage ich wieder hier...
Ich möchte Mac Authentication Bypass realisieren. Ich habe. Cisco 2960 + Windows 2003 IAS Server
Mein Problem liegt darin, dass ich zwar nach Anschluss des Testgerätes (Windows XP) ein Accept vom Radius-Server bekomme,
aber die Verbindung nicht bestehen bleibt. Der Client meldet sich automatisch immer wieder alle 5-10 Sekunden neu an:
No. Time Source Destination Protocol Info
5 16.909581 192.168.126.60 192.168.126.149 RADIUS Access-Request(1) (id=45, l=156)
No. Time Source Destination Protocol Info
6 16.915389 192.168.126.149 192.168.126.60 RADIUS Access-Accept(2) (id=45, l=68)
No. Time Source Destination Protocol Info
7 34.592406 192.168.126.60 192.168.126.149 RADIUS Access-Request(1) (id=46, l=156)
No. Time Source Destination Protocol Info
8 34.598284 192.168.126.149 192.168.126.60 RADIUS Access-Accept(2) (id=46, l=68)
Auch ein Ping zwischen den Geräten ist leider nicht möglich.
Meine Switch-Config am Port sieht so aus:
interface FastEthernet0/10
switchport mode access
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout tx-period 5
spanning-tree portfast
spanning-tree bpduguard enable
Hat jemand eventuell schon mal das gleiche Problem gehabt, oder eine Idee wo es hakt?
habe mal wieder ein kleines Problemchen und dachte weil ihr mir immer so gut geholfen habt, frage ich wieder hier...
Ich möchte Mac Authentication Bypass realisieren. Ich habe. Cisco 2960 + Windows 2003 IAS Server
Mein Problem liegt darin, dass ich zwar nach Anschluss des Testgerätes (Windows XP) ein Accept vom Radius-Server bekomme,
aber die Verbindung nicht bestehen bleibt. Der Client meldet sich automatisch immer wieder alle 5-10 Sekunden neu an:
No. Time Source Destination Protocol Info
5 16.909581 192.168.126.60 192.168.126.149 RADIUS Access-Request(1) (id=45, l=156)
No. Time Source Destination Protocol Info
6 16.915389 192.168.126.149 192.168.126.60 RADIUS Access-Accept(2) (id=45, l=68)
No. Time Source Destination Protocol Info
7 34.592406 192.168.126.60 192.168.126.149 RADIUS Access-Request(1) (id=46, l=156)
No. Time Source Destination Protocol Info
8 34.598284 192.168.126.149 192.168.126.60 RADIUS Access-Accept(2) (id=46, l=68)
Auch ein Ping zwischen den Geräten ist leider nicht möglich.
Meine Switch-Config am Port sieht so aus:
interface FastEthernet0/10
switchport mode access
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout tx-period 5
spanning-tree portfast
spanning-tree bpduguard enable
Hat jemand eventuell schon mal das gleiche Problem gehabt, oder eine Idee wo es hakt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 152389
Url: https://administrator.de/contentid/152389
Printed on: April 18, 2024 at 16:04 o'clock
11 Comments
Latest comment
Es gibt Neuigkeiten, aber das Problem ist leider noch nicht gelöst.
Im IAS Log und im Wireshark wird Access-Accept angezeigt. Der Switch sieht das aber anders^^
Wenn ich auf dem 2960er den dot1x event debug mache, kommt folgendes heraus:
*Mar 1 00:25:54.459: dot1x-ev:dot1x_switch_is_dot1x_forwarding_enabled: Forwarding is disabled on Fa0/10
*Mar 1 00:25:54.459: dot1x-ev:dot1x_mgr_if_state_change: FastEthernet0/10 has changed to UP
*Mar 1 00:25:54.459: dot1x-ev:Sending create new context event to EAP for 0000.0000.0000
*Mar 1 00:25:54.459: dot1x-ev:Created a client entry for the supplicant 0000.0000.0000
*Mar 1 00:25:54.459: dot1x-ev:Created a default authenticator instance on FastEthernet0/10
*Mar 1 00:25:54.459: dot1x-ev:dot1x_switch_enable_on_port: Enabling dot1x on interface FastEthernet0/10
*Mar 1 00:25:54.459: dot1x-ev:dot1x_switch_enable_on_port: set dot1x ask handler on interface FastEthernet0/10
*Mar 1 00:25:54.459: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:25:54.459: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:25:54.459: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
*Mar 1 00:25:56.464: %LINK-3-UPDOWN: Interface FastEthernet0/10, changed state to up
*Mar 1 00:25:59.609: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:25:59.609: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:25:59.609: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
*Mar 1 00:26:04.752: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:26:04.752: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:26:04.752: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:Received an EAP Timeout on FastEthernet0/10 for mac 0000.0000.0000
*Mar 1 00:26:09.902: dot1x-ev:Host access is 2 on port FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_get_default_host_access: Host access set to ask because FastEthernet0/10 unauthorized
*Mar 1 00:26:09.902: dot1x-ev:Changed host access to ask on FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_pm_port_unauth_learning: On FastEthernet0/10, unauth learning set to TRUE for domain DATA
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_is_dot1x_forwarding_enabled: Forwarding is disabled on Fa0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_pm_port_unauth_learning: Set learning in PI on port FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_pm_mab_get_mac: set dot1x ask handler on interface FastEthernet0/10
*Mar 1 00:26:10.028: dot1x-ev:dot1x_switch_pm_port_unauth_learning: On FastEthernet0/10, unauth learning set to FALSE for domain DATA
*Mar 1 00:26:10.028: dot1x-ev:dot1x_switch_is_dot1x_forwarding_enabled: Forwarding is disabled on Fa0/10
*Mar 1 00:26:10.028: dot1x-ev:Host access is 1 on port FastEthernet0/10
*Mar 1 00:26:10.028: dot1x-ev:Succeeded in setting host access to deny on FastEthernet0/10
*Mar 1 00:26:10.028: dot1x-ev:dot1x_switch_mac_address_notify: MAC 0800.4643.d71d discovered on FastEthernet0/10(1) consumed by MAB
*Mar 1 00:26:10.028: dot1x-ev:Couldn't find a supplicant with mac 0800.4643.d71d
*Mar 1 00:26:10.045: dot1x-ev:Authorization data for client 0000.0000.0000 has been reset on FastEthernet0/10
*Mar 1 00:26:10.045: dot1x-ev:Resetting the client 0000.0000.0000
*Mar 1 00:26:10.045: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:26:10.045: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:26:10.045: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
Im ersten markierten Abschnitt passiert nichts spannendes, der Switch versucht mit dem Ablauf der Timer die Adresse vom Supplicant zu "learnen".
Im zweiten markierten Abschnitt hat er die MAC Adresse herausgefunden und sagt, dass er keinen Supplicant mit dieser Mac Adresse finden kann.
Ich finde es komisch, dass der Radius Server aber einen Accept ausgibt, aber der Client einfach eine Abfuhr bekommt. Wie geht das?
das Problem kann doch dann eigentlich nur Radius-Server-seitig sein, oder?
Keiner eine Idee?
Im IAS Log und im Wireshark wird Access-Accept angezeigt. Der Switch sieht das aber anders^^
Wenn ich auf dem 2960er den dot1x event debug mache, kommt folgendes heraus:
*Mar 1 00:25:54.459: dot1x-ev:dot1x_switch_is_dot1x_forwarding_enabled: Forwarding is disabled on Fa0/10
*Mar 1 00:25:54.459: dot1x-ev:dot1x_mgr_if_state_change: FastEthernet0/10 has changed to UP
*Mar 1 00:25:54.459: dot1x-ev:Sending create new context event to EAP for 0000.0000.0000
*Mar 1 00:25:54.459: dot1x-ev:Created a client entry for the supplicant 0000.0000.0000
*Mar 1 00:25:54.459: dot1x-ev:Created a default authenticator instance on FastEthernet0/10
*Mar 1 00:25:54.459: dot1x-ev:dot1x_switch_enable_on_port: Enabling dot1x on interface FastEthernet0/10
*Mar 1 00:25:54.459: dot1x-ev:dot1x_switch_enable_on_port: set dot1x ask handler on interface FastEthernet0/10
*Mar 1 00:25:54.459: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:25:54.459: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:25:54.459: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
*Mar 1 00:25:56.464: %LINK-3-UPDOWN: Interface FastEthernet0/10, changed state to up
*Mar 1 00:25:59.609: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:25:59.609: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:25:59.609: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
*Mar 1 00:26:04.752: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:26:04.752: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:26:04.752: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:Received an EAP Timeout on FastEthernet0/10 for mac 0000.0000.0000
*Mar 1 00:26:09.902: dot1x-ev:Host access is 2 on port FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_get_default_host_access: Host access set to ask because FastEthernet0/10 unauthorized
*Mar 1 00:26:09.902: dot1x-ev:Changed host access to ask on FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_pm_port_unauth_learning: On FastEthernet0/10, unauth learning set to TRUE for domain DATA
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_is_dot1x_forwarding_enabled: Forwarding is disabled on Fa0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_pm_port_unauth_learning: Set learning in PI on port FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_pm_mab_get_mac: set dot1x ask handler on interface FastEthernet0/10
*Mar 1 00:26:10.028: dot1x-ev:dot1x_switch_pm_port_unauth_learning: On FastEthernet0/10, unauth learning set to FALSE for domain DATA
*Mar 1 00:26:10.028: dot1x-ev:dot1x_switch_is_dot1x_forwarding_enabled: Forwarding is disabled on Fa0/10
*Mar 1 00:26:10.028: dot1x-ev:Host access is 1 on port FastEthernet0/10
*Mar 1 00:26:10.028: dot1x-ev:Succeeded in setting host access to deny on FastEthernet0/10
*Mar 1 00:26:10.028: dot1x-ev:dot1x_switch_mac_address_notify: MAC 0800.4643.d71d discovered on FastEthernet0/10(1) consumed by MAB
*Mar 1 00:26:10.028: dot1x-ev:Couldn't find a supplicant with mac 0800.4643.d71d
*Mar 1 00:26:10.045: dot1x-ev:Authorization data for client 0000.0000.0000 has been reset on FastEthernet0/10
*Mar 1 00:26:10.045: dot1x-ev:Resetting the client 0000.0000.0000
*Mar 1 00:26:10.045: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:26:10.045: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:26:10.045: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
Im ersten markierten Abschnitt passiert nichts spannendes, der Switch versucht mit dem Ablauf der Timer die Adresse vom Supplicant zu "learnen".
Im zweiten markierten Abschnitt hat er die MAC Adresse herausgefunden und sagt, dass er keinen Supplicant mit dieser Mac Adresse finden kann.
Ich finde es komisch, dass der Radius Server aber einen Accept ausgibt, aber der Client einfach eine Abfuhr bekommt. Wie geht das?
das Problem kann doch dann eigentlich nur Radius-Server-seitig sein, oder?
Keiner eine Idee?
Was sagt
show mac-auth-bypass 0/10
und
show dot1x interface fa 0/10 details ??
show mac-auth-bypass 0/10
und
show dot1x interface fa 0/10 details ??
Also den ersten Befehl gibts so nicht, der ist wohl bloß bei CatOs möglich. Hab leider auch keinen ähnlichen Befehl gefunden.
"show dot1x interface fa 0/10 details" zeigt:
Dot1x Info for FastEthernet0/10
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = SINGLE_HOST
ReAuthentication = Disabled
QuietPeriod = 10
ServerTimeout = 30
SuppTimeout = 30
ReAuthPeriod = 3600 (Locally configured)
ReAuthMax = 2
MaxReq = 2
TxPeriod = 5
RateLimitPeriod = 0
Mac-Auth-Bypass = Enabled
Inactivity Timeout = None
Dot1x Authenticator Client List Empty
Domain = DATA
Port Status = UNAUTHORIZED
Könnte es eventuell hiermit was zu tun haben -> "Dot1x Authenticator Client List Empty" Muss ich dem Switch nochmal verraten wer der Authenticator ist?
Das müsste er doch eigentlich über den normalen RADIUS-Weg machen oder?
Oder könnte es allgemein daran liegen, dass ich den Windows IAS anstatt des Cisco ACS nutze?
"show dot1x interface fa 0/10 details" zeigt:
Dot1x Info for FastEthernet0/10
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = SINGLE_HOST
ReAuthentication = Disabled
QuietPeriod = 10
ServerTimeout = 30
SuppTimeout = 30
ReAuthPeriod = 3600 (Locally configured)
ReAuthMax = 2
MaxReq = 2
TxPeriod = 5
RateLimitPeriod = 0
Mac-Auth-Bypass = Enabled
Inactivity Timeout = None
Dot1x Authenticator Client List Empty
Domain = DATA
Port Status = UNAUTHORIZED
Könnte es eventuell hiermit was zu tun haben -> "Dot1x Authenticator Client List Empty" Muss ich dem Switch nochmal verraten wer der Authenticator ist?
Das müsste er doch eigentlich über den normalen RADIUS-Weg machen oder?
Oder könnte es allgemein daran liegen, dass ich den Windows IAS anstatt des Cisco ACS nutze?
Nein, Radius ist Radius, das ist ein Standard und klappt auch mit Freeradius und allen anderen bekannten Radius Servern. Im Umkehrschluss müssten dann alle User die Mac Authentication machen einen Cisco ACS kaufen. Ciso funktioniert in fast allen Bereichen so aber hier nutzen sie dann doch mal Standard. Das ist also nicht der Punkt !
Hast du mal
http://www.cisco.com/univercd/cc/td/doc/solution/macauthb.pdf
genau durchgearbeitet ??
Hast du mal
http://www.cisco.com/univercd/cc/td/doc/solution/macauthb.pdf
genau durchgearbeitet ??
Habs genauso durchgearbeitet wies in der Anleitung steht. Ansonsten läuft meine 802.1X Authentifizierung 1A.
Was ich nicht verstehe ist, dass der IAS Log und der Wireshark mir einen "Access-Accept" melden. Aber der Switch im debug gar keinen rausgibt...
Wie lässt sich das erkären? Ich hab auch schon unterschiedliche Timerzeiten probiert, aber dann geschieht das Gleiche. Es dauert nur länger/ kürzer.
Ich habe die Vermutung dass eventuell etwas mit der RAS-Richtlinie nicht stimmt, weil ich nun schon öfter gelesen habe, dass die meisten
eine extra Gruppe für die Mac-Authentication-User machen und diese dort reinstecken. Kann mir da zwar keinen funktioniellen Unterschied erklären,
aber an irgendetwas muss es ja liegen...
Was ich nicht verstehe ist, dass der IAS Log und der Wireshark mir einen "Access-Accept" melden. Aber der Switch im debug gar keinen rausgibt...
Wie lässt sich das erkären? Ich hab auch schon unterschiedliche Timerzeiten probiert, aber dann geschieht das Gleiche. Es dauert nur länger/ kürzer.
Ich habe die Vermutung dass eventuell etwas mit der RAS-Richtlinie nicht stimmt, weil ich nun schon öfter gelesen habe, dass die meisten
eine extra Gruppe für die Mac-Authentication-User machen und diese dort reinstecken. Kann mir da zwar keinen funktioniellen Unterschied erklären,
aber an irgendetwas muss es ja liegen...
Kannst du testweise mal einen anderen Radius Server wie den Freeradius z.B. in einer VM ausprobieren. Dort gibt es diesen ganzen RAS Mist Overhead wie bei MS nicht und er hat einen erheblich besseren Debugging Modus:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Ansonsten gibt es noch zig HowTos mit denen du deine Konfig mal checken kannst:
http://www.booches.nl/2008/06/20/mac-authentication-bypass-continued/
http://www.symantec.com/connect/articles/snac-8021x-mac-authentication- ...
usw.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Ansonsten gibt es noch zig HowTos mit denen du deine Konfig mal checken kannst:
http://www.booches.nl/2008/06/20/mac-authentication-bypass-continued/
http://www.symantec.com/connect/articles/snac-8021x-mac-authentication- ...
usw.
Danke erstmal für deine Hilfe.
Also in einer anderen Umgebung zu testen ist leider nicht möglich, weil das Ganze in exakt der Umgebung funktionieren muss.
Die Authentifizierung ist Teil meiner Bachelorarbeit, die genau mit dieser Umgebung angesetzt ist.
Ich dachte, wenn ich schon die komplette 802.1X-Geschichte zum laufen kriege, wird das mit dem MAB auch ein klaks.
Ich wette, es ist wieder nur ein kleines Häkchen, dass ich zuviel oder zu wenig gesetzt habe );
Also in einer anderen Umgebung zu testen ist leider nicht möglich, weil das Ganze in exakt der Umgebung funktionieren muss.
Die Authentifizierung ist Teil meiner Bachelorarbeit, die genau mit dieser Umgebung angesetzt ist.
Ich dachte, wenn ich schon die komplette 802.1X-Geschichte zum laufen kriege, wird das mit dem MAB auch ein klaks.
Ich wette, es ist wieder nur ein kleines Häkchen, dass ich zuviel oder zu wenig gesetzt habe );
Ja, ist es eigentlich auch. Bei allen anderen Herstellern ist das mit FreeRadius eine 10 Minutensache das aufzusetzen, da ein simples Standardszeanrio. Das kann eigentlich nur an irgendwelchen verquarsten MS Rechten liegen. Ist ja verwunderlich das man mit sowas Banalem einen Bachelor machen kann...nundenn ?!
Hehe,
nunja, darum schrieb ich ja "Teil meiner Bachelorarbeit". Wenn das alles wäre, dann hätte ich einige Sorgen weniger^^
Also werd ich wohl erstmal noch weiter ausprobieren müssen, obwohl mir nichts mehr einfällt.
Falls ich den Fehler finde, werde ich es hier mitteilen.
nunja, darum schrieb ich ja "Teil meiner Bachelorarbeit". Wenn das alles wäre, dann hätte ich einige Sorgen weniger^^
Also werd ich wohl erstmal noch weiter ausprobieren müssen, obwohl mir nichts mehr einfällt.
Falls ich den Fehler finde, werde ich es hier mitteilen.
Eine Idee ist mir gerade noch gekommen. Ist es eigentlich zwingend notwendig die User, die sich über MAB anmelden in ein VLAN zu stecken?
Ich habe bei meiner Testkonfiguration dieses
access vlan xx
weggelassen, mit der Absicht, dass sich der Supplicant dann ganz normal wie ein 802.1x-angemeldeter Client ins Netz einwählt.
Ich habe bei meiner Testkonfiguration dieses
access vlan xx
weggelassen, mit der Absicht, dass sich der Supplicant dann ganz normal wie ein 802.1x-angemeldeter Client ins Netz einwählt.
Ja, du hast beide Optionen. Wenn du das im Default VLAN belässt kannst du entweder die VLAN Zuweisung via .1x dynamisch machen oder wenn du das weglässt im Radius verbleibt der Client in dem VLAN welches dem Port statisch in der Switchkonfig zugewiesen ist.
Beides klappt !
Beides klappt !
