7
VLAN automatisch zuordnen über FreeRadius
Hallo alle zusammen!
Ich habe folgendes Problem:
Habe in einer Firma den Auftrag bekommen einen Radius-Server zu konfigurieren. Welcher zur Authentifizierung in dem hier angelegten Netzwerk genutzt werden soll. Die Authentifizierung am FreeRadius klappt soweit über PEAP. Nun wurde der Wunsch geäußert, dass den Nutzern via Radius ein VLAN zugeordnet werden soll. Und da liegt das Problem. Dies klappt auch nach längerem probieren, googeln etc. immer noch nicht. Ich habe leider keine Ahnung ob es an den Einstellungen vom FreeRadius hängt oder an den Einstellungen des Switches (Linksys SRW2016). Oder ob es überhaupt mit diesem Switch möglich ist, da das ja nicht alle beherschen sollen.
Schonmal vielen Dank für die Hilfe!
Mfg
LC
Ich habe folgendes Problem:
Habe in einer Firma den Auftrag bekommen einen Radius-Server zu konfigurieren. Welcher zur Authentifizierung in dem hier angelegten Netzwerk genutzt werden soll. Die Authentifizierung am FreeRadius klappt soweit über PEAP. Nun wurde der Wunsch geäußert, dass den Nutzern via Radius ein VLAN zugeordnet werden soll. Und da liegt das Problem. Dies klappt auch nach längerem probieren, googeln etc. immer noch nicht. Ich habe leider keine Ahnung ob es an den Einstellungen vom FreeRadius hängt oder an den Einstellungen des Switches (Linksys SRW2016). Oder ob es überhaupt mit diesem Switch möglich ist, da das ja nicht alle beherschen sollen.
Schonmal vielen Dank für die Hilfe!
Mfg
LC
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 69515
Url: https://administrator.de/contentid/69515
Ausgedruckt am: 26.11.2024 um 14:11 Uhr
7 Kommentare
Neuester Kommentar
Die Freeradius Konfig für eine 802.1x Benutzerauthentisierung ist ganz einfach:
Guckst du dazu auch HIER.
Clients.conf Datei:
Das lässt Radius Zugriffe von Switches generell zu aus dem LAN 192.168.1.0/24. Ggf. musst du das auf dein IP Netz anpassen !
users Datei: (Benutzer willi, Passwort geheim, Ohne autom. VLAN Zuordnung)
users Datei: (Benutzer willi, Passwort geheim, Mit autom. VLAN Zuordnung)
Mit Tunnel-Private-Group-Id = 10 wird ihm dynamisch das VLAN 10 zugewiesen ! Ist übrigens genau die gleiche Syntax wie am ISA Server von MS.
Du solltest den Radius Server temporär mit radiusd –X starten, dann schmeisst er dir den Authentifizierungsvorgang auf die Konsole und du kannst sofort sehen wo der Fehler ist !
Im aktiven Betrieb sollte man das -X aber nicht einschalten !!!
Der Switch muss natürlich konfiguriert sein für 802.1x auf den Ports mit einer Radius Abfrage (Radius IP Adresse, Ports und Passwort) . Wie das beim Linksys geht ist detailliert auf Seite 59 im Handbuch beschrieben. Wie du den Radius Server im Switch konfigurierst steht im Handbuch auf Seite 85.
Falls du das Handbuch nicht hast hilft dir ggf. die Linksys-Produktseite
Im Datenblatt steht aber nichts vom Support von dynamsicher VLAN Zuweisung. Du solltest also ggf. als ersten Schritt erstmal die normale Benutzer Authentifizierung mit 802.1x testen bevor du auf die dynamische Zuweisung gehst !
Guckst du dazu auch HIER.
Clients.conf Datei:
#
client 192.168.1.0/24 {
secret = Geheim
shortname = labortest
}users Datei: (Benutzer willi, Passwort geheim, Ohne autom. VLAN Zuordnung)
#
willi Auth-Type := EAP, User-Password == "geheim"
##
willi Auth-Type := EAP, User-Password == "geheim"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
#Du solltest den Radius Server temporär mit radiusd –X starten, dann schmeisst er dir den Authentifizierungsvorgang auf die Konsole und du kannst sofort sehen wo der Fehler ist !
Im aktiven Betrieb sollte man das -X aber nicht einschalten !!!
Der Switch muss natürlich konfiguriert sein für 802.1x auf den Ports mit einer Radius Abfrage (Radius IP Adresse, Ports und Passwort) . Wie das beim Linksys geht ist detailliert auf Seite 59 im Handbuch beschrieben. Wie du den Radius Server im Switch konfigurierst steht im Handbuch auf Seite 85.
Falls du das Handbuch nicht hast hilft dir ggf. die Linksys-Produktseite
Im Datenblatt steht aber nichts vom Support von dynamsicher VLAN Zuweisung. Du solltest also ggf. als ersten Schritt erstmal die normale Benutzer Authentifizierung mit 802.1x testen bevor du auf die dynamische Zuweisung gehst !
Wie gesagt die einfach Authentifizierung via PEAP funktioniert einwandfrei. Der Debug-Modus von Freeradius bringt keine Fehler. Und aus deinen Aussagen kann ich entnehmen das der Switch das nicht unbedingt können muss. Habe mich zu diesem Thema mal mit Linksys in Verbindung gesetzt. Leider noch keine Antwort.
Bedenke das 802.1x immer EAP als Protokoll benutzt nie an PEAP. Das siehst du schon am Auth-Type in der User Konfig oben !
Eine normale Benutzer Authentifizierung am Switch Port supportet der Linksys aber problemlos mit der einfachen Benutzer Zeile bzw. Konfig wie oben beschrieben.
Es ist lediglich die Frage ob der Linksys eine dynamische VLAN Zuordnung zusätzlich kann..
Da sind wir dann mal auf die Antwort von Linksys gespannt... ?!
Eine normale Benutzer Authentifizierung am Switch Port supportet der Linksys aber problemlos mit der einfachen Benutzer Zeile bzw. Konfig wie oben beschrieben.
Es ist lediglich die Frage ob der Linksys eine dynamische VLAN Zuordnung zusätzlich kann..
Da sind wir dann mal auf die Antwort von Linksys gespannt... ?!
Tja nun sind bereits 2 Tage ins Land gegangen und Linksys rührt sich nicht. Abwohl in der Eingangs-E-Mail eine Antwort innerhalb 24 Stunden zugesichert wurde. Durch testen hab ich inzwischen festegestellt, dass eine dynamische Zuordnung von VLANs mit dem Linksys SRW 2016 nicht möglich ist. Sofern Linksys in geraumer Zeit nicht das Gegenteil behaupten wird. Hat sich das Thema damit erledigt.
Nun gleich nocheinmal eine andere Frage: Gibt es da noch andere Möglichkeiten der Zuordnung?
MfG
LC
Nun gleich nocheinmal eine andere Frage: Gibt es da noch andere Möglichkeiten der Zuordnung?
MfG
LC
Was meinst du damit ??? Andere Möglichkeiten der dynamischen Zuordnung ??? Ja, die gibt es noch über die MAC Adresse. Einige Hersteller supporten sowas, der Port authentisiert dann nicht nach 802.1x Username und Password sondern nach der MAC Adresse der LAN Karte und bekommt dann mit genau demselben Mechanismus über den radius dynamisch ein VLAN zugeordent !!
Das sind die einzigen Möglichkeiten derzeit am Markt.
Falls du eine nicht dynamische Zuweisung meinst, geht das natürlich problemlos als statische Zuweisung über das Switch Setup...aber das weist du ja sicher selber
Das sind die einzigen Möglichkeiten derzeit am Markt.
Falls du eine nicht dynamische Zuweisung meinst, geht das natürlich problemlos als statische Zuweisung über das Switch Setup...aber das weist du ja sicher selber
Alles klar dank dir für die Auskunft 
die beiden Varianten via Radius bzw. Mac sind mir bekannt. Dachte nur ich hätte vllt eine übersehen.
die beiden Varianten via Radius bzw. Mac sind mir bekannt. Dachte nur ich hätte vllt eine übersehen.
