4
Win Server 2012 R2 NPS in Verbindung mit einem Cisco SG300
Hallo zusammen,
so langsam bin ich am verzweifeln.
Ich möchte gerne eine dynamische VLAN-Zuweisung realisieren mittels eines Radius (Windows Server 2012 R2) und einem Cisco SG-300 für die kabel gebunden Clients.
Für dieses Vorhaben habe ich zunächst eine Testumgebung aufgebaut. Im Produktivsystem wird schon eine Radius-Authentifizierung für die WLAN APs erfolgreich eingesetzt.
Das Testsystem bestehend aus folgenden Komponenten:
1x Windows Server 2012 R2 AD
1x Windows Server 2012 R2 NPS + Zertifizierungsstelle
1x Cisco SG-300 mit aktueller Firmware (1.4.7.6)
Ich habe nun meinen Radius nach folgender Anleitung aufgesetzt:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Auf dem Cisco-Switch habe ich den Radius eingerichtet und Port 1 wie folgt konfiguriert: (unter Sicherheit -> 802.1x / Mac Authentifizierung )
Administrative Portsteuerung: Autorisierung erzwingen
Radius-VLAN-Zuordnung: Statisch
Haken bei 802.1x basierte Authentifizierung, Mac basierte Authentifizierung gesetzt.
Der Port steht auch auf "Autorisiert"
Konfig NPS:
Radius Client eingerichtet
Netzwerkrichtlinie erzeugt:
Bedingung: Testgruppe im AD
Einstellungen: Radius Attribute -> Standard: Tunnel Medium Type: 802, Tunnel Pvt Group-ID: 10 (für VLAN10), Tunnel-Type: Virtual LANS
Am Client:
Dienst Automatische Konfiguration (verkabelt) gestartet
Authentifizierung IEEE802.1x aktiviert
Authentifizierungsmodus: Computer oder Benutzer ausgewählt
Auf dem sieht man unter 802.1x EAP folgendes:
Empfangene EAPPOL Frames: 12
Übertragende EAPPOL Frames: 12
Empfagene EAPPOL Start Frames: 12
Letzte EAPOL Frame Quelle: MAC-Adresse vom anfragenden Client -> passt
Der Rest der Statistik steht auf 0.
Am Server sehe ich Null!!!
Im Ereignislog sehe ich keine Hinweise auf den NPS.
Die Kontoführung habe ich so konfiguriert, dass eine Logdatei als Datei geschrieben wird.
Die Logdatei wird nun dann gefüllt, wenn ich mit einem nicht autorisierten Test-Client (NTRadPing) mich versuche anzumelden.
Nach Einrichtung des Test-Clients unter den Radius Clients funktioniert dieser. (Dann sehe ich aber nichts mehr im Log. Auch keine erfolgreiche Anmeldung.)
Wie gesagt ein Cisco WLAN AP (RV130W) habe ich produktiv super am laufen.
Hat noch jemand ein paar Tipps für mich, was ich noch testen kann?
Bin über jede Hilfe dankbar.
MfG
Mario
so langsam bin ich am verzweifeln.
Ich möchte gerne eine dynamische VLAN-Zuweisung realisieren mittels eines Radius (Windows Server 2012 R2) und einem Cisco SG-300 für die kabel gebunden Clients.
Für dieses Vorhaben habe ich zunächst eine Testumgebung aufgebaut. Im Produktivsystem wird schon eine Radius-Authentifizierung für die WLAN APs erfolgreich eingesetzt.
Das Testsystem bestehend aus folgenden Komponenten:
1x Windows Server 2012 R2 AD
1x Windows Server 2012 R2 NPS + Zertifizierungsstelle
1x Cisco SG-300 mit aktueller Firmware (1.4.7.6)
Ich habe nun meinen Radius nach folgender Anleitung aufgesetzt:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Auf dem Cisco-Switch habe ich den Radius eingerichtet und Port 1 wie folgt konfiguriert: (unter Sicherheit -> 802.1x / Mac Authentifizierung )
Administrative Portsteuerung: Autorisierung erzwingen
Radius-VLAN-Zuordnung: Statisch
Haken bei 802.1x basierte Authentifizierung, Mac basierte Authentifizierung gesetzt.
Der Port steht auch auf "Autorisiert"
Konfig NPS:
Radius Client eingerichtet
Netzwerkrichtlinie erzeugt:
Bedingung: Testgruppe im AD
Einstellungen: Radius Attribute -> Standard: Tunnel Medium Type: 802, Tunnel Pvt Group-ID: 10 (für VLAN10), Tunnel-Type: Virtual LANS
Am Client:
Dienst Automatische Konfiguration (verkabelt) gestartet
Authentifizierung IEEE802.1x aktiviert
Authentifizierungsmodus: Computer oder Benutzer ausgewählt
Auf dem sieht man unter 802.1x EAP folgendes:
Empfangene EAPPOL Frames: 12
Übertragende EAPPOL Frames: 12
Empfagene EAPPOL Start Frames: 12
Letzte EAPOL Frame Quelle: MAC-Adresse vom anfragenden Client -> passt
Der Rest der Statistik steht auf 0.
Am Server sehe ich Null!!!
Im Ereignislog sehe ich keine Hinweise auf den NPS.
Die Kontoführung habe ich so konfiguriert, dass eine Logdatei als Datei geschrieben wird.
Die Logdatei wird nun dann gefüllt, wenn ich mit einem nicht autorisierten Test-Client (NTRadPing) mich versuche anzumelden.
Nach Einrichtung des Test-Clients unter den Radius Clients funktioniert dieser. (Dann sehe ich aber nichts mehr im Log. Auch keine erfolgreiche Anmeldung.)
Wie gesagt ein Cisco WLAN AP (RV130W) habe ich produktiv super am laufen.
Hat noch jemand ein paar Tipps für mich, was ich noch testen kann?
Bin über jede Hilfe dankbar.
MfG
Mario
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 338086
Url: https://administrator.de/contentid/338086
Printed on: April 25, 2024 at 01:04 o'clock
4 Comments
Latest comment
Hast du den Thread von Nachtfalkeaw gelesen im Threadverlauf ?
Also die 300 supporten definitiv Dynamic VLANs ! Daran kann es nicht liegen.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Interessant wäre mal ein Log Auszug des Radius was da ankommt bzw. was der rausschickt und ob er eine VLAN Information mitgibt.
Noch besser wäre natürlich mal ein Wireshark Trace von der Clientanmeldung bzw. dem Radius Requests des Switches. Im Trace kann man dann genau sehen was der Switch requestet und was der Server antwortet.
Kann eigentlich nur ein Server Konfig Problem sein.
Also die 300 supporten definitiv Dynamic VLANs ! Daran kann es nicht liegen.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Interessant wäre mal ein Log Auszug des Radius was da ankommt bzw. was der rausschickt und ob er eine VLAN Information mitgibt.
Noch besser wäre natürlich mal ein Wireshark Trace von der Clientanmeldung bzw. dem Radius Requests des Switches. Im Trace kann man dann genau sehen was der Switch requestet und was der Server antwortet.
Kann eigentlich nur ein Server Konfig Problem sein.
1
Hallo,
soll das eine MAC basierte Authentifizierung werden?
Wie sollen sich die Clients am Radius authentifizieren?
Grüße
soll das eine MAC basierte Authentifizierung werden?
Wie sollen sich die Clients am Radius authentifizieren?
Grüße
Fehler gefunden!
der Port am Switch stand auf "Autorisierung Erzwingen" anstatt auf Automatisch unter der Administrativen Portsteuerung.
Ein dummer Flüchtigkeitsfehler
Nun funktioniert alles bestens.
Danach waren auch sofort die Logs auf beiden Seiten sichtbar und die letzten Konfigfehler konnten so eliminiert werden.
Danke für eure Hilfe.
MfG
Mario
der Port am Switch stand auf "Autorisierung Erzwingen" anstatt auf Automatisch unter der Administrativen Portsteuerung.
Ein dummer Flüchtigkeitsfehler
Nun funktioniert alles bestens.Danach waren auch sofort die Logs auf beiden Seiten sichtbar und die letzten Konfigfehler konnten so eliminiert werden.
Danke für eure Hilfe.
MfG
Mario
Alles wird gut... 
