Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
"Wie kann ich mein Netzwerk vor fremdem Zugriff schützen...?" ...ein sehr häufiger Thread bzw. Frage hier bei Administrator.de im Forum !
Das Betriebssystem der Endgeräte, DHCP oder anderes zu "verbiegen" sind letztlich immer die falschen Ansätze und führen so gut wie nie zum gewünschten Erfolg bzw. können mit einfachsten Mitteln und freien Tools aus dem Internet auch von Laien leicht überwunden werden.
Der richtige Schritt zur Absicherung ist daher den Zugang gleich auf der Netzinfrastruktur selber zu blockieren, um so auch eine Ausspähung verwendeter IP Adressen mit einem LAN Sniffer und andere Angriffe sicher zu verhindern.
Das folgende Tutorial gibt einen Überblick wie dies schnell und mit einfachen Mitteln der IEEE 802.1x Port Authentisierung realisiert werden kann.
Diese Art der Portüberwachung ist heute auch schon in sehr preiswerten Consumer Switches (sog. "Web Smart Switches") vielfach implementiert. Renomierte Switch Hersteller haben es schon seit Jahren an Bord um sichere Netze realisieren zu können..
802.1x Port Authentisierung erfordert einen managebaren Netzwerk Switch und einen Radius Server zur Authentisierung im Hintergrund. Netzwerk Betreiber mit dummen, nicht managebaren Switches haben also keine Chance dieses Konzept umzusetzen und müssen meist auf unsicherere Verfahren zurückgreifen. Vielleicht eine Entscheidungshilfe beim Design ein paar Euro mehr in managebare Switch Infrastruktur zu investieren um für solche Anforderungen der Datensicherheit gewappnet zu sein ?!
Einfach erklärt besteht 802.1x aus einem Bittsteller (Supplicant) der Zugang haben möchte an einem Authenticator.
Supplicants sind 802.1x fähige Endgeräte wie PCs, Telefone usw. Authenticators können Netzwerk Switches, WLAN APs usw. sein.
Viele Switches bieten die Möglichkeit auch nicht 802.1x fähige Netzwerkgeräte per 802.1x zu authentisieren was dann über deren Mac Adresse (MAC-Bypass) passiert. So ist es möglich z.B. Netzwerkdrucker und andere passive Geräte ebenfalls in so ein Konzept zu integrieren.
Ein weiterer positiver Aspekt bei 802.1x ist das der Radius Server weitere Informationen für den Zugang wie z.B. eine VLAN Information und eine zeitliche Beschränkung an den Authenticator übertragen kann. Damit kann man z.B. Endgeräte dynamisch in VLANs bringen und Usern nur in bestimmten Zeitfenstern Zugang gewähren. Ein Vorteil bei Umzügen von Clients z.B. Dazu später mehr.
Wer tiefer in das Thema 802.1x einsteigen will, sei auf den entsprechenden Wikipedia Artikel verwiesen:
http://de.wikipedia.org/wiki/IEEE_802.1X
Für die sichere Zugangskontrolle via 802.1x in WLAN Netzen gibt es hier bei Administrator.de ein separates Tutorial:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Da beide Verfahren identisch sind, kann man einen Radius Server sowohl für die kabelgebunden Port Authentifizierung als auch parallel zur WLAN Authentifizierung nutzen.
❗️Ein modernes Setup mit Datenbank und WebGUI ist unter folgendem URL zu finden:
Freeradius Management mit WebGUI
Das Thema 802.1x ist sehr eng mit der Authentifizierung in WLAN Netzen verbunden, die ebenfalls auf 802.1x basiert wie oben bereits beschrieben.
Analog gilt damit für die grundlegende Einrichtung des Radius Servers alles, was in dem hiesigen, oben bereits zitierten Tutorial für die sichere WLAN User Authentisierung aufgeführt ist. Die Installation des Radius Servers basiert auf dem bekannten und weit verbreitetem Free Radius Server.
Dieser erste, Radius bezogene Teil des Tutorials kann also ohne Änderung eins zu eins übernommen werden für das Aufsetzen dieses Servers. Er ist ist zur 802.1x Switchport Authentisierung vollkommen identisch und behandelt das gleiche Thema in einem WLAN Umfeld !
Alternativ ist der Radius Server auch problemlos auf einem Home NAS System z.B. von QNAP oder Synology nutzbar. Die NAS Systeme beider Hersteller haben den FreeRadius bereits von Haus aus integriert, was eine Installation auf dedizierter HW oder als VM obsolet macht.
Ebenso die Nutzung eines FreeRadius in der Router Firmware DD-WRT die einige DSL und Breitband Router (Buffalo usw.) ebenso von Haus aus integriert haben.
Die Einrichtung eines entsprechenden Radius Servers (NPS = Network Policy Server) unter dem MS Windows Server Betriebssystem (SBS usw.) beschreibt vollständig ein Artikel im ct' Magazin und soll hier deshalb auch nicht weiter beleuchtet werden.
http://www.heise.de/artikel-archiv/ct/2010/12/180_kiosk
Die Integration des Free Radius in ein bestehendes Windows Active Directory findet sich im o.a. RasPi Tutorial.
Das hiesige WLAN Radius Tororial ist somit auch Basis der grundlegenden Free Radius Installation. Ob man den Radius Server als VM aufsetzt oder mit dedizierter Rechnerhardware ist Geschmackssache und eine individuelle Entscheidung im jeweiligen Umfeld. Die Anforderungen an die Performance sind gering bei reiner Radius Nutzung, so das man auch einen ausgedienten Altrechner damit sinnvoll recyceln kann.
Hier also einfach strikt nach obiger Anleitung, bis zum Test des Radius Servers mit dem NTRadPing Tool, vorgehen !
Ist der Radius Server gemäß den Vorgaben des o.a. Tutorial betriebsbereit, macht es Sinn ein paar Windows spezifische Anpassungen zu machen um den Benutzerzugang einfacher zu gestalten.
Windows übermittelt bei der automatischen Authentifizierung den Benutzer immer in der Form "Hostname/Username" ohne eine Domain Umgebung oder entsprechend "Domainname/Username" mit einer Domain.
Um nun nicht für jegliche Hostname und Benutzernamen Kombination einen einzelnen Eintrag in der Benutzerliste auf dem Radius machen zu müssen und rein Benutzer bezogen arbeiten zu können, macht es Sinn den Hostnamen vom Usernamen zu trennen.
Diese Anpassung auf dem Radius Server (Realm) ist nur bei Windows Clients zu machen !
Sie ist aber nicht zwingend wenn jemand ein Dialog geführtes Zugangs Menü haben möchte zur Benutzerabfrage. In diesem Falle können die folgenden Schritte dann ignoriert werden !
In der Regel will man die Netzwerk Authentifizierung immer OHNE Benutzer Interaktion machen um diesen nicht mit einer doppelten Passwort Abfrage zu quälen.
Für Apple Mac und Linux Benutzer ist die folgende Anpassung ebenfalls obsolet da sie ein "normales" Format benutzen !
Ausnahme hiervon ist die Änderung in der Datei /etc/raddb/eap.conf für die dynamische VLAN Zuweisung !
Generell kann es nicht schaden immer diese folgenden Anpassungen der Realm zu machen um alle Betriebssysteme gleichermaßen abzudecken !
In gemischten Netzen mit Apple Mac und Linux Clients stört diese Windows spezifische Anpassung nicht !
FreeRadius hat für diese Windows Client Anpassung natürlich schon ein fertiges Profil was nur einfach aktiviert werden muss.
Nun ist wieder etwas zusätzliche "Handarbeit" mit dem Texteditor der Wahl z.B. dem einfach zu bedienenden und aus dem o.a. WLAN_Tutorial hinreichend bekanntem "joe" erforderlich. Es dient zum individuellen Anpassen der Radius Konfigurations Dateien.
Die folgenden Angaben beziehen sich auf ein OpenSuSE System. Bei anderen Distributionen variieren ggf. die Pfadangaben zur FreeRadius Konfig !! Die Konfiguration selber ist aber überall gleich.
Der Radius Server muss neugestartet werden um die Änderungen zu übernehmen. Vor dem ersten Test empfiehlt sich immer ein manueller Start im Debug Modus mit "radiusd -X" wie bereits im anderen Tutorial bemerkt. Damit kann man den Authentisierungsprozess live miterleben und sieht etwaige Fehler sofort.
Im späteren Produktivbetrieb sollte man aber den Debug Modus immer ausgeschaltet lassen !
Wer möchte kann die Datei /etc/raddb/users zum Testen noch um den Benutzer "User" und um den Benutzer "vlan" (und ggf. weitere Benutzer) erweitern um die automatische VLAN Distribution zu testen. (Beispiel der users Datei findet sich weiter unten im Tutorial)
Ebenso um ggf. Mac Adressen damit nicht 802.1x fähige Endgeräte, die also keinen .1x Client an Bord haben, wie z.B. Drucker auch authentifiziert werden können im Test. (Mac Authentication Bypass)
Die Datei "users" beinhaltet dann später alle Benutzernamen im Netz nach dem u.a. Muster.
Ein Beispiel der users Datei sähe dann so aus:
Achtung !: Bitte beachten das Tunnel Attribute unterhalb der Passwort Definition zwingend per TAB eingerückt sein müssen !
(Siehe dazu auch hier).
Der Benutzer Service hat durch den Parameter "Login-Time" nur täglich von 12 Uhr bis 13 Uhr Zugang (Beispiel). Auch einzelne Wochentage sind z.B. mit "Su1000" für Sunday = Sonntag 10 Uhr oder "Tu2300" für Tuesday = Dienstag, 23 Uhr Komma getrennt möglich.
Der letzte Eintrag "00abce813abc" zeigt eine Mac Authentisierung (Mac Bypass) für Clients die keinen .1x Client mit an Bord haben. Denen wird auch das VLAN 10 zugewiesen.
Damit ist die Radius Server Konfiguration dann abgeschlossen.
Änderungen müssen dann nur noch in der Datei users gemacht werden, sollten neue Benutzer dazukommen oder wegfallen.
Ein generelles Wort zur Skalierbarkeit dieses Systems:
Natürlich kann man mit diesem Konzept über eine statische Textdatei kein Netzwerk mit 1000 und mehr Benutzern managen.
Für Netze solcher Größenordnung sollte der FreeRadius dann über LDAP einfach an ein bestehendes Benutzer Verzeichnis wie z.B. ein Windows AD oder einen zentralen LDAP Server angebunden werden. FreeRadius hat diese Option gleich an Bord die nur aktiviert werden muss. Anleitungen dazu findet man viele wie z.B. Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory ).
Für kleine und mittlere Netzwerke mit einem relativ statischen Benutzerkreis ist die Benutzung einer festen Datei aber durchaus eine Alternative um schnell und unkompliziert die Zugriffssicherheit im Netzwerk zu erhöhen.
Ein nützliches Windows Tool um den Radius Server vorab zu testen ist NTRadPing
Bekommt man hier mit den User Credentials ein "Access accept" hat man oben alles richtig gemacht.
Aus Platzgründen wird hier exemplarisch die Einrichtung eines Windows Clients beschrieben am Beispiel von Windows XP (SP3). Sämtliche Konfigurationsschritte und Menüs sind identisch bei Windows 7 !
Das zweite Beispiel zeigt die Einrichtung an einem Apple Mac.
Was ist zu tun ??
Bei Windows ist als allererstes zu prüfen oder der Dienst Automatische Konfiguration (verkabelt) gestartet ist. Ist dieser nicht aktiv, kann die 802.1x Authentisierung nicht konfiguriert werden !
Dazu geht man in die Systemsteuerung unter "Verwaltung --> Dienste" und sucht den Eintrag "Automatische Konfiguration (verkabelt)" (6ter Eintrag in der Liste).
Windows 7 Benutzer geben nur "Dienste" im Suchfeld an und gelangen so direkt dorthin.
Alternativ drückt man die Tastenkombination Windows+R und gibt services.msc ein. Dort klickt man unten den Karteireiter Standard und doppelklickt dann Automatische Konfiguration (verkabelt).
Der Starttyp sollte auf Automatisch stehen. Mit Klick auf Starten startet man den Dienst und schliesst das Fenster mit OK.
Es ist also sicherzustellen das dieser Dienst gestartet ist !
Öffnet man nun die Eigenschaften der LAN Verbindung (Win 10/11: Netzwerk und Freigabecenter) erscheint oben ein Karteireiter "Authentifizierung" !
Hier aktiviert man nun die 802.1x Authentisierung mit einem Haken und setzt den Typ auf Geschütztes EAP (PEAP) !
Mit einem Klick auf "Einstellungen" öffnet man die Detaileinstellungen von 802.1x:
Ob das Serverzertifikat überprüft werden soll kann jeder selber entscheiden. Bei Problemen kann man dies auch abschalten.
In den Eigenschaften des EAP-MSCHAPv2 Passwortes kann man wählen ob die 802.1x Authentisierung des Clients menügeführt über ein Popup Window geschehen soll oder ob dies automatisch mit der Übermittlung des Nutzernamens im Hintergrund geschehen soll.
In der Regel aktiviert man die automatische Übermittlung um den User nicht mit weiteren Logins zu unterbrechen.
Deaktiviert man die automatische Übermittlung der Userdaten erscheint zur individuellen Abfrage der Zugangsdaten stets ein Popup Window:
Die Windows Client Konfiguration ist damit abgeschlossen !
Wie immer ist die Aktivierung bei Apple etwas einfacher und intuitiver.
Man öffnet die Systemeinstellung --> Netzwerk und wählt dann das Ethernet Interface aus:
Mit einem Klick auf + fügt man ein neues 802.1x Profil hinzu (hier "Test" genannt). Bei Apple hat man etwas vorausschauender gedacht und den Vorteil das man mehrere 802.1x Profile für unterschiedliche Netze konfigurieren kann.
Ist das Profil angelegt, trägt man nur noch Benutzername und Passwort ein und ist fertig !
Ein Klick auf Verbinden startet die Authentifizierung die man auch manuell mit "Trennen" wieder stoppen kann:
http://open1x.sourceforge.net/
Die Prozedur ist analog zu den beiden obigen !
Natürlich muss der LAN Switch als Authenticator auch entsprechend eingerichtet werden das er diesen Port mit 802.1x authentisiert bzw. die Authentisierungsanfrage an den Radius Server weiterreicht.
Wie oben bereits angemerkt sind dies mittlerweile auch viele preiswerte Consumer Switches der 100 Euro Klasse wie z.B.:
NetGear_GS-108T
D-Link_DGS-1210-16 bzw. die baugleiche 24 und 48 Port Variante
Trendnet_TEG-160WS
Cisco_SLM2024
Cisco_SG-300_Serie
(Achtung: Die Cisco SG-200 Serie supportet keine dynamische VLAN Zuweisung sondern nur die 802.1x Port Authentifizierung ! (Siehe Threadverlauf unten))
Für die dynamische VLAN Zuweisung bei Cisco Small Business Switches muss mindestens die SG-300er Serie verwendet werden !
Die folgende Konfig zeigt die 802.1x Konfiguration auf einem Cisco IOS Catalyst Switch:
Konfiguration bei anderen Switch Herstellern mit Cisco ähnlichen Kommandos wie Extreme, HP etc. bzw. sind weitestgehend analog wie das folgende Beispiel zeigt:
aaa authentication dot1x default radius
!
radius-server host 192.168.100.163 auth-port 1812 acct-port 1813 default key radiustest
radius-server key radiustest
mac-authentication enable
dot1x-enable
re-authentication
enable eth 0/1
!
interface ethernet 0/1
dot1x port-control auto
!
Die genaue Schritt für Schritt Konfiguration für HP Procurve Switches zeigt ein entsprechendes PDF Whitepaper:
http://cdn.procurve.com/training/Manuals/2900-ASG-Jan08-9-8021X.pdf
http://wiki.freeradius.org/HP usw.
Hier weitere Beispiele der 802.1x Konfiguration auf einem preiswerten Trendnet TEG-160WS Web Smart Switch, einem D-Link DGS-1210 und einem Cisco SOHO Switch SG 300:
Man kann erkennen das die Konfig eigentlich immer dieselbe ist und mit sehr einfachen Mitteln per Mausklick zu aktivieren ist:
(Trendnet TEG-160WS)
(D-Link DGS-1210)
(Cisco SG 200 und SG-300 Switch, Konfig Menüs sind bei beiden Modellen identisch !)
In der Regel haben alle Hersteller ein Konfigurations Handbuch oder Whitepaper auf ihrer Webseite für die 802.1x Konfiguration zum Download.
Erweitert man die User Einträge um die folgenden Radius Parameter:
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = <VLAN Nummer>
Dann teilt der Switch bei der 802.1x Benutzer Authentisierung automatisch dem Port ein VLAN zu !
Das ist sehr bequem wenn Benutzer umziehen oder sonstwie mobil sind. Sie nehmen dann quasi immer "ihr" VLAN mit ohne das der Netzwerk Admin die Switchkonfiguration anpassen muss.
Switchhersteller haben hier viele weitere Features. Schlägt z.B. die Authentisierung fehl oder hat der Benutzer keinen 802.1x Client aktiviert wird der Benutzer entweder vollständig geblockt oder er landet in einem Default VLAN indem er nur sehr eingeschränkte Zugangsrechte hat.
In Verbindung mit einem Captive_Portal/Hotspot ist das eine ideale Kontrolle für Gastzugänge.
In Kopplung mit einer VLAN oder direkt angeschlossenen Firewall wie hier beschrieben kann man so sehr wasserdichte Netzwerke betreiben die eine Manipulation oder Angriff von Fremden erfolgreich und robust abwehren können.
Dynamische VLAN Zuweisung am Switchport auf Mac Adress Basis
Realisiert man die Zuweisung ohne Username/Passwort und nur auf Basis der Client Mac Adressen sieht die Konfig des Radius so aus:
Dann sollte der Radius Server im Debug Modus (Start mit "radiusd -X") folgendes zum Schluss ausgeben:
.......
Sending Access-Accept of id 69 to 192.168.100.1 port 1645
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "10" --> (Das ist die autom. VLAN Zuweisung !)
User-Name = "User"
MS-MPPE-Recv-Key = 0x93d54e2fb9...
MS-MPPE-Send-Key = 0x02ff339afb6...
EAP-Message = 0x030a0004
Message-Authenticator = 0x00
Finished request 10.
Going to the next request
Passend gibt der Switch dazu dann mit dem entsprechenden "show vlan" Kommando die korrekte 802.1x Authentisierung und auch die saubere dynamische VLAN Zuweisung auf dem Client Port aus:
bzw.
Eine detailierte Konfig inklusive Show Outputs zur dynamischen VLAN Zuweisung mit Beipiel für einen Ruckus Switch ICX-7xxx und einen Cisco Catalyst 2960 findet man unten in den weiterführenden Links !
Zu Authentisierungsthemen im LAN oder WLAN gibt es folgende Links hier im Forum:
Freeradius Installation mit Datenbank und WebGUI
Freeradius Management mit WebGUI
Sichere WLAN Benutzer Authentisierung mit 802.1x (WPA2 Enterprise):
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Radius Authentisierung mit bordeigenem Radius Server auf Mikrotik Hardware:
Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server
Mikrotik: Wifi clients in anderes VLAN schieben?
Praxisbeispiel mit Linux (Raspberry Pi) und FreeRadius Server:
Netzwerk Management Server mit Raspberry Pi
Radius Server in Kombination auf einer (vorhandenen) pfSense / OPNsense Firewall betreiben:
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
Client-Zertfikat bei WPA2-Enterprise (802.1x)
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
PFSense 2.3.2 Freeradius
Achtung!: bei dynamischen VLANs mit OPNsense FreeRadius Plugin:
OPNSense FreeRadius Server-MAC Authentication-dynamische VLAN Zuweisung
Praxisbeispiel mit FreeRadius für Ruckus ICX Switch und Cisco Catalyst Switch:
Cisco SG 350x Grundkonfiguration
Ruckus ICX - 802.1x - is mac-vlan member of 2 vlans in single-untagged mode
Aufpassen bei Cisco SoHo Modellen SG und CBS !:
802.1x an Cisco CBS350 und Windows Server
Statt Mac Adresse mit 802.1x Username und Passwort authentisieren (WPA2-Enterprise):
CAPsMAN an OpenBSD-Router und -Firewall mit dynamischen VLANs
Dynamische VLAN Zuweisung mit Mikrotik WLAN und LAN:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server
FreeRadius mit Web GUI:
https://kifarunix.com/install-freeradius-with-daloradius-on-ubuntu-20-04 ...
https://www.zueschen.eu/freeradius-mit-mysql-daloradius-und-dynamische-v ...
Einbinden des FreeRadius in eine Windows AD Umgebung:
Ubuntu 14.04 - 16.04 - 18.04 - 20.04 LTS Server - Freeradius mit AD-Anbindung
Einbinden des FreeRadius in eine SQL Datenbank Umgebung:
Cisco SG 350x Grundkonfiguration
Windows Radius Server mit NPS statt FreeRadius
https://www.heise.de/ct/artikel/Radius-mit-Windows-Server-2087800.html
und auch
http://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
bzw. mit User Zertifikaten statt User/Pass
Client und Server-Authentifizierung NPS
Syntax bei der User Anmeldung von Windows Clients beachten:
NPS Anmeldung ohne host
Kopplung von FreeRadius über LDAP an ein Active Directory:
http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory-Integratio ...
http://deployingradius.com/documents/configuration/active_directory.htm ...
und auch
ClearOS 5.2 Freeradius 2 LDAP ntlm auth Active Directory
Debian Linux in eine Active Directory Domäne integrieren
Mac Adress Authentisierung mit HP Switches:
http://h10032.www1.hp.com/ctg/Manual/c02628207.pdf
VLAN und Routing zwischen VLANs:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
802.1x Probleme bei Lenovo fixen:
Windows 22H2 - Authentifizierung - eine kollegiale Bitte
Das Betriebssystem der Endgeräte, DHCP oder anderes zu "verbiegen" sind letztlich immer die falschen Ansätze und führen so gut wie nie zum gewünschten Erfolg bzw. können mit einfachsten Mitteln und freien Tools aus dem Internet auch von Laien leicht überwunden werden.
Der richtige Schritt zur Absicherung ist daher den Zugang gleich auf der Netzinfrastruktur selber zu blockieren, um so auch eine Ausspähung verwendeter IP Adressen mit einem LAN Sniffer und andere Angriffe sicher zu verhindern.
Das folgende Tutorial gibt einen Überblick wie dies schnell und mit einfachen Mitteln der IEEE 802.1x Port Authentisierung realisiert werden kann.
Diese Art der Portüberwachung ist heute auch schon in sehr preiswerten Consumer Switches (sog. "Web Smart Switches") vielfach implementiert. Renomierte Switch Hersteller haben es schon seit Jahren an Bord um sichere Netze realisieren zu können..
Inhaltsverzeichnis
Etwas Theorie vorweg...
802.1x Port Authentisierung erfordert einen managebaren Netzwerk Switch und einen Radius Server zur Authentisierung im Hintergrund. Netzwerk Betreiber mit dummen, nicht managebaren Switches haben also keine Chance dieses Konzept umzusetzen und müssen meist auf unsicherere Verfahren zurückgreifen. Vielleicht eine Entscheidungshilfe beim Design ein paar Euro mehr in managebare Switch Infrastruktur zu investieren um für solche Anforderungen der Datensicherheit gewappnet zu sein ?!
Einfach erklärt besteht 802.1x aus einem Bittsteller (Supplicant) der Zugang haben möchte an einem Authenticator.
Supplicants sind 802.1x fähige Endgeräte wie PCs, Telefone usw. Authenticators können Netzwerk Switches, WLAN APs usw. sein.
Viele Switches bieten die Möglichkeit auch nicht 802.1x fähige Netzwerkgeräte per 802.1x zu authentisieren was dann über deren Mac Adresse (MAC-Bypass) passiert. So ist es möglich z.B. Netzwerkdrucker und andere passive Geräte ebenfalls in so ein Konzept zu integrieren.
Ein weiterer positiver Aspekt bei 802.1x ist das der Radius Server weitere Informationen für den Zugang wie z.B. eine VLAN Information und eine zeitliche Beschränkung an den Authenticator übertragen kann. Damit kann man z.B. Endgeräte dynamisch in VLANs bringen und Usern nur in bestimmten Zeitfenstern Zugang gewähren. Ein Vorteil bei Umzügen von Clients z.B. Dazu später mehr.
Wer tiefer in das Thema 802.1x einsteigen will, sei auf den entsprechenden Wikipedia Artikel verwiesen:
http://de.wikipedia.org/wiki/IEEE_802.1X
Für die sichere Zugangskontrolle via 802.1x in WLAN Netzen gibt es hier bei Administrator.de ein separates Tutorial:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Da beide Verfahren identisch sind, kann man einen Radius Server sowohl für die kabelgebunden Port Authentifizierung als auch parallel zur WLAN Authentifizierung nutzen.
Der Radius Server
❗️Ein modernes Setup mit Datenbank und WebGUI ist unter folgendem URL zu finden:
Freeradius Management mit WebGUI
Das Thema 802.1x ist sehr eng mit der Authentifizierung in WLAN Netzen verbunden, die ebenfalls auf 802.1x basiert wie oben bereits beschrieben.
Analog gilt damit für die grundlegende Einrichtung des Radius Servers alles, was in dem hiesigen, oben bereits zitierten Tutorial für die sichere WLAN User Authentisierung aufgeführt ist. Die Installation des Radius Servers basiert auf dem bekannten und weit verbreitetem Free Radius Server.
Dieser erste, Radius bezogene Teil des Tutorials kann also ohne Änderung eins zu eins übernommen werden für das Aufsetzen dieses Servers. Er ist ist zur 802.1x Switchport Authentisierung vollkommen identisch und behandelt das gleiche Thema in einem WLAN Umfeld !
Alternativ ist der Radius Server auch problemlos auf einem Home NAS System z.B. von QNAP oder Synology nutzbar. Die NAS Systeme beider Hersteller haben den FreeRadius bereits von Haus aus integriert, was eine Installation auf dedizierter HW oder als VM obsolet macht.
Ebenso die Nutzung eines FreeRadius in der Router Firmware DD-WRT die einige DSL und Breitband Router (Buffalo usw.) ebenso von Haus aus integriert haben.
Die Einrichtung eines entsprechenden Radius Servers (NPS = Network Policy Server) unter dem MS Windows Server Betriebssystem (SBS usw.) beschreibt vollständig ein Artikel im ct' Magazin und soll hier deshalb auch nicht weiter beleuchtet werden.
http://www.heise.de/artikel-archiv/ct/2010/12/180_kiosk
Die Integration des Free Radius in ein bestehendes Windows Active Directory findet sich im o.a. RasPi Tutorial.
Das hiesige WLAN Radius Tororial ist somit auch Basis der grundlegenden Free Radius Installation. Ob man den Radius Server als VM aufsetzt oder mit dedizierter Rechnerhardware ist Geschmackssache und eine individuelle Entscheidung im jeweiligen Umfeld. Die Anforderungen an die Performance sind gering bei reiner Radius Nutzung, so das man auch einen ausgedienten Altrechner damit sinnvoll recyceln kann.
Hier also einfach strikt nach obiger Anleitung, bis zum Test des Radius Servers mit dem NTRadPing Tool, vorgehen !
Anpassen der FreeRadius Server Konfigurations Dateien
Ist der Radius Server gemäß den Vorgaben des o.a. Tutorial betriebsbereit, macht es Sinn ein paar Windows spezifische Anpassungen zu machen um den Benutzerzugang einfacher zu gestalten.
Windows übermittelt bei der automatischen Authentifizierung den Benutzer immer in der Form "Hostname/Username" ohne eine Domain Umgebung oder entsprechend "Domainname/Username" mit einer Domain.
Um nun nicht für jegliche Hostname und Benutzernamen Kombination einen einzelnen Eintrag in der Benutzerliste auf dem Radius machen zu müssen und rein Benutzer bezogen arbeiten zu können, macht es Sinn den Hostnamen vom Usernamen zu trennen.
Diese Anpassung auf dem Radius Server (Realm) ist nur bei Windows Clients zu machen !
Sie ist aber nicht zwingend wenn jemand ein Dialog geführtes Zugangs Menü haben möchte zur Benutzerabfrage. In diesem Falle können die folgenden Schritte dann ignoriert werden !
In der Regel will man die Netzwerk Authentifizierung immer OHNE Benutzer Interaktion machen um diesen nicht mit einer doppelten Passwort Abfrage zu quälen.
Für Apple Mac und Linux Benutzer ist die folgende Anpassung ebenfalls obsolet da sie ein "normales" Format benutzen !
Ausnahme hiervon ist die Änderung in der Datei /etc/raddb/eap.conf für die dynamische VLAN Zuweisung !
Generell kann es nicht schaden immer diese folgenden Anpassungen der Realm zu machen um alle Betriebssysteme gleichermaßen abzudecken !
In gemischten Netzen mit Apple Mac und Linux Clients stört diese Windows spezifische Anpassung nicht !
FreeRadius hat für diese Windows Client Anpassung natürlich schon ein fertiges Profil was nur einfach aktiviert werden muss.
Nun ist wieder etwas zusätzliche "Handarbeit" mit dem Texteditor der Wahl z.B. dem einfach zu bedienenden und aus dem o.a. WLAN_Tutorial hinreichend bekanntem "joe" erforderlich. Es dient zum individuellen Anpassen der Radius Konfigurations Dateien.
Die folgenden Angaben beziehen sich auf ein OpenSuSE System. Bei anderen Distributionen variieren ggf. die Pfadangaben zur FreeRadius Konfig !! Die Konfiguration selber ist aber überall gleich.
- !! WICHTIG: Die folgenden Anpassungen in der Datei /etc/raddb/eap.conf sind zwingend für die dynamische VLAN Zuweisung: Im Abschnitt TTLS ist der Parameter use_tunneled_reply = yes auf yes zu setzen. Ebenso im Abschnitt PEAP auch diesen Parameter auf yes !!
Der Radius Server muss neugestartet werden um die Änderungen zu übernehmen. Vor dem ersten Test empfiehlt sich immer ein manueller Start im Debug Modus mit "radiusd -X" wie bereits im anderen Tutorial bemerkt. Damit kann man den Authentisierungsprozess live miterleben und sieht etwaige Fehler sofort.
Im späteren Produktivbetrieb sollte man aber den Debug Modus immer ausgeschaltet lassen !
Wer möchte kann die Datei /etc/raddb/users zum Testen noch um den Benutzer "User" und um den Benutzer "vlan" (und ggf. weitere Benutzer) erweitern um die automatische VLAN Distribution zu testen. (Beispiel der users Datei findet sich weiter unten im Tutorial)
Ebenso um ggf. Mac Adressen damit nicht 802.1x fähige Endgeräte, die also keinen .1x Client an Bord haben, wie z.B. Drucker auch authentifiziert werden können im Test. (Mac Authentication Bypass)
Die Datei "users" beinhaltet dann später alle Benutzernamen im Netz nach dem u.a. Muster.
Ein Beispiel der users Datei sähe dann so aus:
# Benutzer hier eintragen:
"gast" Cleartext-Password := "gast"
"Service" Cleartext-Password := "service", Login-Time := "Al1200-2300"
"vlan10" Cleartext-Password := "vlan10"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
"User" Cleartext-Password := "user"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
# Mac Adress Authentication fuer nicht 802.1x Geraete hier !
"00123a104123" Cleartext-Password := "00123a104123"
# Mac Adress Authentication fuer nicht 802.1x Geraete mit dyn. VLAN Zuweisung hier !
"00abce813abc" Cleartext-Password := "00abce813abc"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
(Siehe dazu auch hier).
Der Benutzer Service hat durch den Parameter "Login-Time" nur täglich von 12 Uhr bis 13 Uhr Zugang (Beispiel). Auch einzelne Wochentage sind z.B. mit "Su1000" für Sunday = Sonntag 10 Uhr oder "Tu2300" für Tuesday = Dienstag, 23 Uhr Komma getrennt möglich.
Der letzte Eintrag "00abce813abc" zeigt eine Mac Authentisierung (Mac Bypass) für Clients die keinen .1x Client mit an Bord haben. Denen wird auch das VLAN 10 zugewiesen.
Damit ist die Radius Server Konfiguration dann abgeschlossen.
Änderungen müssen dann nur noch in der Datei users gemacht werden, sollten neue Benutzer dazukommen oder wegfallen.
Ein generelles Wort zur Skalierbarkeit dieses Systems:
Natürlich kann man mit diesem Konzept über eine statische Textdatei kein Netzwerk mit 1000 und mehr Benutzern managen.
Für Netze solcher Größenordnung sollte der FreeRadius dann über LDAP einfach an ein bestehendes Benutzer Verzeichnis wie z.B. ein Windows AD oder einen zentralen LDAP Server angebunden werden. FreeRadius hat diese Option gleich an Bord die nur aktiviert werden muss. Anleitungen dazu findet man viele wie z.B. Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory ).
Für kleine und mittlere Netzwerke mit einem relativ statischen Benutzerkreis ist die Benutzung einer festen Datei aber durchaus eine Alternative um schnell und unkompliziert die Zugriffssicherheit im Netzwerk zu erhöhen.
Ein nützliches Windows Tool um den Radius Server vorab zu testen ist NTRadPing
Bekommt man hier mit den User Credentials ein "Access accept" hat man oben alles richtig gemacht.
Clients für die 802.1x Zugangskontrolle einrichten
Aus Platzgründen wird hier exemplarisch die Einrichtung eines Windows Clients beschrieben am Beispiel von Windows XP (SP3). Sämtliche Konfigurationsschritte und Menüs sind identisch bei Windows 7 !
Das zweite Beispiel zeigt die Einrichtung an einem Apple Mac.
Was ist zu tun ??
Windows 10/11 Client
Bei Windows ist als allererstes zu prüfen oder der Dienst Automatische Konfiguration (verkabelt) gestartet ist. Ist dieser nicht aktiv, kann die 802.1x Authentisierung nicht konfiguriert werden !
Dazu geht man in die Systemsteuerung unter "Verwaltung --> Dienste" und sucht den Eintrag "Automatische Konfiguration (verkabelt)" (6ter Eintrag in der Liste).
Windows 7 Benutzer geben nur "Dienste" im Suchfeld an und gelangen so direkt dorthin.
Alternativ drückt man die Tastenkombination Windows+R und gibt services.msc ein. Dort klickt man unten den Karteireiter Standard und doppelklickt dann Automatische Konfiguration (verkabelt).
Der Starttyp sollte auf Automatisch stehen. Mit Klick auf Starten startet man den Dienst und schliesst das Fenster mit OK.
Es ist also sicherzustellen das dieser Dienst gestartet ist !
Öffnet man nun die Eigenschaften der LAN Verbindung (Win 10/11: Netzwerk und Freigabecenter) erscheint oben ein Karteireiter "Authentifizierung" !
Hier aktiviert man nun die 802.1x Authentisierung mit einem Haken und setzt den Typ auf Geschütztes EAP (PEAP) !
Mit einem Klick auf "Einstellungen" öffnet man die Detaileinstellungen von 802.1x:
Ob das Serverzertifikat überprüft werden soll kann jeder selber entscheiden. Bei Problemen kann man dies auch abschalten.
In den Eigenschaften des EAP-MSCHAPv2 Passwortes kann man wählen ob die 802.1x Authentisierung des Clients menügeführt über ein Popup Window geschehen soll oder ob dies automatisch mit der Übermittlung des Nutzernamens im Hintergrund geschehen soll.
In der Regel aktiviert man die automatische Übermittlung um den User nicht mit weiteren Logins zu unterbrechen.
Deaktiviert man die automatische Übermittlung der Userdaten erscheint zur individuellen Abfrage der Zugangsdaten stets ein Popup Window:
Die Windows Client Konfiguration ist damit abgeschlossen !
Apple Mac OS-X Client
Wie immer ist die Aktivierung bei Apple etwas einfacher und intuitiver.
Man öffnet die Systemeinstellung --> Netzwerk und wählt dann das Ethernet Interface aus:
Mit einem Klick auf + fügt man ein neues 802.1x Profil hinzu (hier "Test" genannt). Bei Apple hat man etwas vorausschauender gedacht und den Vorteil das man mehrere 802.1x Profile für unterschiedliche Netze konfigurieren kann.
Ist das Profil angelegt, trägt man nur noch Benutzername und Passwort ein und ist fertig !
Ein Klick auf Verbinden startet die Authentifizierung die man auch manuell mit "Trennen" wieder stoppen kann:
Linux mit freiem X-Supplicant Client
http://open1x.sourceforge.net/
Die Prozedur ist analog zu den beiden obigen !
Last but not least: Die LAN Switch Konfiguration
Natürlich muss der LAN Switch als Authenticator auch entsprechend eingerichtet werden das er diesen Port mit 802.1x authentisiert bzw. die Authentisierungsanfrage an den Radius Server weiterreicht.
Wie oben bereits angemerkt sind dies mittlerweile auch viele preiswerte Consumer Switches der 100 Euro Klasse wie z.B.:
NetGear_GS-108T
D-Link_DGS-1210-16 bzw. die baugleiche 24 und 48 Port Variante
Trendnet_TEG-160WS
Cisco_SLM2024
Cisco_SG-300_Serie
(Achtung: Die Cisco SG-200 Serie supportet keine dynamische VLAN Zuweisung sondern nur die 802.1x Port Authentifizierung ! (Siehe Threadverlauf unten))
Für die dynamische VLAN Zuweisung bei Cisco Small Business Switches muss mindestens die SG-300er Serie verwendet werden !
Die folgende Konfig zeigt die 802.1x Konfiguration auf einem Cisco IOS Catalyst Switch:
version 12.2
service timestamps log datetime localtime
!
hostname Switch
!
aaa new-model
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
aaa session-id common
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
authentication mac-move permit
!
dot1x system-auth-control
!
spanning-tree mode rapid-pvst
!
interface FastEthernet0/1
description Port mit 802.1x Auth.
switchport mode access
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
!
interface Vlan1
ip address 192.168.100.254 255.255.255.0
!
radius-server host 192.168.100.163 auth-port 1812 acct-port 1813 key radiustest
radius-server key radiustest
radius-server vsa send authentication
!
end
aaa authentication dot1x default radius
!
radius-server host 192.168.100.163 auth-port 1812 acct-port 1813 default key radiustest
radius-server key radiustest
mac-authentication enable
dot1x-enable
re-authentication
enable eth 0/1
!
interface ethernet 0/1
dot1x port-control auto
!
Die genaue Schritt für Schritt Konfiguration für HP Procurve Switches zeigt ein entsprechendes PDF Whitepaper:
http://cdn.procurve.com/training/Manuals/2900-ASG-Jan08-9-8021X.pdf
http://wiki.freeradius.org/HP usw.
Hier weitere Beispiele der 802.1x Konfiguration auf einem preiswerten Trendnet TEG-160WS Web Smart Switch, einem D-Link DGS-1210 und einem Cisco SOHO Switch SG 300:
Man kann erkennen das die Konfig eigentlich immer dieselbe ist und mit sehr einfachen Mitteln per Mausklick zu aktivieren ist:
(Trendnet TEG-160WS)
(D-Link DGS-1210)
(Cisco SG 200 und SG-300 Switch, Konfig Menüs sind bei beiden Modellen identisch !)
In der Regel haben alle Hersteller ein Konfigurations Handbuch oder Whitepaper auf ihrer Webseite für die 802.1x Konfiguration zum Download.
Dynamische VLAN Zuweisung vom Switch
Erweitert man die User Einträge um die folgenden Radius Parameter:
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = <VLAN Nummer>
Dann teilt der Switch bei der 802.1x Benutzer Authentisierung automatisch dem Port ein VLAN zu !
Das ist sehr bequem wenn Benutzer umziehen oder sonstwie mobil sind. Sie nehmen dann quasi immer "ihr" VLAN mit ohne das der Netzwerk Admin die Switchkonfiguration anpassen muss.
Switchhersteller haben hier viele weitere Features. Schlägt z.B. die Authentisierung fehl oder hat der Benutzer keinen 802.1x Client aktiviert wird der Benutzer entweder vollständig geblockt oder er landet in einem Default VLAN indem er nur sehr eingeschränkte Zugangsrechte hat.
In Verbindung mit einem Captive_Portal/Hotspot ist das eine ideale Kontrolle für Gastzugänge.
In Kopplung mit einer VLAN oder direkt angeschlossenen Firewall wie hier beschrieben kann man so sehr wasserdichte Netzwerke betreiben die eine Manipulation oder Angriff von Fremden erfolgreich und robust abwehren können.
Dynamische VLAN Zuweisung am Switchport auf Mac Adress Basis
Realisiert man die Zuweisung ohne Username/Passwort und nur auf Basis der Client Mac Adressen sieht die Konfig des Radius so aus:
# Mac Adress Authentication fuer nicht 802.1x Geraete hier !
"00123a104123" Cleartext-Password := "00123a104123".
# Mac Adress Authentication fuer nicht 802.1x Geraete mit dyn. VLAN Zuweisung hier !
"00abce813abc" Cleartext-Password := "00abce813abc"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
Wenn alles geklappt hat...
Dann sollte der Radius Server im Debug Modus (Start mit "radiusd -X") folgendes zum Schluss ausgeben:
.......
Sending Access-Accept of id 69 to 192.168.100.1 port 1645
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "10" --> (Das ist die autom. VLAN Zuweisung !)
User-Name = "User"
MS-MPPE-Recv-Key = 0x93d54e2fb9...
MS-MPPE-Send-Key = 0x02ff339afb6...
EAP-Message = 0x030a0004
Message-Authenticator = 0x00
Finished request 10.
Going to the next request
Passend gibt der Switch dazu dann mit dem entsprechenden "show vlan" Kommando die korrekte 802.1x Authentisierung und auch die saubere dynamische VLAN Zuweisung auf dem Client Port aus:
Port MAC/IP Address(username) Vlan Auth
State
-------------------------------------------------------------------------------
12 0123.85dd.1234 :User 10 permit
bzw.
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5
10 VLAN-10 active Fa0/12 --> (Authentisierter Port !)
20 VLAN-20 active
Weiterführende Links
Zu Authentisierungsthemen im LAN oder WLAN gibt es folgende Links hier im Forum:
Freeradius Installation mit Datenbank und WebGUI
Freeradius Management mit WebGUI
Sichere WLAN Benutzer Authentisierung mit 802.1x (WPA2 Enterprise):
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Radius Authentisierung mit bordeigenem Radius Server auf Mikrotik Hardware:
Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server
Mikrotik: Wifi clients in anderes VLAN schieben?
Praxisbeispiel mit Linux (Raspberry Pi) und FreeRadius Server:
Netzwerk Management Server mit Raspberry Pi
Radius Server in Kombination auf einer (vorhandenen) pfSense / OPNsense Firewall betreiben:
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
Client-Zertfikat bei WPA2-Enterprise (802.1x)
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
PFSense 2.3.2 Freeradius
Achtung!: bei dynamischen VLANs mit OPNsense FreeRadius Plugin:
OPNSense FreeRadius Server-MAC Authentication-dynamische VLAN Zuweisung
Praxisbeispiel mit FreeRadius für Ruckus ICX Switch und Cisco Catalyst Switch:
Cisco SG 350x Grundkonfiguration
Ruckus ICX - 802.1x - is mac-vlan member of 2 vlans in single-untagged mode
Aufpassen bei Cisco SoHo Modellen SG und CBS !:
802.1x an Cisco CBS350 und Windows Server
Statt Mac Adresse mit 802.1x Username und Passwort authentisieren (WPA2-Enterprise):
CAPsMAN an OpenBSD-Router und -Firewall mit dynamischen VLANs
Dynamische VLAN Zuweisung mit Mikrotik WLAN und LAN:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server
FreeRadius mit Web GUI:
https://kifarunix.com/install-freeradius-with-daloradius-on-ubuntu-20-04 ...
https://www.zueschen.eu/freeradius-mit-mysql-daloradius-und-dynamische-v ...
Einbinden des FreeRadius in eine Windows AD Umgebung:
Ubuntu 14.04 - 16.04 - 18.04 - 20.04 LTS Server - Freeradius mit AD-Anbindung
Einbinden des FreeRadius in eine SQL Datenbank Umgebung:
Cisco SG 350x Grundkonfiguration
Windows Radius Server mit NPS statt FreeRadius
https://www.heise.de/ct/artikel/Radius-mit-Windows-Server-2087800.html
und auch
http://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps
bzw. mit User Zertifikaten statt User/Pass
Client und Server-Authentifizierung NPS
Syntax bei der User Anmeldung von Windows Clients beachten:
NPS Anmeldung ohne host
Kopplung von FreeRadius über LDAP an ein Active Directory:
http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory-Integratio ...
http://deployingradius.com/documents/configuration/active_directory.htm ...
und auch
ClearOS 5.2 Freeradius 2 LDAP ntlm auth Active Directory
Debian Linux in eine Active Directory Domäne integrieren
Mac Adress Authentisierung mit HP Switches:
http://h10032.www1.hp.com/ctg/Manual/c02628207.pdf
VLAN und Routing zwischen VLANs:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
802.1x Probleme bei Lenovo fixen:
Windows 22H2 - Authentifizierung - eine kollegiale Bitte
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 154402
Url: https://administrator.de/contentid/154402
Ausgedruckt am: 19.12.2024 um 03:12 Uhr
96 Kommentare
Neuester Kommentar
Zitat von @aqui:
Ob das Serverzertifikat überprüft werden soll kann jeder selber entscheiden. Bei Problemen kann man dies auch
abschalten.
Ob das Serverzertifikat überprüft werden soll kann jeder selber entscheiden. Bei Problemen kann man dies auch
abschalten.
Hi,
würde die Zertifikatsüberprüfung nicht abschalten.
Ich würde als Access-Point wissen wollen, wer der Radius-Server ist.
(ein fremder Radius-Server läßt sich unterschieben)
Schöne Anleitung!
Gruss Roland
vielleicht sollte man noch ergänzend erklären, was VLANs sind.
VLANs operieren im Layer2 des OSI-Referenzmodells.
Man erzeugt verschiedene VLANs, um z.b. Mitarbeiter, die abteilungstechnisch und thematisch zusammengehören
aber nicht physisch bei einander sitzen und überall verteilt sind, zu einer Broadcast-Domäne zusammenzufassen.
In der Praxis verwendet man mehr und mehr sogenannte Multi-Layer-Switche, die auch auf Layer2 operieren aber noch weitere Features auf höheren Layerebenen bereitstellen. VLANs funktionieren bis zu einer Distanz von ca. 100km (100km ist aber schon sportlich)
WLANs, die WPA/WPA2 verwenden, sind bei Einsatz von schwachen Kennwörtern relativ leicht zu hacken.
Der Knackpunkt liegt im Handshake, schneide ich ausreichend Frames mit z.b. Wireshark mit, dann steht ein schwaches Passwort garantiert im Wörterbuch.
Von daher ist IEEE 802.1x auch bei WLAN Authentifizierung eine gute Wahl, denn den Handshake gibt es in der Form nicht mehr, die Entscheidung über ja oder nein trifft der Radius-Server.
VLANs operieren im Layer2 des OSI-Referenzmodells.
Man erzeugt verschiedene VLANs, um z.b. Mitarbeiter, die abteilungstechnisch und thematisch zusammengehören
aber nicht physisch bei einander sitzen und überall verteilt sind, zu einer Broadcast-Domäne zusammenzufassen.
In der Praxis verwendet man mehr und mehr sogenannte Multi-Layer-Switche, die auch auf Layer2 operieren aber noch weitere Features auf höheren Layerebenen bereitstellen. VLANs funktionieren bis zu einer Distanz von ca. 100km (100km ist aber schon sportlich)
WLANs, die WPA/WPA2 verwenden, sind bei Einsatz von schwachen Kennwörtern relativ leicht zu hacken.
Der Knackpunkt liegt im Handshake, schneide ich ausreichend Frames mit z.b. Wireshark mit, dann steht ein schwaches Passwort garantiert im Wörterbuch.
Von daher ist IEEE 802.1x auch bei WLAN Authentifizierung eine gute Wahl, denn den Handshake gibt es in der Form nicht mehr, die Entscheidung über ja oder nein trifft der Radius-Server.
Zitat von @rs-schmid:
VLANs funktionieren bis zu einer Distanz von ca. 100km (100km ist aber schon
sportlich)
VLANs funktionieren bis zu einer Distanz von ca. 100km (100km ist aber schon
sportlich)
Wo bitte hast du so eine Information her? Wie kommst du darauf eine Layer 2 Funktion auf 100km zu beschränken? Das würde mich jetzt schon brennend interessieren!
Hallo,
ich benutze den freeRADIUS in der pfsense und die authentifizierung klappt auch (nur benutzername und passwort). Leider funktioniert die VLAN Zuweisung nicht. Jetzt bin ich am Zweifeln, ob das meine verfügbaren switche denn können:
Ich habe hier einen Cisco SG 200-26 (Aufschrift auf dem Switch), wird aber wohl auch unter den Namen SLM2024T-EU geführt.
In der Spezifikation stehen u.a.:
_______________________________________________________
Unterstützung von bis zu 128 VLANs gleichzeitig (von 4096 VLAN-IDs) Portbasierte und 802.1Q-tagbasierte VLANs[/b]
_______________________________________________________
und
_______________________________________________________
IEEE 802.1X (Authentifizierer-Rolle)
802.1X: RADIUS-Authentifizierung und -Accounting, MD5-Hash
Unterstützt zeitbasiert 802.1X
Dynamische VLAN-Zuordnung
_______________________________________________________
Ich hatte es mir so vorgestellt, dass der User quasi sein VLAN mit nimmt, egal an wlechem Port er angeschlossen wird. Ich weiss nur nicht, ob es an meinem Unvermöen liegt, ich die Anleitung falsch verstehe - dann bitte ich um Hilfe - oder ob das Gerät das einfach nicht kann und ich mich von den Spezifikationen habe irre führen lassen.
Vielen Dank für die Hilfe/Mühe, auch wenn der Beitrag nicht wirklich ganz hier hinein passt.
ich benutze den freeRADIUS in der pfsense und die authentifizierung klappt auch (nur benutzername und passwort). Leider funktioniert die VLAN Zuweisung nicht. Jetzt bin ich am Zweifeln, ob das meine verfügbaren switche denn können:
Ich habe hier einen Cisco SG 200-26 (Aufschrift auf dem Switch), wird aber wohl auch unter den Namen SLM2024T-EU geführt.
In der Spezifikation stehen u.a.:
_______________________________________________________
Unterstützung von bis zu 128 VLANs gleichzeitig (von 4096 VLAN-IDs) Portbasierte und 802.1Q-tagbasierte VLANs[/b]
_______________________________________________________
und
_______________________________________________________
IEEE 802.1X (Authentifizierer-Rolle)
802.1X: RADIUS-Authentifizierung und -Accounting, MD5-Hash
Unterstützt zeitbasiert 802.1X
Dynamische VLAN-Zuordnung
_______________________________________________________
Ich hatte es mir so vorgestellt, dass der User quasi sein VLAN mit nimmt, egal an wlechem Port er angeschlossen wird. Ich weiss nur nicht, ob es an meinem Unvermöen liegt, ich die Anleitung falsch verstehe - dann bitte ich um Hilfe - oder ob das Gerät das einfach nicht kann und ich mich von den Spezifikationen habe irre führen lassen.
Vielen Dank für die Hilfe/Mühe, auch wenn der Beitrag nicht wirklich ganz hier hinein passt.
@hofimax
richtig ist, dass es vom thema wegführt
aber.
VLANs sind Broadcast Domänen, deren grenze ein router ist.
Wie willst Du mit Ethernet die Broadcasts (z.b. ping 255.255.255.255) über die router transportieren ?
Definitiv gibt es eine grenze von ca. 100km mit gigabit ethernet. (mit repeater)
Andere technologien jenseits von ethernet sind eine andere geschichte.
richtig ist, dass es vom thema wegführt
aber.
VLANs sind Broadcast Domänen, deren grenze ein router ist.
Wie willst Du mit Ethernet die Broadcasts (z.b. ping 255.255.255.255) über die router transportieren ?
Definitiv gibt es eine grenze von ca. 100km mit gigabit ethernet. (mit repeater)
Andere technologien jenseits von ethernet sind eine andere geschichte.
Sorry, aber deine Aussagen sind einfach irreführend. Du kannst die Reichweite von VLAN's einfach nicht in km angeben. Sowas habe ich echt noch nie gehört. Es hängt einzig und alleine von der eingesetzten Übertragungstechnik ab, wie weit du Ethernet inkl. VLAN's übertagen kannnst. Und das dies in der heutigen Zeit mehrere Tausend Kilometer sein können, wie zum Beispiel bei Transatlantikverbindungen, ist klar. Dann reden wir immer noch von Ethernet, allerdings übertragen über OTN.
Das ich ein VLAN nicht routen kann ist eigentlich auch klar, das ist aber dann auch nicht mehr Layer 2, sonder Layer 3. Also auch nicht vergleichbar.
Ethernet über 100km sind kein Problem, aber ohne Repeater! Sorry, ich will dir hier absolut nicht auf den Schlips treten, aber ich finde es nicht okay wenn hier Informationen stehen, die so nicht stimmen, es gibt User die glauben dass...
Das ich ein VLAN nicht routen kann ist eigentlich auch klar, das ist aber dann auch nicht mehr Layer 2, sonder Layer 3. Also auch nicht vergleichbar.
Ethernet über 100km sind kein Problem, aber ohne Repeater! Sorry, ich will dir hier absolut nicht auf den Schlips treten, aber ich finde es nicht okay wenn hier Informationen stehen, die so nicht stimmen, es gibt User die glauben dass...
Hallo,
@rs-schmid
Definitiv gibt es eine grenze von ca. 100km mit gigabit ethernet. (mit repeater)
Hast du für diese Aussage irgendeine glaubwürdige Quelle?
brammer
@rs-schmid
Definitiv gibt es eine grenze von ca. 100km mit gigabit ethernet. (mit repeater)
Hast du für diese Aussage irgendeine glaubwürdige Quelle?
brammer
@aqui
Danke für die Antwort.
Also die Anmeldung am RADIUS funktioniert. Ich teste es gerade zwar ohne Zertifikate und nur mit Benutzername und Kennwort und es klappt. radiusd -X habe ich auch verwendet, zum Ende des Authetifizierungsvorgangs zeigt er mit auch Tunnel Type, Medium und Group id an, so wie in deiner Beispielkonfiguration auch angegeben.
Ich nutze das freeRADIUS package, was man direkt auf der pfsense installieren kann. Kann es deswegen nicht funktionieren mit den VLANs ? Für mich eigentlich eher unlogisch. Du dynamische VLAN Zuweisung funktioniert doch auch ohne Zertifikate, richtig ?
Der Switch bietet leider lediglich die Konfiguration über das Web-Interface, so dass ich keinen config auszug posten kann
Den Port lasse ich im "Access" Modus laufen, habe von ForeceAuthentication auf "Auto" umgestellt.
Hier ist der Installation Guide:
http://www.cisco.com/en/US/docs/switches/lan/csbss/sf20x_sg20x/administ ...
Ich frage mich gerade, ob die dynamische VLAN Zuordnung sich auf das Voice VLAN bezieht.
Danke für die Antwort.
Also die Anmeldung am RADIUS funktioniert. Ich teste es gerade zwar ohne Zertifikate und nur mit Benutzername und Kennwort und es klappt. radiusd -X habe ich auch verwendet, zum Ende des Authetifizierungsvorgangs zeigt er mit auch Tunnel Type, Medium und Group id an, so wie in deiner Beispielkonfiguration auch angegeben.
Ich nutze das freeRADIUS package, was man direkt auf der pfsense installieren kann. Kann es deswegen nicht funktionieren mit den VLANs ? Für mich eigentlich eher unlogisch. Du dynamische VLAN Zuweisung funktioniert doch auch ohne Zertifikate, richtig ?
Der Switch bietet leider lediglich die Konfiguration über das Web-Interface, so dass ich keinen config auszug posten kann
Den Port lasse ich im "Access" Modus laufen, habe von ForeceAuthentication auf "Auto" umgestellt.
Hier ist der Installation Guide:
http://www.cisco.com/en/US/docs/switches/lan/csbss/sf20x_sg20x/administ ...
Ich frage mich gerade, ob die dynamische VLAN Zuordnung sich auf das Voice VLAN bezieht.
Ahoi nochmal.
"Ja die dynamische VLAN Zuweisung ist völlig unabhängig von der Verwendung eines Zertifikats solange sich der Client sauber authentifizieren kann und der Port dann in den Forwarding Modus geht, was ja generell bei dir funktioniert, richtig ?"
Das geht.
Der Port Modus sollte im Auto Modus stehen und laut Cisco Data Sheet supportet der 200er auch dynmaisch per 802.1x zugewiesen VLANs. Daher sollte es keine Hürden geben."
Steht im auto Modus.
"Woran es aber oft scheitert ist das der FreeRadius nicht sauber auf tunneled replies konfiguriert ist und dann scheitert die dynamische VLAN Zuweisung weil diese Parameter im PEAP Tunnel übertragen werden !
"!! WICHTIG: Die folgenden Anpassungen in der Datei /etc/raddb/eap.conf sind zwingend für die dynamische VLAN Zuweisung: Im Abschnitt TTLS ist der Parameter use_tunneled_reply = yes auf yes zu setzen. Ebenso im Abschnitt PEAP auch diesen Parameter auf yes !! "
Habe ich erst nicht gehabt, dann aber umgeändert und das Kommentierungszeichen vor der Zeile (#) entfernt. Radius auch neugestartet (radiusd -X) und auch mal die pfsense ansich komplett neu gestartet.
"Hilfreich sind in jedem Fall auch die Syslog Dateien des 200er Switches sofern er dort 802.1x Stausmeldungen ablegt !!"
Da wird glaube ich etwas bei der Ausgabe gegeizt. Steht nur da, ob die authentifizierung für den Port erfolgreich war oder nicht. Aber keine erweiterten Hinweise oder Meldungen. Er bietet auch kein SNMP an, so dass man da evtl. mehr infos bekommen könnte. Aber das überprüfe ich nochmal genauer.
"Du solltest in jedem Falle die dynamische Zuweisung auf dem Port nochmal probieren wenn der Port im Modus General steht statt Access !"
Das werde ich auf jeden Fall nochmal testen. Ich hatte den Port einmal im Trunk (Standardeinstellung) was ja für dynamische VLANs unsinnig ist und dann nochmal im Access Modus. Den General Modus habe ich mit dynamischer Zuweisung noch nicht ausprobiert. Wie gesagt, das teste ich nochmal genau.
"Ich checke die pfSense Implementation sonst mal daraufhin. Ggf. setzt du sonst schnell einmal eine VM auf wie oben beschrieben nur um ganz sicher zu gehen."
Nicht alle Dateien, die du in deinem Tutorial änderst, finden sich bei der pfsense wieder. Das sind folgende:
/etc/raddb/modules/mschap
/etc/raddb/sites-enabled
/etc/raddb/sites-enabled/inner-tunnel
Wenn diese Dateien für die dynamische Zuweisung von VLANs bei Windows XP clients notwendig sind, dann wäre das ein Grund, warum es nicht geht.
Ich werde das Montag versuchen zu testen und mich spätestens dann nochmal melden. Falls du noch Tips hast, bin ich dafür offen
Dankeschön erstmal!
"Ja die dynamische VLAN Zuweisung ist völlig unabhängig von der Verwendung eines Zertifikats solange sich der Client sauber authentifizieren kann und der Port dann in den Forwarding Modus geht, was ja generell bei dir funktioniert, richtig ?"
Das geht.
Der Port Modus sollte im Auto Modus stehen und laut Cisco Data Sheet supportet der 200er auch dynmaisch per 802.1x zugewiesen VLANs. Daher sollte es keine Hürden geben."
Steht im auto Modus.
"Woran es aber oft scheitert ist das der FreeRadius nicht sauber auf tunneled replies konfiguriert ist und dann scheitert die dynamische VLAN Zuweisung weil diese Parameter im PEAP Tunnel übertragen werden !
"!! WICHTIG: Die folgenden Anpassungen in der Datei /etc/raddb/eap.conf sind zwingend für die dynamische VLAN Zuweisung: Im Abschnitt TTLS ist der Parameter use_tunneled_reply = yes auf yes zu setzen. Ebenso im Abschnitt PEAP auch diesen Parameter auf yes !! "
Habe ich erst nicht gehabt, dann aber umgeändert und das Kommentierungszeichen vor der Zeile (#) entfernt. Radius auch neugestartet (radiusd -X) und auch mal die pfsense ansich komplett neu gestartet.
"Hilfreich sind in jedem Fall auch die Syslog Dateien des 200er Switches sofern er dort 802.1x Stausmeldungen ablegt !!"
Da wird glaube ich etwas bei der Ausgabe gegeizt. Steht nur da, ob die authentifizierung für den Port erfolgreich war oder nicht. Aber keine erweiterten Hinweise oder Meldungen. Er bietet auch kein SNMP an, so dass man da evtl. mehr infos bekommen könnte. Aber das überprüfe ich nochmal genauer.
"Du solltest in jedem Falle die dynamische Zuweisung auf dem Port nochmal probieren wenn der Port im Modus General steht statt Access !"
Das werde ich auf jeden Fall nochmal testen. Ich hatte den Port einmal im Trunk (Standardeinstellung) was ja für dynamische VLANs unsinnig ist und dann nochmal im Access Modus. Den General Modus habe ich mit dynamischer Zuweisung noch nicht ausprobiert. Wie gesagt, das teste ich nochmal genau.
"Ich checke die pfSense Implementation sonst mal daraufhin. Ggf. setzt du sonst schnell einmal eine VM auf wie oben beschrieben nur um ganz sicher zu gehen."
Nicht alle Dateien, die du in deinem Tutorial änderst, finden sich bei der pfsense wieder. Das sind folgende:
/etc/raddb/modules/mschap
/etc/raddb/sites-enabled
/etc/raddb/sites-enabled/inner-tunnel
Wenn diese Dateien für die dynamische Zuweisung von VLANs bei Windows XP clients notwendig sind, dann wäre das ein Grund, warum es nicht geht.
Ich werde das Montag versuchen zu testen und mich spätestens dann nochmal melden. Falls du noch Tips hast, bin ich dafür offen
Dankeschön erstmal!
Hi,
ich suche die inner-tunnel mal mit dem genannten Befehl und/oder frage im pfsense Forum nach.
Die Wireshark Methode kann ich auch einmal testen und sollte ich den log nicht verstehen, dann kann ich die .pcap file sicherlich hier irgendwie zur Verfügung stellen.
Ich habe nochmal im Installation Guid der SG300 serie, also der etwas besseren Serie als die, die ich habe, nachgeschaut und dort bieten sie das cisco eigene GVRP an und damit auch folgendes:
Click VLAN Management > Create VLAN. The Create VLAN Page opens.
The Create VLAN page displays the following fields for all VLANs:
• VLAN ID—User-defined VLAN ID.
• VLAN Name—User-defined VLAN name.
• Type—VLAN type:
- Dynamic—VLAN was dynamically created through Generic VLAN
Registration Protocol (GVRP).
- Static—VLAN is user-defined.
- Default—VLAN is the default VLAN.
Wobei sich das ja nur auf das cisco protcol GVRP bezieht und damit eigentlich nicht mit der 802.1X dynamischen VLAN Zuweisung zu tun haben sollte.
ich suche die inner-tunnel mal mit dem genannten Befehl und/oder frage im pfsense Forum nach.
Die Wireshark Methode kann ich auch einmal testen und sollte ich den log nicht verstehen, dann kann ich die .pcap file sicherlich hier irgendwie zur Verfügung stellen.
Ich habe nochmal im Installation Guid der SG300 serie, also der etwas besseren Serie als die, die ich habe, nachgeschaut und dort bieten sie das cisco eigene GVRP an und damit auch folgendes:
Click VLAN Management > Create VLAN. The Create VLAN Page opens.
The Create VLAN page displays the following fields for all VLANs:
• VLAN ID—User-defined VLAN ID.
• VLAN Name—User-defined VLAN name.
• Type—VLAN type:
- Dynamic—VLAN was dynamically created through Generic VLAN
Registration Protocol (GVRP).
- Static—VLAN is user-defined.
- Default—VLAN is the default VLAN.
Wobei sich das ja nur auf das cisco protcol GVRP bezieht und damit eigentlich nicht mit der 802.1X dynamischen VLAN Zuweisung zu tun haben sollte.
Guten Morgen,
also die Ports von ACCESS auf GENERAL umgestellt und nochmal probiert:
So sieht es erstmal aus, wenn ich den radis mit radiusd -X starte:
[2.0-RC1][admin@pfsense2.hpa]/usr/local/etc/raddb(16): radiusd -X
Starting - reading configuration files ...
(...)
Module: Instantiated radutmp (radutmp)
Listening on authentication 172.17.0.1:1812
Listening on accounting 172.17.0.1:1813
Ready to process requests.
Danach habe ich mittels Wireshark den Authentifizierungsprozess am RADIUS mitgeschnitten. Dazu habe ich meinen Laptop mit Wireshark mittels HUB zwischen RADIUS und SWITCH gepatcht. radiusd -X gab dabei folgendes aus:
(...)
Sending Access-Challenge of id 0 to 172.17.0.2 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "6"
EAP-Message = 0x010300160410d1da01d80b6d0ebb00804a954c594c4c
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x19efefe709c34ca322c0867311b9e3e7
Finished request 4
(...)
Login OK: [vlan5/<no User-Password attribute>] (from client switch port 57 cli 00-0B-5D-93-0F-4E)
Sending Access-Accept of id 0 to 172.17.0.2 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "6"
EAP-Message = 0x03030004
Message-Authenticator = 0x00000000000000000000000000000000
User-Name = "vlan5"
(...)
--- Walking the entire request list ---
Cleaning up request 5 ID 0 with timestamp 4d7dc41e
Nothing to do. Sleeping until we see a request.
Wobei hier bitte zu beachten ist:
Benutzername ist: vlan5
Kennwort ist: vlan5
Der Benutzer soll dann aber in das vlan 6 gesteckt werden.
Die Authentifizierung klappt, aber ich komme immer in mein default VLAN.
Die RADIUS.pcap habe ich mit 7-zip gepackt und unter folgendem Link hochgeladen:
http://www.fileuploadx.de/473748
also die Ports von ACCESS auf GENERAL umgestellt und nochmal probiert:
So sieht es erstmal aus, wenn ich den radis mit radiusd -X starte:
[2.0-RC1][admin@pfsense2.hpa]/usr/local/etc/raddb(16): radiusd -X
Starting - reading configuration files ...
(...)
Module: Instantiated radutmp (radutmp)
Listening on authentication 172.17.0.1:1812
Listening on accounting 172.17.0.1:1813
Ready to process requests.
Danach habe ich mittels Wireshark den Authentifizierungsprozess am RADIUS mitgeschnitten. Dazu habe ich meinen Laptop mit Wireshark mittels HUB zwischen RADIUS und SWITCH gepatcht. radiusd -X gab dabei folgendes aus:
(...)
Sending Access-Challenge of id 0 to 172.17.0.2 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "6"
EAP-Message = 0x010300160410d1da01d80b6d0ebb00804a954c594c4c
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x19efefe709c34ca322c0867311b9e3e7
Finished request 4
(...)
Login OK: [vlan5/<no User-Password attribute>] (from client switch port 57 cli 00-0B-5D-93-0F-4E)
Sending Access-Accept of id 0 to 172.17.0.2 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "6"
EAP-Message = 0x03030004
Message-Authenticator = 0x00000000000000000000000000000000
User-Name = "vlan5"
(...)
--- Walking the entire request list ---
Cleaning up request 5 ID 0 with timestamp 4d7dc41e
Nothing to do. Sleeping until we see a request.
Wobei hier bitte zu beachten ist:
Benutzername ist: vlan5
Kennwort ist: vlan5
Der Benutzer soll dann aber in das vlan 6 gesteckt werden.
Die Authentifizierung klappt, aber ich komme immer in mein default VLAN.
Die RADIUS.pcap habe ich mit 7-zip gepackt und unter folgendem Link hochgeladen:
http://www.fileuploadx.de/473748
Hallo,
der gedanke mit der Firmware kam mir auch schon. Die aktuellste Version 1.0.0.19 wurde aber bereits vorinstalliert ausgeliefert. Ich habe mich nun gerade vor wenigen Sekunden im CISCO Small Business Forum registriert und werde nun dort mal mein Problem schildern.
Unabhängig davon schonmal super vielen Dank, dass du dir die Logs und .PCAP einmal angesehen hast und wir von dieser Seiten einen groben Fehler schonmal zu 99% ausschließen können, da der freeRADIUS ja augenscheinlich korrekt arbeitet.
Ich werde den CISCO Support einmal mit dieser Problematik bemühen. Sobald ich dort etwas genaueres gesagt bekomme, werde ich hier zumindest Rückmeldung geben.
Dankeschön erstmal!
PS: Wenn Interesse besteht, könnte ich dir auch mal einen Zugang zu dem Switch einrichten. Da das hier eine reine Testumgebung ist, kann man da bedenkenlos "spielen". Aber ich denke, wir warten ertsmal die CISCO Rückmeldung ab.
Gruß
der gedanke mit der Firmware kam mir auch schon. Die aktuellste Version 1.0.0.19 wurde aber bereits vorinstalliert ausgeliefert. Ich habe mich nun gerade vor wenigen Sekunden im CISCO Small Business Forum registriert und werde nun dort mal mein Problem schildern.
Unabhängig davon schonmal super vielen Dank, dass du dir die Logs und .PCAP einmal angesehen hast und wir von dieser Seiten einen groben Fehler schonmal zu 99% ausschließen können, da der freeRADIUS ja augenscheinlich korrekt arbeitet.
Ich werde den CISCO Support einmal mit dieser Problematik bemühen. Sobald ich dort etwas genaueres gesagt bekomme, werde ich hier zumindest Rückmeldung geben.
Dankeschön erstmal!
PS: Wenn Interesse besteht, könnte ich dir auch mal einen Zugang zu dem Switch einrichten. Da das hier eine reine Testumgebung ist, kann man da bedenkenlos "spielen". Aber ich denke, wir warten ertsmal die CISCO Rückmeldung ab.
Gruß
Hallo,
wen es interessiert, kann den Thread im CISCO Forum mitverfolgen. Leider ist das Feedback dort sehr gering.
https://supportforums.cisco.com/message/3316633#3316633
wen es interessiert, kann den Thread im CISCO Forum mitverfolgen. Leider ist das Feedback dort sehr gering.
https://supportforums.cisco.com/message/3316633#3316633
Hallo,
den Port zur Client Seite hin hatte ich einmal im Trunk, einmal General und einmal Access mode. In allen drei Fällen befanden sich diese Ports ausschließlich im Default VLAN. Im Modus Trunk und General hatte ich dem Port einmal das VLAN5 und VLAN6 als tagged hinzugefügt - ohne Erfolg und dann auch nochmal untagged. Ich habe nun also sämtliche logischen und auch unlogische Konfigurationseinstellungen am Switch durchprobiert.
Einen "richtigen" IOS basierten CISCO Switch habe ich leider nicht.
den Port zur Client Seite hin hatte ich einmal im Trunk, einmal General und einmal Access mode. In allen drei Fällen befanden sich diese Ports ausschließlich im Default VLAN. Im Modus Trunk und General hatte ich dem Port einmal das VLAN5 und VLAN6 als tagged hinzugefügt - ohne Erfolg und dann auch nochmal untagged. Ich habe nun also sämtliche logischen und auch unlogische Konfigurationseinstellungen am Switch durchprobiert.
Einen "richtigen" IOS basierten CISCO Switch habe ich leider nicht.
Hallo,
nach vielen vielen Wochen Wartezeit, Osterurlaub bei meiner CISCO Betreuerin habe ich nun Klarheit:
Hallo Herr XYZ,
Leide ist die Funktion Dynamic VLAN Assignment bei den SG200 nicht unterstuetzt, obwohl es in dem Datenblatt geschiben ist.
Die Function ist aber bei den SG300 unterstuetzt. Deshalb schlage ich Ihnen vor, dass Sie das Geraet mit Ihrem Haendler austauschen.
Ich werde den Fall jetzt schliessen, dass technisch geseen kann ich nichts mehr tun.
Ich hoffe Ihnen geholfen zu haben, sollten sich noch
Fragen ergeben zoegern sie nicht mich zu kontaktieren.
Mit freundlichen Gruessen,
Die Switche der SG200 Serie unterstützen kein dynamisches VLAN, obwohl dies im Datenblatt vermerkt ist.
Jetzt soll ich die Switche umtauschen gegen die 300er Serie - die kostet natürlich mehr (ca 60%).
Das könntest du dann in deinem Tutorial abändern - dann hätte es wenigstens erstmal einem von uns geholfen ;)
Jetzt meine Frage:
Wie sieht es bei solch einer Fehlinformation aus, kann ich da einen Preisnachlass herausschlagen und wenn ja, bei CISCO selbst oder über meinen Zulieferer ?
Dankeschön!
nach vielen vielen Wochen Wartezeit, Osterurlaub bei meiner CISCO Betreuerin habe ich nun Klarheit:
You are right sir,
There is no option to enable "Dynamic VLAN assignment " in the web gui of the switch. It's written in the Datasheet, but it's a mistake that has been reported and it will be fixed.
Please contact us for futher information -
Thank you
With best of my regards,
Plami
There is no option to enable "Dynamic VLAN assignment " in the web gui of the switch. It's written in the Datasheet, but it's a mistake that has been reported and it will be fixed.
Please contact us for futher information -
Thank you
With best of my regards,
Plami
Hallo Herr XYZ,
Leide ist die Funktion Dynamic VLAN Assignment bei den SG200 nicht unterstuetzt, obwohl es in dem Datenblatt geschiben ist.
Die Function ist aber bei den SG300 unterstuetzt. Deshalb schlage ich Ihnen vor, dass Sie das Geraet mit Ihrem Haendler austauschen.
Ich werde den Fall jetzt schliessen, dass technisch geseen kann ich nichts mehr tun.
Ich hoffe Ihnen geholfen zu haben, sollten sich noch
Fragen ergeben zoegern sie nicht mich zu kontaktieren.
Mit freundlichen Gruessen,
Die Switche der SG200 Serie unterstützen kein dynamisches VLAN, obwohl dies im Datenblatt vermerkt ist.
Jetzt soll ich die Switche umtauschen gegen die 300er Serie - die kostet natürlich mehr (ca 60%).
Das könntest du dann in deinem Tutorial abändern - dann hätte es wenigstens erstmal einem von uns geholfen ;)
Jetzt meine Frage:
Wie sieht es bei solch einer Fehlinformation aus, kann ich da einen Preisnachlass herausschlagen und wenn ja, bei CISCO selbst oder über meinen Zulieferer ?
Dankeschön!
Hallo,
danke für eure Rückmeldung.
Ich habe nun den Schriftverkehr an die bei uns zuständige Stelle weitergeleitet. Die Lieferfirma hieß NextiraOne...und die hatten damals shcon unvershcämte 4 Monate benötigt, die Ware zu liefern, bis letztendlich eine Kollegin von uns dort einmal auf den Tisch gehauen hat, nachdem alle anderen Anrufe wohl abgewiegelt wurden.
Ich hoffe, dass diese Kollegin das diesesmal direkt in die Hand nimmt und dann wollen wir mal schauen, wie kulant NextiraOne ist.
Es ärgert mich nur unheimlich, dass im CISCO Forum scheinbar keiner die eigenen Geräte kennt und diesen Fehler bemerkt hat. Das zeugt natürlich nicht von hoher Kompetenz und damit natürlich meines Erachtens für schlechten Service.
Ich werde jedenfalls Rückmeldung geben, falls sich etwas tut
Grüße und Danke
danke für eure Rückmeldung.
Ich habe nun den Schriftverkehr an die bei uns zuständige Stelle weitergeleitet. Die Lieferfirma hieß NextiraOne...und die hatten damals shcon unvershcämte 4 Monate benötigt, die Ware zu liefern, bis letztendlich eine Kollegin von uns dort einmal auf den Tisch gehauen hat, nachdem alle anderen Anrufe wohl abgewiegelt wurden.
Ich hoffe, dass diese Kollegin das diesesmal direkt in die Hand nimmt und dann wollen wir mal schauen, wie kulant NextiraOne ist.
Es ärgert mich nur unheimlich, dass im CISCO Forum scheinbar keiner die eigenen Geräte kennt und diesen Fehler bemerkt hat. Das zeugt natürlich nicht von hoher Kompetenz und damit natürlich meines Erachtens für schlechten Service.
Ich werde jedenfalls Rückmeldung geben, falls sich etwas tut
Grüße und Danke
Hallo nochmal,
wollte erstmal die freudige Nachricht (für mich) mitteilen. CISCO oder NextiraOne, wer auch immer letztendlich die Kosten trägt, haben mir alle 20 alten Geräte SG-200 gegen SG-300 ausgetauscht, ohne zusätzliche Kosten. Diese Lieferung kam dann auch erstaunlich schnell und ohne Probleme. Gut!
Nun wieder zum eigentlichen Thema:
Die Authentifizierung am freeRADIUS mit Benutzername/Kennwort oder Benutzername/Kennwort/Zertifikat funktionieren. Genauso die dynamische VLAN Zuordnung.
Ich habe nun lediglich noch das Problem, dass sich meine Rechner nicht in einer Domäne befinden.
Weiterhin haben die Rechner bzw. die Benutzer die gleichen Windows Benutzernamen und auch die gleichen Kennwörter. Es bringt mir also nichts, wenn ich den Haken setze, dass Windows sich mit den Benutzerinformationen anmelden soll.
Es kommt immer das letzte Bild in deinem Abschnitt "Clients für die 802.1x Zugangskontrolle einrichten". Setze ich den Haken, wie in den Bildern zuvor gezeigt, stimmen die Anmeldedaten logischerweise nicht.
Ich habe gelesen, dass es für PCs in einer Domäne "Computerzertifikate" gibt, so dass sich die Rechner vor der Windows-Anmeldung bereits im Netz anmelden zu können um die Domäne zu erreichen. Ist das auch in meinem Szenario realisierbar, wenn ja, wie ?
Dankeschön!
wollte erstmal die freudige Nachricht (für mich) mitteilen. CISCO oder NextiraOne, wer auch immer letztendlich die Kosten trägt, haben mir alle 20 alten Geräte SG-200 gegen SG-300 ausgetauscht, ohne zusätzliche Kosten. Diese Lieferung kam dann auch erstaunlich schnell und ohne Probleme. Gut!
Nun wieder zum eigentlichen Thema:
Die Authentifizierung am freeRADIUS mit Benutzername/Kennwort oder Benutzername/Kennwort/Zertifikat funktionieren. Genauso die dynamische VLAN Zuordnung.
Ich habe nun lediglich noch das Problem, dass sich meine Rechner nicht in einer Domäne befinden.
Weiterhin haben die Rechner bzw. die Benutzer die gleichen Windows Benutzernamen und auch die gleichen Kennwörter. Es bringt mir also nichts, wenn ich den Haken setze, dass Windows sich mit den Benutzerinformationen anmelden soll.
Es kommt immer das letzte Bild in deinem Abschnitt "Clients für die 802.1x Zugangskontrolle einrichten". Setze ich den Haken, wie in den Bildern zuvor gezeigt, stimmen die Anmeldedaten logischerweise nicht.
Ich habe gelesen, dass es für PCs in einer Domäne "Computerzertifikate" gibt, so dass sich die Rechner vor der Windows-Anmeldung bereits im Netz anmelden zu können um die Domäne zu erreichen. Ist das auch in meinem Szenario realisierbar, wenn ja, wie ?
Dankeschön!
Das mit den Windows-Anmeldedaten ist eben ein Relikt aus alten Zeiten.
Mein Ziel ist es, dass ich die Leute in grob gesagt 2 unterschiedliche VLANs bekomme. Eines hat Beschränkungen vom Zugriff, das Andere nicht. Problem ist, dass sich diese Leute "vogelfrei" im Haus bewegen und sich an x-beliebige Dosen anklemmen dürfen und auch sollen.
Ist es denn nicht möglich, die Windoes Anmeldedaten irgendwie in die Registry hard code ?
Oder kann ich ein batch/vbs script schreiben, was die Anmedlung im Autostart erledigt ?
Aber es bleibt ja auch immernoch die Frage, wie kann ich den Computer authentifizieren, BEVOR sich ein USer angemeldet hat. Das geht ja auch (nur wie) ?
Mein Ziel ist es, dass ich die Leute in grob gesagt 2 unterschiedliche VLANs bekomme. Eines hat Beschränkungen vom Zugriff, das Andere nicht. Problem ist, dass sich diese Leute "vogelfrei" im Haus bewegen und sich an x-beliebige Dosen anklemmen dürfen und auch sollen.
Ist es denn nicht möglich, die Windoes Anmeldedaten irgendwie in die Registry hard code ?
Oder kann ich ein batch/vbs script schreiben, was die Anmedlung im Autostart erledigt ?
Aber es bleibt ja auch immernoch die Frage, wie kann ich den Computer authentifizieren, BEVOR sich ein USer angemeldet hat. Das geht ja auch (nur wie) ?
Das Quarantäne-VLAN oder wie es bei CISCO heißt "Gast-VLAN" habe ich und funktioniert auch. Captive Portal habe ich ebenfalls darauf eingerichtet.
Von den MAC-Adressen wollte ich eigentlich weg...
Am Liebsten wäre mir ein Zertifikat, was die Authentifizierung am radius ermöglich OHNE sonstige Eingaben von Benutzernamen/Kennwörtern und der radius auf Grund der Zertifikats dann das VLAN zuweist.
Kann ich dem radius nicht die CN der Zertifikate mitteilen, auf Grund derer er dann die Entscheidung mit meinen Kriterien trifft ?
Von den MAC-Adressen wollte ich eigentlich weg...
Am Liebsten wäre mir ein Zertifikat, was die Authentifizierung am radius ermöglich OHNE sonstige Eingaben von Benutzernamen/Kennwörtern und der radius auf Grund der Zertifikats dann das VLAN zuweist.
Kann ich dem radius nicht die CN der Zertifikate mitteilen, auf Grund derer er dann die Entscheidung mit meinen Kriterien trifft ?
Hi,
ich weiss, die Technik kann nichts dafür. Sie funktioniert, wie sie soll. Das problem liegt leider oftmals bei Schicht 8.
Ich werde es nun erst einmal auf MAC Basis machen, auch das funktioniert vom Ergebnis einwandfrei. Lediglich die Sicherheit ist halt nicht so hoch wie bei Zertifikaten. Das Ganze wird eben Stück für Stück wachsen müssen.
PS: Besteht Interesse daran, dass ich mal eine running-config eines SG300-28 mit dynamischer VLAN Zuordnung hoch lade umd dein Tutorial zu Ergänzen oder ist das unnötig ? Wenn die Geräte das machen, was im Datenblatt steht, ist es eigentlich nicht schwer zu konfigurieren.
Gruße und Danke für die Hilfe!
ich weiss, die Technik kann nichts dafür. Sie funktioniert, wie sie soll. Das problem liegt leider oftmals bei Schicht 8.
Ich werde es nun erst einmal auf MAC Basis machen, auch das funktioniert vom Ergebnis einwandfrei. Lediglich die Sicherheit ist halt nicht so hoch wie bei Zertifikaten. Das Ganze wird eben Stück für Stück wachsen müssen.
PS: Besteht Interesse daran, dass ich mal eine running-config eines SG300-28 mit dynamischer VLAN Zuordnung hoch lade umd dein Tutorial zu Ergänzen oder ist das unnötig ? Wenn die Geräte das machen, was im Datenblatt steht, ist es eigentlich nicht schwer zu konfigurieren.
Gruße und Danke für die Hilfe!
Hi,
ich habe eine Frage zum Kaskadieren von mehreren Switches unter 802.1x. Wir haben zB einen Cisco SG-200-26 und einen Cisco SG-200-8 in einem LAN. Der SG-200-26 ist fertig konfiguriert und als Radius dient uns Windows NPS. Das funktioniert auch bestens. Jetzt kommt leider der SG-200-8 ins Spiel, eigentlich der gleiche Switch nur mit 8 Port und leider dennoch leicht unterschiedlichen Webinterface. Ich bleibe nun schon ewig daran hängen, den 2. kleineren Switch an dem großen 26 Port Switch richtig anzuschließen. Also nicht das Anschließen mit dem Kabel, das bekomme ich schon hin, aber das richtige Konfigurieren meine ich damit.
Wenn ich am großen Switch einen Port auf forceAuthorize stelle und den kleinen daran anschließe und den Radius gleich dem Großen konfiguriere, passt alles. Nur, so soll es ja nicht sein, denn wenn jemand auf die Idee kommt den kleinen abzuhängen, kann man an diesen Port stattdessen irgendein Gerät anschließen und bekommt Zugriff.
Stelle ich den Port auf Auto, ist es mir nicht möglich den kleinen Switch so zu konfigurieren, dass der Port auf Authorized springt. Zuerst dachte ich die Einstellung Supplicant sei die richtige,aber auch da sperrte der Große den Port sofort.
Hat hier jemand schon Erfahrung mit diesen Switches?
LG Mike
ich habe eine Frage zum Kaskadieren von mehreren Switches unter 802.1x. Wir haben zB einen Cisco SG-200-26 und einen Cisco SG-200-8 in einem LAN. Der SG-200-26 ist fertig konfiguriert und als Radius dient uns Windows NPS. Das funktioniert auch bestens. Jetzt kommt leider der SG-200-8 ins Spiel, eigentlich der gleiche Switch nur mit 8 Port und leider dennoch leicht unterschiedlichen Webinterface. Ich bleibe nun schon ewig daran hängen, den 2. kleineren Switch an dem großen 26 Port Switch richtig anzuschließen. Also nicht das Anschließen mit dem Kabel, das bekomme ich schon hin, aber das richtige Konfigurieren meine ich damit.
Wenn ich am großen Switch einen Port auf forceAuthorize stelle und den kleinen daran anschließe und den Radius gleich dem Großen konfiguriere, passt alles. Nur, so soll es ja nicht sein, denn wenn jemand auf die Idee kommt den kleinen abzuhängen, kann man an diesen Port stattdessen irgendein Gerät anschließen und bekommt Zugriff.
Stelle ich den Port auf Auto, ist es mir nicht möglich den kleinen Switch so zu konfigurieren, dass der Port auf Authorized springt. Zuerst dachte ich die Einstellung Supplicant sei die richtige,aber auch da sperrte der Große den Port sofort.
Hat hier jemand schon Erfahrung mit diesen Switches?
LG Mike
Hi Mike,
also erstmal solltest du versuchen, dass niemand unbefugtes einfach an deinen Switches rum stöpseln kann
Ansonsten besitzt der SWITCH ja auch eine MAC Adresse "Status and Statistics -> System Summary -> Base MAC". Du könntest also versuchen am RADIUS die Authetifizierung für dieses Gerät über die MAC Adresse zu lösen.
Bin mir nicht sicher, ob das so funktioniert.
also erstmal solltest du versuchen, dass niemand unbefugtes einfach an deinen Switches rum stöpseln kann
Ansonsten besitzt der SWITCH ja auch eine MAC Adresse "Status and Statistics -> System Summary -> Base MAC". Du könntest also versuchen am RADIUS die Authetifizierung für dieses Gerät über die MAC Adresse zu lösen.
Bin mir nicht sicher, ob das so funktioniert.
Hi,
ja das mit dem rum stöpseln ist nicht so einfach, wir haben viele Außenstellen (zwischen 5 und 25 Usern) und dort ist nun mal das Rack offen und somit leider auch zugänglich... Mit anderen Worten: Physischen Zugriff kann ich leider nicht verhindern...
Das mit der MAC Adresse könnte funktionieren, nur mit dem NPS ist das so eine Krux - ich glaube da muss man einen User anlegen mit der MAC Adresse im Namen - eigentlich etwas was ich vermeiden wollte. Werde es aber trotzdem mal versuchen. Danke für den Tipp!
Aber so rein zwischen Switch und Switch kann man das nicht regeln? Irgendwie dachte ich an ein Forward von EAP oder so...
ja das mit dem rum stöpseln ist nicht so einfach, wir haben viele Außenstellen (zwischen 5 und 25 Usern) und dort ist nun mal das Rack offen und somit leider auch zugänglich... Mit anderen Worten: Physischen Zugriff kann ich leider nicht verhindern...
Das mit der MAC Adresse könnte funktionieren, nur mit dem NPS ist das so eine Krux - ich glaube da muss man einen User anlegen mit der MAC Adresse im Namen - eigentlich etwas was ich vermeiden wollte. Werde es aber trotzdem mal versuchen. Danke für den Tipp!
Aber so rein zwischen Switch und Switch kann man das nicht regeln? Irgendwie dachte ich an ein Forward von EAP oder so...
Hi,
wenn du VLANs nutzt, dann könntest du an den TRUNK ports z.B. nur geTAGGEDte Pakete zulassen. So müsste derjenige schon an seinem laptop/PC die Netzwerkeinstellungen ändern bzw. an der NIC einstellen, dass diese tagged frames verarbeiten soll.
Ich weiss nicht, wie ihr das bei euch geregelt habt, aber um Netzwerkeinstellungen zu ändern brauchen die User ja entsprechende Rechte.
Du könntest aber auch an dem 8er Switch die RADIUS Authentifizierung ausstellen und den switch einfach als "dummen" switch an einen mit RADIUS Authentifizierung eingestellten Port am 28er Switch anschließen. Wenn der Port am 28er im "General" Mode läuft, kann er MAC basiert den Traffic filtern. Er kann den Port auch in verschiedene VLANs gleichzeitig legen.
Ich weiss nicht, ob die switche ansonsten eine Möglichkeit bieten, jeden Port nur eine MAC Adresse statisch zuzuweisen die erlaubt wird.
Andere Möglichkeiten fallen mir leider nicht ein. Ich habe für jeden Switch einen eigenen Uplink zum Core-Switch und meine Technikschränke sind abgeschlossen und nicht für jeden zugänglich.
wenn du VLANs nutzt, dann könntest du an den TRUNK ports z.B. nur geTAGGEDte Pakete zulassen. So müsste derjenige schon an seinem laptop/PC die Netzwerkeinstellungen ändern bzw. an der NIC einstellen, dass diese tagged frames verarbeiten soll.
Ich weiss nicht, wie ihr das bei euch geregelt habt, aber um Netzwerkeinstellungen zu ändern brauchen die User ja entsprechende Rechte.
Du könntest aber auch an dem 8er Switch die RADIUS Authentifizierung ausstellen und den switch einfach als "dummen" switch an einen mit RADIUS Authentifizierung eingestellten Port am 28er Switch anschließen. Wenn der Port am 28er im "General" Mode läuft, kann er MAC basiert den Traffic filtern. Er kann den Port auch in verschiedene VLANs gleichzeitig legen.
Ich weiss nicht, ob die switche ansonsten eine Möglichkeit bieten, jeden Port nur eine MAC Adresse statisch zuzuweisen die erlaubt wird.
Andere Möglichkeiten fallen mir leider nicht ein. Ich habe für jeden Switch einen eigenen Uplink zum Core-Switch und meine Technikschränke sind abgeschlossen und nicht für jeden zugänglich.
Danke für deine Hinweise, leider kann ich beide nicht umsetzen. Die Switches SG-200-x sind aus der Small Business Linie und kennen nicht einmal das Wort Trunk oder Tagged und sie keine Layer 3 Switche sind, können die VLANs auch nicht routen.
Bzgl physischen Zugriff: Da wir viele verteilte kleine Büros haben, lassen sich physische Zugriffe nicht wirklich umsetzen...
Auch mit der Restriktion auf die MAC scheint es nicht rosig, zumindest finde ich der Beschreibung nichts dazu. Tja, so wie es aussieht wird der Port wohl offen bleiben müssen...
Bzgl physischen Zugriff: Da wir viele verteilte kleine Büros haben, lassen sich physische Zugriffe nicht wirklich umsetzen...
Auch mit der Restriktion auf die MAC scheint es nicht rosig, zumindest finde ich der Beschreibung nichts dazu. Tja, so wie es aussieht wird der Port wohl offen bleiben müssen...
Hallo Mike,
du solltest dich noch einmal etwas besser in das Handbuch einlesen:
http://www.cisco.com/en/US/docs/switches/lan/csb_switching_general/admi ...
Die Seiten ab 106 sind für die VLAN Erstellung.
Seite 165 hilft dir beim Thema RADIUS.
Ich hatte die SG200-28 und nun die SG300-28 Switche von CISCO. Und selbstverständlich können BEIDE Serien VLANs. Und sie können natürlich TAGGED und UNTAGGED (das ist ja Grundlage für VLANs) und sie können auch MAC basierte Authentifizierung an den Ports.
Ein Layer 3 Switch ist ebenfalls nicht notwendig für VLANs. Lediglich benötigt man ein Layer 3 Gerät um die VLANs untereinander zu verbinden. Das läuft über einen Router. Layer 3 Switche haben die Funktionalität eines Switches (Layer 2) und noch zusätzliche Funktionen eines Routers (Layer 3)
du solltest dich noch einmal etwas besser in das Handbuch einlesen:
http://www.cisco.com/en/US/docs/switches/lan/csb_switching_general/admi ...
Die Seiten ab 106 sind für die VLAN Erstellung.
Seite 165 hilft dir beim Thema RADIUS.
Ich hatte die SG200-28 und nun die SG300-28 Switche von CISCO. Und selbstverständlich können BEIDE Serien VLANs. Und sie können natürlich TAGGED und UNTAGGED (das ist ja Grundlage für VLANs) und sie können auch MAC basierte Authentifizierung an den Ports.
Ein Layer 3 Switch ist ebenfalls nicht notwendig für VLANs. Lediglich benötigt man ein Layer 3 Gerät um die VLANs untereinander zu verbinden. Das läuft über einen Router. Layer 3 Switche haben die Funktionalität eines Switches (Layer 2) und noch zusätzliche Funktionen eines Routers (Layer 3)
Hallo,
danke für deine Hinweise! Leider habe ich es bis jetzt nicht geschafft den SG200-08 mittels MAC-Adresse zuzulassen. Dabei habe ich auch diesen Artikel (http://technet.microsoft.com/en-us/library/dd197535%28WS.10%29.aspx) durchgemacht, leider erfolglos.
Bzgl. VLANs: Wir haben eben leider kein Layer 3 Device zum Routen der VLANs - demnach kann ich sie auch nicht verwenden.
Ich bin aber dafür über neues, ziemlich ungewöhnliches, Problem gestoßen. Wenn ich den SG 200-08 als Radius Client konfiguriere sendet er das Attribut "Account Name" mit max. 32 Zeichen, alles darüber wird einfach abgeschnitten. Der String kommt im Format host/<dNSHostName> und wenn dieser länger als 32 Zeichen ist, beschwert sich der NPS über eine nicht existente Domäne - wobei er natürlich recht hat.
Das Problem tritt nicht auf wenn ich den Rechnernamen derart kürze, sodass der String <= 32 Zeichen ist und beim SG 200-26, der hat das Limit nicht.
Irgendwie kann das doch nur ein Bug sein, was meint ihr?
danke für deine Hinweise! Leider habe ich es bis jetzt nicht geschafft den SG200-08 mittels MAC-Adresse zuzulassen. Dabei habe ich auch diesen Artikel (http://technet.microsoft.com/en-us/library/dd197535%28WS.10%29.aspx) durchgemacht, leider erfolglos.
Bzgl. VLANs: Wir haben eben leider kein Layer 3 Device zum Routen der VLANs - demnach kann ich sie auch nicht verwenden.
Ich bin aber dafür über neues, ziemlich ungewöhnliches, Problem gestoßen. Wenn ich den SG 200-08 als Radius Client konfiguriere sendet er das Attribut "Account Name" mit max. 32 Zeichen, alles darüber wird einfach abgeschnitten. Der String kommt im Format host/<dNSHostName> und wenn dieser länger als 32 Zeichen ist, beschwert sich der NPS über eine nicht existente Domäne - wobei er natürlich recht hat.
Das Problem tritt nicht auf wenn ich den Rechnernamen derart kürze, sodass der String <= 32 Zeichen ist und beim SG 200-26, der hat das Limit nicht.
Irgendwie kann das doch nur ein Bug sein, was meint ihr?
Hallo,
bezugnehmend auf mein Thema: Neues Netzwerk 10 GBit VMware und VLAN mit IEEE 802.1X Microsoft NAP
Ich habe die Hardware jetzt bekommen und schon einiges an Theorie zwecks dem Einrichten von 802.1x gelesen.
Die Brocade Turboiron wird bei mir ja die Core Switch, diese konfiguriere ich so wie oben. Das klappt denke ich auch.
die VLANs richte ich auf allen Switche gleich ein - routing macht dann die Brocade. Die ganzen HP ProCurve Switch verbinde ich als Tagged Ports mit der Brocade wegen den VLANs.
Was ich jetzt nicht verstanden habe. Muss ich die HP ProCurve Switche (kaskadiert an Brocade) auch so konfigurieren wie oben beschrieben, dass sie auch direkt am NAP Server anfragen ob der Client berechtigt ist oder holt sich sie Switch die Informationen über die Core der Brocade und ich mache den Port an dem die HP Switch hängt auch als authenticator?
Wie funktioniert das? Oder macht das die Brocade sowieso automatisch und ich muss an den HP Switchen garnichts einstellen weil die Ports getagged sind?
DANKE
bezugnehmend auf mein Thema: Neues Netzwerk 10 GBit VMware und VLAN mit IEEE 802.1X Microsoft NAP
Ich habe die Hardware jetzt bekommen und schon einiges an Theorie zwecks dem Einrichten von 802.1x gelesen.
Die Brocade Turboiron wird bei mir ja die Core Switch, diese konfiguriere ich so wie oben. Das klappt denke ich auch.
die VLANs richte ich auf allen Switche gleich ein - routing macht dann die Brocade. Die ganzen HP ProCurve Switch verbinde ich als Tagged Ports mit der Brocade wegen den VLANs.
Was ich jetzt nicht verstanden habe. Muss ich die HP ProCurve Switche (kaskadiert an Brocade) auch so konfigurieren wie oben beschrieben, dass sie auch direkt am NAP Server anfragen ob der Client berechtigt ist oder holt sich sie Switch die Informationen über die Core der Brocade und ich mache den Port an dem die HP Switch hängt auch als authenticator?
Wie funktioniert das? Oder macht das die Brocade sowieso automatisch und ich muss an den HP Switchen garnichts einstellen weil die Ports getagged sind?
DANKE
Die Authentifizierung gegenüber dem RADIUS sollte an jedem Switch stattfinden. Es macht ja keinen Sinn, dass der client sich am HP Switch anmelden kann und Zugriff darauf hat und dann erst der Zugang an deinem Core Switch blockiert wird. Die Zugangskontrolle soll ja am Port stattfinden, wo der Client drinne steckt.
Ich lasse jedenfalls alle meine Switches gegen den RADIUS authetifizieren. Den Core-Switch hingegen habe ich mir gespart, da sind eh nur trunk ports drauf und da wird auch niemals ein client direkt angeschlossen. Wozu als gegen den RADIUS authetifizieren lassen.
Ich lasse jedenfalls alle meine Switches gegen den RADIUS authetifizieren. Den Core-Switch hingegen habe ich mir gespart, da sind eh nur trunk ports drauf und da wird auch niemals ein client direkt angeschlossen. Wozu als gegen den RADIUS authetifizieren lassen.
Ok macht sinn
Fragen über Fragen.....bin jetzt grad am VLAN einrichten auf der Brocade Turboiron 24x und am verzweifeln.
Hab ein VLAN angelegt und ein Port hinzugefügt
enable
Configure terminal
vlan 2 name Test
Switch(config-vlan-2)#tagged Ethernet 8 (Uplink zur HP ProCurve Switch)
wenn ich dem VLAN jetzt eine IP Adresse zuweisen will funktioniert es einfach nicht oder ich machs falsch.
Switch(config-vlan-2)# ip address 192.168.3.1 255.255.255.0 --> ändert mir die Haupt IP Adresse der Switch und ich verliere meine Telnet Verbindung.
Switch# interface vlan 2 --> kommt falscher Befehl
Was mach ich falsch? Bzw. wie vergebe ich hier die IP Adresse für jedes VLAN?
Kann es sein das ich in der Switch irgendwie Layer 3 IP noch aktivieren muss?
Danke
Fragen über Fragen.....bin jetzt grad am VLAN einrichten auf der Brocade Turboiron 24x und am verzweifeln.
Hab ein VLAN angelegt und ein Port hinzugefügt
enable
Configure terminal
vlan 2 name Test
Switch(config-vlan-2)#tagged Ethernet 8 (Uplink zur HP ProCurve Switch)
wenn ich dem VLAN jetzt eine IP Adresse zuweisen will funktioniert es einfach nicht oder ich machs falsch.
Switch(config-vlan-2)# ip address 192.168.3.1 255.255.255.0 --> ändert mir die Haupt IP Adresse der Switch und ich verliere meine Telnet Verbindung.
Switch# interface vlan 2 --> kommt falscher Befehl
Was mach ich falsch? Bzw. wie vergebe ich hier die IP Adresse für jedes VLAN?
Kann es sein das ich in der Switch irgendwie Layer 3 IP noch aktivieren muss?
Danke
Hallo. Habe gerade dieses Tutorial und die Kommentare dazu gelesen. Einiges ist mir noch nicht ganz klar geworden und ich hoffe ihr könnt mich aufklären. Leider habe ich mehrere SG200-Modelle,aber nur einen einzigen SG300. Das erwähne ich in dem Zusammenhang, weil die SG200 Modelle kein dynamisches 802.1X können und ich somit dieses tolle Feauture nicht nutzen könnte, dass ein User seine VLAN-Zugehörigkeit komfortabel mitnehmen kann, wenn er umzieht innerhalb der Firma.
Habe nur einen einzigen SG300, aber der sitzt im Keller. Würde ich dynamisches 802.1X verwenden wollen, so daß sich User per RADIUS authentifizieren und ihre VLAN-Zugehörigkeit mitnehmen bei einem Umzug, müssen das ALLE bteiltigten Switche dazwischen im Netzwerk können? Oder würde es schon reichen, wenn ich nur einen einzigen SG300 habe, auf dem ich das RADIUS-Zeugs einrichte?
Bsp.:
- im 2.OG gibt's einen SG200, dort sind alle Clients angeschlossen.
- im 1.OG gibt's einen SG200, dort sind auch Clients angeschlossen
- im UG gibt's einen SG300, dort sind keine Clients aktiv, nur Tk-Anlage, und paar weitere unwichtige Hosts. Aber fakt ist, dass der SG300 eben im UG sitzt
- diese 3 Switche sind miteinander verbunden.
Im UG am SG300 richte ich nun RADIUS ein, also quasi die Zuordnung der User zu ihrer VLAN-Zugehörigkeit, die sie haben sollen.
Wenn der User im 2.OG nun seinen Rechner einschaltet, würde er sich durch den SG200 im 2.OG bis hin zum Keller SG300 durchschlingen können, damit der RADIUS-Server dort am SG300 die Abfrage durchführt? Leiten die Switche RADIUS-Informationen weiter? Oder muss ich zwingend an jedem einzelnen Switch RADIUS aktiviert haben? müssen also sämtliche Switche in der Kette RADIUS- und dynamisches 802.1X fähig sein?
Ich glaub ich hab auch nicht so richtig den Unterschied zwischen RADIUS-Server und NAS verstanden. Laut Wikipedia-Eintrag (http://de.wikipedia.org/wiki/IEEE_802.1X#Das_Dienstspektrum_und_die_Ben ..) könnte ich also mein Ziel trotzdem erreichen? Wenn ja, wie? Könnte ich z.B. innerhalb meiner Serverfarm einfach einen FreeRadius installieren (z.B. auf Debian Wheezy) und diesen als Authentication Server (AS) nutzen? Trage ich dann in meinen gesamten Switches ein, dass der Radius-Server, also mein Authentication Server (AS) die Debian-Kiste ist? Und auf der Debian-Kiste könnte ich den Freeradius auch an mein AD anbinden, so daß die User ihre vorhandenen Benutzer/Passwortkombinationen nutzen können? Wo würde dann aber die Zuordnung erfolgen, welcher User zu welchem VLAN zugeordnet werden soll? Richte ich das ebenfalls auf der Debian-Kiste am Freeradius ein? Wenn sich dann quasi ein User, der an einem SG200-Switch eingesteckt ist, sein OS (z.B. Win7 hochfährt) und der 802.1X Supplicant anmelden möchte, wird sein request über den SG200 Switch bis zur Debiankiste weitergeleitet, dort findet die Authentisierung statt, und mittels dieser Tunneling-Protokolle schickt die Debian-Kiste die Info wieder zurück an den Switch an dem der User angeschlossen ist, und der SG200 diesen Client-Port in entsprechende VLAN-Zugehörigkeit um? Dann wäre der AD also die Debiankiste und der NAS der SG200-Switch an dem der client angeschlossen ist? Oder hab ich das komplett missverstanden ?
PS: Kann der Cisco Catalyst 3560, oder der C3550 auch 802.1X und 802.1q so dass ich die auch nutzen kann für mein Vorhaben ? In dem datasheet (http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-3560 ..) konnte ich keine Infos zu dynamischen 802.1X findendazu finden.
Habe nur einen einzigen SG300, aber der sitzt im Keller. Würde ich dynamisches 802.1X verwenden wollen, so daß sich User per RADIUS authentifizieren und ihre VLAN-Zugehörigkeit mitnehmen bei einem Umzug, müssen das ALLE bteiltigten Switche dazwischen im Netzwerk können? Oder würde es schon reichen, wenn ich nur einen einzigen SG300 habe, auf dem ich das RADIUS-Zeugs einrichte?
Bsp.:
- im 2.OG gibt's einen SG200, dort sind alle Clients angeschlossen.
- im 1.OG gibt's einen SG200, dort sind auch Clients angeschlossen
- im UG gibt's einen SG300, dort sind keine Clients aktiv, nur Tk-Anlage, und paar weitere unwichtige Hosts. Aber fakt ist, dass der SG300 eben im UG sitzt
- diese 3 Switche sind miteinander verbunden.
Im UG am SG300 richte ich nun RADIUS ein, also quasi die Zuordnung der User zu ihrer VLAN-Zugehörigkeit, die sie haben sollen.
Wenn der User im 2.OG nun seinen Rechner einschaltet, würde er sich durch den SG200 im 2.OG bis hin zum Keller SG300 durchschlingen können, damit der RADIUS-Server dort am SG300 die Abfrage durchführt? Leiten die Switche RADIUS-Informationen weiter? Oder muss ich zwingend an jedem einzelnen Switch RADIUS aktiviert haben? müssen also sämtliche Switche in der Kette RADIUS- und dynamisches 802.1X fähig sein?
Ich glaub ich hab auch nicht so richtig den Unterschied zwischen RADIUS-Server und NAS verstanden. Laut Wikipedia-Eintrag (http://de.wikipedia.org/wiki/IEEE_802.1X#Das_Dienstspektrum_und_die_Ben ..) könnte ich also mein Ziel trotzdem erreichen? Wenn ja, wie? Könnte ich z.B. innerhalb meiner Serverfarm einfach einen FreeRadius installieren (z.B. auf Debian Wheezy) und diesen als Authentication Server (AS) nutzen? Trage ich dann in meinen gesamten Switches ein, dass der Radius-Server, also mein Authentication Server (AS) die Debian-Kiste ist? Und auf der Debian-Kiste könnte ich den Freeradius auch an mein AD anbinden, so daß die User ihre vorhandenen Benutzer/Passwortkombinationen nutzen können? Wo würde dann aber die Zuordnung erfolgen, welcher User zu welchem VLAN zugeordnet werden soll? Richte ich das ebenfalls auf der Debian-Kiste am Freeradius ein? Wenn sich dann quasi ein User, der an einem SG200-Switch eingesteckt ist, sein OS (z.B. Win7 hochfährt) und der 802.1X Supplicant anmelden möchte, wird sein request über den SG200 Switch bis zur Debiankiste weitergeleitet, dort findet die Authentisierung statt, und mittels dieser Tunneling-Protokolle schickt die Debian-Kiste die Info wieder zurück an den Switch an dem der User angeschlossen ist, und der SG200 diesen Client-Port in entsprechende VLAN-Zugehörigkeit um? Dann wäre der AD also die Debiankiste und der NAS der SG200-Switch an dem der client angeschlossen ist? Oder hab ich das komplett missverstanden ?
PS: Kann der Cisco Catalyst 3560, oder der C3550 auch 802.1X und 802.1q so dass ich die auch nutzen kann für mein Vorhaben ? In dem datasheet (http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-3560 ..) konnte ich keine Infos zu dynamischen 802.1X findendazu finden.
Das ist technischer Unsinn denn sowas gibt es nicht aber weisst du vermutlich selber.
Erstmal ist 802.1q VLAN Tagging und hat mit dieser Thematik hier nicht das Geringste zu tun. Wenn, dann also 802.1x.
Du meinst damit dann vermutlich die dynamische VLAN Zuordnung bei 802.1x, richtig ??
Korrigier das besser oben denn der Fehler tritt dort öfter auf und verwirrt Leser hier nur unnötigerweise !
Ja, das meinte ich. Sorry, wollte keinen damit irritieren. Hab's in meinem Beitrag korrigiert.Erstmal ist 802.1q VLAN Tagging und hat mit dieser Thematik hier nicht das Geringste zu tun. Wenn, dann also 802.1x.
Du meinst damit dann vermutlich die dynamische VLAN Zuordnung bei 802.1x, richtig ??
Korrigier das besser oben denn der Fehler tritt dort öfter auf und verwirrt Leser hier nur unnötigerweise !
Wenn du so willst ist der AP oder der kleine Switch dann gleichzeitig 802.1x Authenticator UND .1x Client.
Am Beispiel deiner SG-200 Switches kannst du das sehr schön sehen, denn du kannst an jedem Port einstellen ob er da eben
Authenticator spielen soll oder ob er da .1x Client ist !
Das hab ich jetzt danke deines Beispiels verstanden. DankeAm Beispiel deiner SG-200 Switches kannst du das sehr schön sehen, denn du kannst an jedem Port einstellen ob er da eben
Authenticator spielen soll oder ob er da .1x Client ist !
Das mag sein zumal das Wort "NAS" hier nix mit einem "Network Attached Storage" zu tun hat, deshalb sollte
man diesen Begriff besser vermeiden, denn viele raffen halt nicht was Network Access Security und ein Storage NAS sind oder
eben nicht sind und verwiirt nochmehr.
Nunja, das storage NAS hab ich damit eigentlich nicht gemeint, das hat hier auch nix verloren Ich meinte mit NAS eigentlich "Network Access Server". Aber ich hab soeben eine Aussage auf Wikipedia gesehen, die mir nun meine Frage beantwortet hat. Da heißt es nämlich:man diesen Begriff besser vermeiden, denn viele raffen halt nicht was Network Access Security und ein Storage NAS sind oder
eben nicht sind und verwiirt nochmehr.
"Im Kontext der RADIUS-Terminologie wird statt des Begriffs „Authenticator“ der Begriff Network Access Server (NAS) verwendet. Einwählende Computer betrachten den NAS als Server. Aus der Sicht des RADIUS-Servers ist der NAS hingegen ein Client."
Wenn ich das also richtig interpretiere, dann ist damit folgendes gemeint:
Debian Host im LAN<------------->Switch mit 802.1X Port<---------------------->Client
=Freeradius-Server..............................=NAS...............................................=802.1X Supplicant
Etwas einfacher ginge es wenn du auf dem Winblows AD direkt den NPS (Network Policy Server) startest. Du sparst dir das Einklinken
des Debian Radius via LDAP ans AD. Microsoft NPS ist nix anderes als ein simpler Radius Dienst.
Ooops, ich hätte erwähnen sollen dass es sich bei meinem AD um samba4 handelt, also kein Window$des Debian Radius via LDAP ans AD. Microsoft NPS ist nix anderes als ein simpler Radius Dienst.
> Wo würde dann aber die Zuordnung erfolgen, welcher User zu welchem VLAN zugeordnet werden soll?
Immer da wo der User mit seinen Credentials registriert ist. Bei dir dann im AD natürlich wenn du dort alle User verwaltest !
Wenn du es zweigeteilt machst fragt der FreeRadius über LDAP nur den User an beim AD, spricht aber Radius mit dem .1x
Client.
Mit NPS macht Windows das dann direkt über die AD Datenbank.
Das habe ich jetzt nicht verstanden. Ich meinte jetzt nicht, wo der Abgleich gemacht wird, ob der User Max Mustermann sich korrekt authentifiziert hat, sondern: wo trage ich diese dynamische Zuordnung des VLANs anhand dem angemeldeten User ein? Genau dafür interessiere mich nämlich. Ich würde gerne erreichen, dass sich ein User per 802.1X anmelden muss, und anhand seinem Login bekommt er dann automatisch die VLAN-ID, zu der er gehört. Wird das also im Falle das ich Samba4 als AD verwende, dort im AD als irgendein Attribut das gespeichert?Immer da wo der User mit seinen Credentials registriert ist. Bei dir dann im AD natürlich wenn du dort alle User verwaltest !
Wenn du es zweigeteilt machst fragt der FreeRadius über LDAP nur den User an beim AD, spricht aber Radius mit dem .1x
Client.
Mit NPS macht Windows das dann direkt über die AD Datenbank.
Fast richtig.... Dazwischen ist dann noch der LDAP über den der FreeRadius die AD User und die VLAN Credentials am AD
abfragt. Du verwaltest ja die User zentral im AD und willst das logischerweise ja nicht 2mal tun.
Der LDAP-Server läuft doch auf der Debian-Kiste, auf der auch samba4 (mein ActiveDirectory) laufen wird, oder nicht? Ich dachte, das ist Bestandteil von samba4's AD...korrigier mich bitte falls ich falsch liegen sollte.abfragt. Du verwaltest ja die User zentral im AD und willst das logischerweise ja nicht 2mal tun.
Bitte nicht hauen, aber mir ist immer noch unklar, ob ich mit den SG200-Switche mein Vorhaben realisieren kann, oder ob das schlichtweg nicht funktionieren kann weil die SG200-Modelle diese dynamische Zuordnung ins VLAN nicht können, nachdem sich ein User per 802.1X authentifiziert hat? Oder reicht es, wenn der Freeradiusserver auf der Debiankiste das evtl. machen kann, und diese Information durch dieses tunneling-Gedöns wieder an den SG200 antwortet, so daß der SG200 daraufhin den besagten Port in das entsprechende VLAN packt?
Danke für die ausführliche Anleitung!
Ich frage mich allerdings, wie es um die Ausfallsicherheit eines solchen Setups bestellt ist. Was passiert mit dem Switch, wenn der RADIUS-Server mal down ist? Steht dann das Netzwerk? Was passiert mit bereits authentifizierten supplicants (z.B. Servern)? Verlieren die ihre VLAN-Zuordnung und landen im Default VLAN? Oder werden die gleich ganz gekappt? Und was ist mit supplicants, die sich neu authentifizieren wollen (z.B. neuer Client wird am Switch eingestöpselt)?
Gibt es da nicht auch ein Henne-Ei-Problem? Der Host, auf dem der RADIUS-Server läuft, muss ja erst eine Netzwerk-Konnektivität zum Switch aufbauen. Wie geht das, wenn der Switch den RADIUS-Host gar nicht authentifizieren kann und der Host somit keine Verbindung zum Switch aufbauen kann?
Oder denke ich mal wieder viel zu kompliziert?
Ich frage mich allerdings, wie es um die Ausfallsicherheit eines solchen Setups bestellt ist. Was passiert mit dem Switch, wenn der RADIUS-Server mal down ist? Steht dann das Netzwerk? Was passiert mit bereits authentifizierten supplicants (z.B. Servern)? Verlieren die ihre VLAN-Zuordnung und landen im Default VLAN? Oder werden die gleich ganz gekappt? Und was ist mit supplicants, die sich neu authentifizieren wollen (z.B. neuer Client wird am Switch eingestöpselt)?
Gibt es da nicht auch ein Henne-Ei-Problem? Der Host, auf dem der RADIUS-Server läuft, muss ja erst eine Netzwerk-Konnektivität zum Switch aufbauen. Wie geht das, wenn der Switch den RADIUS-Host gar nicht authentifizieren kann und der Host somit keine Verbindung zum Switch aufbauen kann?
Oder denke ich mal wieder viel zu kompliziert?
Ja, ich merks schon Okay, Server ohne 802.1x und mit statischen IPs. Das war der Fehler in meinem Gedankenexperiment - ich bin davon ausgegangen, dass sich auch die Server authentifizieren, was natürlich unnötig ist.
Danke fürs Geraderücken!
Hallo,
lässt sich diese Lösung auch auf WLAN mit cAP und CAPsMAN übertragen?
Das Thema hatten wir Anfang des Jahres hier mal diskutiert. Damals ging es nicht
Vielleicht geht es ja jetzt.
lässt sich diese Lösung auch auf WLAN mit cAP und CAPsMAN übertragen?
Das Thema hatten wir Anfang des Jahres hier mal diskutiert. Damals ging es nicht
Vielleicht geht es ja jetzt.
Aber natürlich! Klappt fehlerlos und mit der vollständigen Radius Lösung in der Router OS Ver. ab 7.3 nun auch umfassend ohne externen Radius! 😉
Dann werde ich das mal in den nächsten Tagen testen. 😅, allerdings mit externem Radius.Bisher ist eine Kombi mit (a) Name/Passwort und (b) MAC (für nicht 802.1x-Clients), an der fehlenden Übermittlung der MAC an den Radius gescheitert.
Ich werde es testen und berichten 😁
Danke für deinen Beitrag aqui.
Nein, daran habe ich leider nicht gedacht. Werde ich aber morgen nachholen.
Nach dieser Anleitung habe ich auch gearbeitet. Fand es nur passender in diesem Thread zu schreiben.
Zur Ergänzung:
Am Catalysten klappt die MAC Authentifizierung.
Sobald ich in Windows 10 den Service aktiviere und alle Einstellungen gemäß deiner Anleitung konfiguriere,
klappt es leider nicht.
Also mit Benutzernamen und Passwort Authntifizierung bekomme ich keine Verbindung zustande.
Ich habe meine Konfig überprüft und konte bis jetzt keinen Fehler entdecken.
Hier mal einen Auszug aus dem freeradius Debug:
Catalyst Debug:
Ich habe genügend Passwort Kombinationen versucht. Immer das gleiche.
Im DaloRadius: Wenn ich einen User Anlege und dass Passwort vergebe, habe ich auch alle möglichkeiten versucht:
Cleartext-Password
NT-Password
MD5
SHA1
User
Crypt
Nichts hat geholfen.
Ich hoffe du aqui oder ein anderes nettes und erfahrenes Forenmitglied kann helfen.
Sprich du hast mit tcpdump -i eth0 port 1812 am Server generell mal gecheckt ob dort überhaupt Radius Pakete vom Switch eingehen??
Nein, daran habe ich leider nicht gedacht. Werde ich aber morgen nachholen.
Übrigens gibt es im Forum eine Modernisierung für das FreeRadius Setup: 😉
Freeradius Management mit WebGUI
Freeradius Management mit WebGUI
Nach dieser Anleitung habe ich auch gearbeitet. Fand es nur passender in diesem Thread zu schreiben.
Zur Ergänzung:
Am Catalysten klappt die MAC Authentifizierung.
Sobald ich in Windows 10 den Service aktiviere und alle Einstellungen gemäß deiner Anleitung konfiguriere,
klappt es leider nicht.
Also mit Benutzernamen und Passwort Authntifizierung bekomme ich keine Verbindung zustande.
Ich habe meine Konfig überprüft und konte bis jetzt keinen Fehler entdecken.
Hier mal einen Auszug aus dem freeradius Debug:
Catalyst Debug:
Switch#
May 23 18:57:18.650: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/14, changed state to down
May 23 18:57:20.655: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/14, changed state to up
May 23 18:57:24.254: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/14, changed state to down
May 23 18:57:25.252: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/14, changed state to down
May 23 18:57:26.376: AAA/AUTHEN/8021X (00000000): Pick method list 'default'
May 23 18:57:26.376: AAA/AUTHEN(00000000): There is no General DBReply Method Index details may not be specified
May 23 18:57:26.376: RADIUS/ENCODE(00000000):Orig. component type = Invalid
May 23 18:57:26.376: RADIUS(00000000): Config NAS IP: 192.168.178.254
May 23 18:57:26.376: RADIUS(00000000): Config NAS IPv6: ::
May 23 18:57:26.376: RADIUS(00000000): sending
May 23 18:57:26.376: RADIUS: Message Authenticator encoded
May 23 18:57:26.376: RADIUS(00000000): Send Access-Request to 192.168.178.72:1812 onvrf(0) id 1645/212, len 261
May 23 18:57:26.376: RADIUS: authenticator F2 E3 F2 56 30 0A F1 82 - E3 74 95 E9 4E 1F EF 49
May 23 18:57:26.376: RADIUS: User-Name [1] 14 "e4115b2c0e3b"
May 23 18:57:26.376: RADIUS: User-Password [2] 18 *
May 23 18:57:26.384: RADIUS: Service-Type [6] 6 Call Check [10]
May 23 18:57:26.384: RADIUS: Vendor, Cisco [26] 31
May 23 18:57:26.384: RADIUS: Cisco AVpair [1] 25 "service-type=Call Check"
May 23 18:57:26.384: RADIUS: Framed-MTU [12] 6 1500
May 23 18:57:26.384: RADIUS: Called-Station-Id [30] 19 "A4-4C-11-19-F8-0E"
May 23 18:57:26.384: RADIUS: Calling-Station-Id [31] 19 "E4-11-5B-2C-0E-3B"
May 23 18:57:26.384: RADIUS: Message-Authenticato[80] 18
May 23 18:57:26.384: RADIUS: 56 BA 1B 76 50 25 20 14 9D 1D 24 29 7F DF 28 85 [ VvP? $)(]
May 23 18:57:26.384: RADIUS: EAP-Key-Name [102] 2 *
May 23 18:57:26.384: RADIUS: Vendor, Cisco [26] 49
May 23 18:57:26.384: RADIUS: Cisco AVpair [1] 43 "audit-session-id=C0A8B2FE0000003A0A0B8833"
May 23 18:57:26.384: RADIUS: Vendor, Cisco [26] 18
May 23 18:57:26.384: RADIUS: Cisco AVpair [1] 12 "method=mab"
May 23 18:57:26.384: RADIUS: NAS-IP-Address [4] 6 192.168.178.254
May 23 18:57:26.384: RADIUS: NAS-Port-Id [87] 23 "GigabitEthernet1/0/14"
May 23 18:57:26.384: RADIUS: NAS-Port-Type [61] 6 Ethernet [15]
May 23 18:57:26.384: RADIUS: NAS-Port [5] 6 50114
May 23 18:57:26.384: RADIUS(00000000): Sending a IPv4 Radius Packet
May 23 18:57:26.384: RADIUS(00000000): Started 5 sec timeout
May 23 18:57:26.393: AAA/AUTHEN/8021X (00000000): Pick method list 'default'
May 23 18:57:26.393: AAA/AUTHEN(00000000): There is no General DBReply Method Index details may not be specified
May 23 18:57:26.393: RADIUS/ENCODE(00000000):Orig. component type = Invalid
May 23 18:57:26.393: RADIUS(00000000): Config NAS IP: 192.168.178.254
May 23 18:57:26.393: RADIUS(00000000): Config NAS IPv6: ::
May 23 18:57:26.393: RADIUS(00000000): sending
May 23 18:57:26.393: RADIUS: Message Authenticator encoded
May 23 18:57:26.393: RADIUS(00000000): Send Access-Request to 192.168.178.72:1812 onvrf(0) id 1645/213, len 254
May 23 18:57:26.393: RADIUS: authenticator BB BF 16 EF DA 06 AD 33 - F4 E8 84 0B 2D 13 8C 74
May 23 18:57:26.393: RADIUS: User-Name [1] 11 "christian"
May 23 18:57:26.393: RADIUS: Service-Type [6] 6 Framed [2]
May 23 18:57:26.393: RADIUS: Vendor, Cisco [26] 27
May 23 18:57:26.393: RADIUS: Cisco AVpair [1] 21 "service-type=Framed"
May 23 18:57:26.393: RADIUS: Framed-MTU [12] 6 1500
May 23 18:57:26.393: RADIUS: Called-Station-Id [30] 19 "A4-4C-11-19-F8-0E"
May 23 18:57:26.401: RADIUS: Calling-Station-Id [31] 19 "E4-11-5B-2C-0E-3B"
May 23 18:57:26.401: RADIUS: EAP-Message [79] 16
May 23 18:57:26.401: RADIUS: 02 01 00 0E 01 63 68 72 69 73 74 69 61 6E [ christian]
May 23 18:57:26.401: RADIUS: Message-Authenticato[80] 18
May 23 18:57:26.401: RADIUS: BB 83 6B 2B FF BB 10 13 B8 09 E9 F4 03 6D 53 B6 [ k+mS]
May 23 18:57:26.401: RADIUS: EAP-Key-Name [102] 2 *
May 23 18:57:26.401: RADIUS: Vendor, Cisco [26] 49
May 23 18:57:26.401: RADIUS: Cisco AVpair [1] 43 "audit-session-id=C0A8B2FE0000003A0A0B8833"
May 23 18:57:26.401: RADIUS: Vendor, Cisco [26] 20
May 23 18:57:26.401: RADIUS: Cisco AVpair [1] 14 "method=dot1x"
May 23 18:57:26.401: RADIUS: NAS-IP-Address [4] 6 192.168.178.254
May 23 18:57:26.401: RADIUS: NAS-Port-Id [87] 23 "GigabitEthernet1/0/14"
May 23 18:57:26.401: RADIUS: NAS-Port-Type [61] 6 Ethernet [15]
May 23 18:57:26.401: RADIUS: NAS-Port [5] 6 50114
May 23 18:57:26.401: RADIUS(00000000): Sending a IPv4 Radius Packet
May 23 18:57:26.401: RADIUS(00000000): Started 5 sec timeout
May 23 18:57:26.409: RADIUS: Received from id 1645/213 192.168.178.72:1812, Access-Challenge, len 80
May 23 18:57:26.409: RADIUS: authenticator 57 F3 42 2B 84 B0 5C C4 - 24 54 16 AA A8 D7 1A D7
May 23 18:57:26.409: RADIUS: EAP-Message [79] 24
May 23 18:57:26.409: RADIUS: 01 02 00 16 04 10 BD 4D 93 6D D9 E3 CB ED AF 67 43 3A B1 19 1C B3 [ MmgC:]
May 23 18:57:26.409: RADIUS: Message-Authenticato[80] 18
May 23 18:57:26.409: RADIUS: 38 19 56 5C D7 BF BA 66 CA 30 53 5A 0E 52 4C A0 [ 8V\f0SZRL]
May 23 18:57:26.409: RADIUS: State [24] 18
May 23 18:57:26.409: RADIUS: 74 D0 F8 E9 74 D2 FC E4 B5 5A 95 E6 EE 28 70 23 [ ttZ(p#]
May 23 18:57:26.409: RADIUS(00000000): Received from id 1645/213
May 23 18:57:26.409: RADIUS/DECODE: EAP-Message fragments, 22, total 22 bytes
May 23 18:57:26.418: AAA/AUTHEN/8021X (00000000): Pick method list 'default'
May 23 18:57:26.418: AAA/AUTHEN(00000000): There is no General DBReply Method Index details may not be specified
May 23 18:57:26.418: RADIUS/ENCODE(00000000):Orig. component type = Invalid
May 23 18:57:26.418: RADIUS(00000000): Config NAS IP: 192.168.178.254
May 23 18:57:26.418: RADIUS(00000000): Config NAS IPv6: ::
May 23 18:57:26.418: RADIUS(00000000): sending
May 23 18:57:26.418: RADIUS: Message Authenticator encoded
May 23 18:57:26.418: RADIUS(00000000): Send Access-Request to 192.168.178.72:1812 onvrf(0) id 1645/214, len 264
May 23 18:57:26.418: RADIUS: authenticator D6 2C 69 81 E1 15 AC 45 - B1 9D F3 21 84 E2 7E 22
May 23 18:57:26.418: RADIUS: User-Name [1] 11 "christian"
May 23 18:57:26.418: RADIUS: Service-Type [6] 6 Framed [2]
May 23 18:57:26.418: RADIUS: Vendor, Cisco [26] 27
May 23 18:57:26.418: RADIUS: Cisco AVpair [1] 21 "service-type=Framed"
May 23 18:57:26.418: RADIUS: Framed-MTU [12] 6 1500
May 23 18:57:26.418: RADIUS: Called-Station-Id [30] 19 "A4-4C-11-19-F8-0E"
May 23 18:57:26.418: RADIUS: Calling-Station-Id [31] 19 "E4-11-5B-2C-0E-3B"
May 23 18:57:26.418: RADIUS: EAP-Message [79] 8
May 23 18:57:26.418: RADIUS: 02 02 00 06 03 19
May 23 18:57:26.418: RADIUS: Message-Authenticato[80] 18
May 23 18:57:26.418: RADIUS: F9 4F 3F 79 E2 04 A1 10 7C 4A 15 E4 EC 4F 6C 4B [ O?y|JOlK]
May 23 18:57:26.418: RADIUS: EAP-Key-Name [102] 2 *
May 23 18:57:26.418: RADIUS: Vendor, Cisco [26] 49
May 23 18:57:26.418: RADIUS: Cisco AVpair [1] 43 "audit-session-id=C0A8B2FE0000003A0A0B8833"
May 23 18:57:26.418: RADIUS: Vendor, Cisco [26] 20
May 23 18:57:26.418: RADIUS: Cisco AVpair [1] 14 "method=dot1x"
May 23 18:57:26.426: RADIUS: NAS-IP-Address [4] 6 192.168.178.254
May 23 18:57:26.426: RADIUS: NAS-Port-Id [87] 23 "GigabitEthernet1/0/14"
May 23 18:57:26.426: RADIUS: NAS-Port-Type [61] 6 Ethernet [15]
May 23 18:57:26.426: RADIUS: NAS-Port [5] 6 50114
May 23 18:57:26.426: RADIUS: State [24] 18
May 23 18:57:26.426: RADIUS: 74 D0 F8 E9 74 D2 FC E4 B5 5A 95 E6 EE 28 70 23 [ ttZ(p#]
May 23 18:57:26.426: RADIUS(00000000): Sending a IPv4 Radius Packet
May 23 18:57:26.426: RADIUS(00000000): Started 5 sec timeout
May 23 18:57:27.399: RADIUS: Received from id 1645/212 192.168.178.72:1812, Access-Reject, len 20
May 23 18:57:27.399: RADIUS: authenticator 1A 7C AC 90 5F 38 51 73 - D8 C9 ED 14 BE CF 3E E9
May 23 18:57:27.399: RADIUS(00000000): Received from id 1645/212
May 23 18:57:27.399: %MAB-5-FAIL: Authentication failed for client (e411.5b2c.0e3b) on Interface Gi1/0/14 AuditSessionID C0A8B2FE0000003A0A0B8833
May 23 18:57:27.433: RADIUS: Received from id 1645/214 192.168.178.72:1812, Access-Reject, len 44
May 23 18:57:27.433: RADIUS: authenticator D8 7B 18 A2 1C 30 4A F7 - F4 18 3B 9A 43 A6 DB 10
May 23 18:57:27.433: RADIUS: EAP-Message [79] 6
May 23 18:57:27.433: RADIUS: 04 02 00 04
May 23 18:57:27.433: RADIUS: Message-Authenticato[80] 18
May 23 18:57:27.433: RADIUS: 20 C0 16 D8 BD 60 BE 16 A9 B9 45 9C 9A E5 72 C0 [ `Er]
May 23 18:57:27.433: RADIUS(00000000): Received from id 1645/214
May 23 18:57:27.433: RADIUS/DECODE: EAP-Message fragments, 4, total 4 bytes
May 23 18:57:27.433: %DOT1X-5-FAIL: Authentication failed for client (e411.5b2c.0e3b) on Interface Gi1/0/14 AuditSessionID C0A8B2FE0000003A0A0B8833
May 23 18:57:28.322: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/14, changed state to up
May 23 18:57:29.328: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/14, changed state to up
Switch#
Ich habe genügend Passwort Kombinationen versucht. Immer das gleiche.
Im DaloRadius: Wenn ich einen User Anlege und dass Passwort vergebe, habe ich auch alle möglichkeiten versucht:
Cleartext-Password
NT-Password
MD5
SHA1
User
Crypt
Nichts hat geholfen.
Ich hoffe du aqui oder ein anderes nettes und erfahrenes Forenmitglied kann helfen.
Max 500 Zeichen sind erlaubt. Deshalb ein zweiter Post.
freeradius Debug:
Diese Zeile im Catalyst Debug irritiert mich ein bisschen:
Das ist die MAC vom Notebook dass ich Authentifizieren möchte.
Ich habe aber den Dienst für die dot1x Auth. gestartet und an der NIC auch eingerichtet.
Weshalb überträgt er dann die MAC als User Namen?
Ich komm nicht dahinter.
Nach weiteren Authentifizierungs Versuchen erscheint im Debug des Radius aus folgendes:
freeradius Debug:
Ready to process requests
(0) Received Access-Request Id 212 from 192.168.178.254:1645 to 192.168.178.72:1812 length 261
(0) User-Name = "e4115b2c0e3b"
(0) User-Password = "e4115b2c0e3b"
(0) Service-Type = Call-Check
(0) Cisco-AVPair = "service-type=Call Check"
(0) Framed-MTU = 1500
(0) Called-Station-Id = "A4-4C-11-19-F8-0E"
(0) Calling-Station-Id = "E4-11-5B-2C-0E-3B"
(0) Message-Authenticator = 0x56ba1b76502520149d1d24297fdf2885
(0) Cisco-AVPair = "audit-session-id=C0A8B2FE0000003A0A0B8833"
(0) Cisco-AVPair = "method=mab"
(0) NAS-IP-Address = 192.168.178.254
(0) NAS-Port-Id = "GigabitEthernet1/0/14"
(0) NAS-Port-Type = Ethernet
(0) NAS-Port = 50114
(0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(0) authorize {
(0) policy filter_username {
(0) if (&User-Name) {
(0) if (&User-Name) -> TRUE
(0) if (&User-Name) {
(0) if (&User-Name =~ / /) {
(0) if (&User-Name =~ / /) -> FALSE
(0) if (&User-Name =~ /@[^@]*@/ ) {
(0) if (&User-Name =~ /@[^@]*@/ ) -> FALSE
(0) if (&User-Name =~ /\.\./ ) {
(0) if (&User-Name =~ /\.\./ ) -> FALSE
(0) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) {
(0) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) -> FALSE
(0) if (&User-Name =~ /\.$/) {
(0) if (&User-Name =~ /\.$/) -> FALSE
(0) if (&User-Name =~ /@\./) {
(0) if (&User-Name =~ /@\./) -> FALSE
(0) } # if (&User-Name) = notfound
(0) } # policy filter_username = notfound
(0) [preprocess] = ok
(0) [chap] = noop
(0) [mschap] = noop
(0) [digest] = noop
(0) suffix: Checking for suffix after "@"
(0) suffix: No '@' in User-Name = "e4115b2c0e3b", looking up realm NULL
(0) suffix: No such realm "NULL"
(0) [suffix] = noop
(0) eap: No EAP-Message, not doing EAP
(0) [eap] = noop
(0) [files] = noop
(0) sql: EXPAND %{User-Name}
(0) sql: --> e4115b2c0e3b
(0) sql: SQL-User-Name set to 'e4115b2c0e3b'
rlm_sql (sql): Reserved connection (1)
(0) sql: EXPAND SELECT id, username, attribute, value, op FROM radcheck WHERE username = '%{SQL-User-Name}' ORDER BY id
(0) sql: --> SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'e4115b2c0e3b' ORDER BY id
(0) sql: Executing select query: SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'e4115b2c0e3b' ORDER BY id
(0) sql: WARNING: User not found in radcheck table.
(0) sql: EXPAND SELECT groupname FROM radusergroup WHERE username = '%{SQL-User-Name}' ORDER BY priority
(0) sql: --> SELECT groupname FROM radusergroup WHERE username = 'e4115b2c0e3b' ORDER BY priority
(0) sql: Executing select query: SELECT groupname FROM radusergroup WHERE username = 'e4115b2c0e3b' ORDER BY priority
(0) sql: User not found in any groups
rlm_sql (sql): Released connection (1)
Need more connections to reach 10 spares
rlm_sql (sql): Opening additional connection (6), 1 of 26 pending slots used
rlm_sql_mysql: Starting connect to MySQL server
rlm_sql_mysql: Connected to database 'radiusdb' on Localhost via UNIX socket, server version 5.5.5-10.6.12-MariaDB-0ubuntu0.22.04.1, protocol version 10
(0) [sql] = notfound
(0) [expiration] = noop
(0) [logintime] = noop
(0) pap: WARNING: No "known good" password found for the user. Not setting Auth-Type
(0) pap: WARNING: Authentication will fail unless a "known good" password is available
(0) [pap] = noop
(0) } # authorize = ok
(0) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject
(0) Failed to authenticate the user
(0) Using Post-Auth-Type Reject
(0) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(0) Post-Auth-Type REJECT {
(0) sql: EXPAND .query
(0) sql: --> .query
(0) sql: Using query template 'query'
rlm_sql (sql): Reserved connection (2)
(0) sql: EXPAND %{User-Name}
(0) sql: --> e4115b2c0e3b
(0) sql: SQL-User-Name set to 'e4115b2c0e3b'
(0) sql: EXPAND INSERT INTO radpostauth (username, pass, reply, authdate ) VALUES ( '%{SQL-User-Name}', '%{%{User-Password}:-%{Chap-Password}}', '%{reply:Packet-Type}', '%S.%M' )
(0) sql: --> INSERT INTO radpostauth (username, pass, reply, authdate ) VALUES ( 'e4115b2c0e3b', 'e4115b2c0e3b', 'Access-Reject', '2023-05-23 18:57:26.395295' )
(0) sql: Executing query: INSERT INTO radpostauth (username, pass, reply, authdate ) VALUES ( 'e4115b2c0e3b', 'e4115b2c0e3b', 'Access-Reject', '2023-05-23 18:57:26.395295' )
(0) sql: SQL query returned: success
(0) sql: 1 record(s) updated
rlm_sql (sql): Released connection (2)
(0) [sql] = ok
(0) attr_filter.access_reject: EXPAND %{User-Name}
(0) attr_filter.access_reject: --> e4115b2c0e3b
(0) attr_filter.access_reject: Matched entry DEFAULT at line 11
(0) [attr_filter.access_reject] = updated
(0) [eap] = noop
(0) policy remove_reply_message_if_eap {
(0) if (&reply:EAP-Message && &reply:Reply-Message) {
(0) if (&reply:EAP-Message && &reply:Reply-Message) -> FALSE
(0) else {
(0) [noop] = noop
(0) } # else = noop
(0) } # policy remove_reply_message_if_eap = noop
(0) } # Post-Auth-Type REJECT = updated
(0) Delaying response for 1.000000 seconds
Waking up in 0.3 seconds.
(1) Received Access-Request Id 213 from 192.168.178.254:1645 to 192.168.178.72:1812 length 254
(1) User-Name = "christian"
(1) Service-Type = Framed-User
(1) Cisco-AVPair = "service-type=Framed"
(1) Framed-MTU = 1500
(1) Called-Station-Id = "A4-4C-11-19-F8-0E"
(1) Calling-Station-Id = "E4-11-5B-2C-0E-3B"
(1) EAP-Message = 0x0201000e0163687269737469616e
(1) Message-Authenticator = 0xbb836b2bffbb1013b809e9f4036d53b6
(1) Cisco-AVPair = "audit-session-id=C0A8B2FE0000003A0A0B8833"
(1) Cisco-AVPair = "method=dot1x"
(1) NAS-IP-Address = 192.168.178.254
(1) NAS-Port-Id = "GigabitEthernet1/0/14"
(1) NAS-Port-Type = Ethernet
(1) NAS-Port = 50114
(1) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(1) authorize {
(1) policy filter_username {
(1) if (&User-Name) {
(1) if (&User-Name) -> TRUE
(1) if (&User-Name) {
(1) if (&User-Name =~ / /) {
(1) if (&User-Name =~ / /) -> FALSE
(1) if (&User-Name =~ /@[^@]*@/ ) {
(1) if (&User-Name =~ /@[^@]*@/ ) -> FALSE
(1) if (&User-Name =~ /\.\./ ) {
(1) if (&User-Name =~ /\.\./ ) -> FALSE
(1) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) {
(1) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) -> FALSE
(1) if (&User-Name =~ /\.$/) {
(1) if (&User-Name =~ /\.$/) -> FALSE
(1) if (&User-Name =~ /@\./) {
(1) if (&User-Name =~ /@\./) -> FALSE
(1) } # if (&User-Name) = notfound
(1) } # policy filter_username = notfound
(1) [preprocess] = ok
(1) [chap] = noop
(1) [mschap] = noop
(1) [digest] = noop
(1) suffix: Checking for suffix after "@"
(1) suffix: No '@' in User-Name = "christian", looking up realm NULL
(1) suffix: No such realm "NULL"
(1) [suffix] = noop
(1) eap: Peer sent EAP Response (code 2) ID 1 length 14
(1) eap: EAP-Identity reply, returning 'ok' so we can short-circuit the rest of authorize
(1) [eap] = ok
(1) } # authorize = ok
(1) Found Auth-Type = eap
(1) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(1) authenticate {
(1) eap: Peer sent packet with method EAP Identity (1)
(1) eap: Calling submodule eap_md5 to process data
(1) eap_md5: Issuing MD5 Challenge
(1) eap: Sending EAP Request (code 1) ID 2 length 22
(1) eap: EAP session adding &reply:State = 0x74d0f8e974d2fce4
(1) [eap] = handled
(1) } # authenticate = handled
(1) Using Post-Auth-Type Challenge
(1) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(1) Challenge { ... } # empty sub-section is ignored
(1) Sent Access-Challenge Id 213 from 192.168.178.72:1812 to 192.168.178.254:1645 length 80
(1) EAP-Message = 0x010200160410bd4d936dd9e3cbedaf67433ab1191cb3
(1) Message-Authenticator = 0x00000000000000000000000000000000
(1) State = 0x74d0f8e974d2fce4b55a95e6ee287023
(1) Finished request
Waking up in 0.3 seconds.
(2) Received Access-Request Id 214 from 192.168.178.254:1645 to 192.168.178.72:1812 length 264
(2) User-Name = "christian"
(2) Service-Type = Framed-User
(2) Cisco-AVPair = "service-type=Framed"
(2) Framed-MTU = 1500
(2) Called-Station-Id = "A4-4C-11-19-F8-0E"
(2) Calling-Station-Id = "E4-11-5B-2C-0E-3B"
(2) EAP-Message = 0x020200060319
(2) Message-Authenticator = 0xf94f3f79e204a1107c4a15e4ec4f6c4b
(2) Cisco-AVPair = "audit-session-id=C0A8B2FE0000003A0A0B8833"
(2) Cisco-AVPair = "method=dot1x"
(2) NAS-IP-Address = 192.168.178.254
(2) NAS-Port-Id = "GigabitEthernet1/0/14"
(2) NAS-Port-Type = Ethernet
(2) NAS-Port = 50114
(2) State = 0x74d0f8e974d2fce4b55a95e6ee287023
(2) session-state: No cached attributes
(2) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(2) authorize {
(2) policy filter_username {
(2) if (&User-Name) {
(2) if (&User-Name) -> TRUE
(2) if (&User-Name) {
(2) if (&User-Name =~ / /) {
(2) if (&User-Name =~ / /) -> FALSE
(2) if (&User-Name =~ /@[^@]*@/ ) {
(2) if (&User-Name =~ /@[^@]*@/ ) -> FALSE
(2) if (&User-Name =~ /\.\./ ) {
(2) if (&User-Name =~ /\.\./ ) -> FALSE
(2) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) {
(2) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) -> FALSE
(2) if (&User-Name =~ /\.$/) {
(2) if (&User-Name =~ /\.$/) -> FALSE
(2) if (&User-Name =~ /@\./) {
(2) if (&User-Name =~ /@\./) -> FALSE
(2) } # if (&User-Name) = notfound
(2) } # policy filter_username = notfound
(2) [preprocess] = ok
(2) [chap] = noop
(2) [mschap] = noop
(2) [digest] = noop
(2) suffix: Checking for suffix after "@"
(2) suffix: No '@' in User-Name = "christian", looking up realm NULL
(2) suffix: No such realm "NULL"
(2) [suffix] = noop
(2) eap: Peer sent EAP Response (code 2) ID 2 length 6
(2) eap: No EAP Start, assuming it's an on-going EAP conversation
(2) [eap] = updated
(2) [files] = noop
(2) sql: EXPAND %{User-Name}
(2) sql: --> christian
(2) sql: SQL-User-Name set to 'christian'
rlm_sql (sql): Reserved connection (3)
(2) sql: EXPAND SELECT id, username, attribute, value, op FROM radcheck WHERE username = '%{SQL-User-Name}' ORDER BY id
(2) sql: --> SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'christian' ORDER BY id
(2) sql: Executing select query: SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'christian' ORDER BY id
(2) sql: User found in radcheck table
(2) sql: Conditional check items matched, merging assignment check items
(2) sql: MD5-Password := 0x4446354445444543334532333939453142373933323837314143413537383939
(2) sql: EXPAND SELECT id, username, attribute, value, op FROM radreply WHERE username = '%{SQL-User-Name}' ORDER BY id
(2) sql: --> SELECT id, username, attribute, value, op FROM radreply WHERE username = 'christian' ORDER BY id
(2) sql: Executing select query: SELECT id, username, attribute, value, op FROM radreply WHERE username = 'christian' ORDER BY id
(2) sql: EXPAND SELECT groupname FROM radusergroup WHERE username = '%{SQL-User-Name}' ORDER BY priority
(2) sql: --> SELECT groupname FROM radusergroup WHERE username = 'christian' ORDER BY priority
(2) sql: Executing select query: SELECT groupname FROM radusergroup WHERE username = 'christian' ORDER BY priority
(2) sql: User found in the group table
(2) sql: EXPAND SELECT id, groupname, attribute, Value, op FROM radgroupcheck WHERE groupname = '%{SQL-Group}' ORDER BY id
(2) sql: --> SELECT id, groupname, attribute, Value, op FROM radgroupcheck WHERE groupname = 'daloRADIUS-Disabled-Users' ORDER BY id
(2) sql: Executing select query: SELECT id, groupname, attribute, Value, op FROM radgroupcheck WHERE groupname = 'daloRADIUS-Disabled-Users' ORDER BY id
(2) sql: Group "daloRADIUS-Disabled-Users": Conditional check items matched
(2) sql: Group "daloRADIUS-Disabled-Users": Merging assignment check items
(2) sql: Auth-Type := Reject
(2) sql: EXPAND SELECT id, groupname, attribute, value, op FROM radgroupreply WHERE groupname = '%{SQL-Group}' ORDER BY id
(2) sql: --> SELECT id, groupname, attribute, value, op FROM radgroupreply WHERE groupname = 'daloRADIUS-Disabled-Users' ORDER BY id
(2) sql: Executing select query: SELECT id, groupname, attribute, value, op FROM radgroupreply WHERE groupname = 'daloRADIUS-Disabled-Users' ORDER BY id
(2) sql: Group "daloRADIUS-Disabled-Users": Merging reply items
rlm_sql (sql): Released connection (3)
(2) [sql] = ok
(2) [expiration] = noop
(2) [logintime] = noop
(2) pap: Normalizing MD5-Password from hex encoding, 32 bytes -> 16 bytes
(2) pap: WARNING: Auth-Type already set. Not setting to PAP
(2) [pap] = noop
(2) } # authorize = updated
(2) Found Auth-Type = Reject
(2) Auth-Type = Reject, rejecting user
(2) Failed to authenticate the user
(2) Using Post-Auth-Type Reject
(2) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(2) Post-Auth-Type REJECT {
(2) sql: EXPAND .query
(2) sql: --> .query
(2) sql: Using query template 'query'
rlm_sql (sql): Reserved connection (4)
(2) sql: EXPAND %{User-Name}
(2) sql: --> christian
(2) sql: SQL-User-Name set to 'christian'
(2) sql: EXPAND INSERT INTO radpostauth (username, pass, reply, authdate ) VALUES ( '%{SQL-User-Name}', '%{%{User-Password}:-%{Chap-Password}}', '%{reply:Packet-Type}', '%S.%M' )
(2) sql: --> INSERT INTO radpostauth (username, pass, reply, authdate ) VALUES ( 'christian', '', 'Access-Reject', '2023-05-23 18:57:26.434381' )
(2) sql: Executing query: INSERT INTO radpostauth (username, pass, reply, authdate ) VALUES ( 'christian', '', 'Access-Reject', '2023-05-23 18:57:26.434381' )
(2) sql: SQL query returned: success
(2) sql: 1 record(s) updated
rlm_sql (sql): Released connection (4)
(2) [sql] = ok
(2) attr_filter.access_reject: EXPAND %{User-Name}
(2) attr_filter.access_reject: --> christian
(2) attr_filter.access_reject: Matched entry DEFAULT at line 11
(2) [attr_filter.access_reject] = updated
(2) eap: Expiring EAP session with state 0x74d0f8e974d2fce4
(2) eap: Finished EAP session with state 0x74d0f8e974d2fce4
(2) eap: Previous EAP request found for state 0x74d0f8e974d2fce4, released from the list
(2) eap: Request was previously rejected, inserting EAP-Failure
(2) eap: Sending EAP Failure (code 4) ID 2 length 4
(2) [eap] = updated
(2) policy remove_reply_message_if_eap {
(2) if (&reply:EAP-Message && &reply:Reply-Message) {
(2) if (&reply:EAP-Message && &reply:Reply-Message) -> FALSE
(2) else {
(2) [noop] = noop
(2) } # else = noop
(2) } # policy remove_reply_message_if_eap = noop
(2) } # Post-Auth-Type REJECT = updated
(2) Delaying response for 1.000000 seconds
Waking up in 0.2 seconds.
Waking up in 0.6 seconds.
(0) Sending delayed response
(0) Sent Access-Reject Id 212 from 192.168.178.72:1812 to 192.168.178.254:1645 length 20
(2) Sending delayed response
(2) Sent Access-Reject Id 214 from 192.168.178.72:1812 to 192.168.178.254:1645 length 44
(2) EAP-Message = 0x04020004
(2) Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 3.9 seconds.
(0) Cleaning up request packet ID 212 with timestamp +14 due to cleanup_delay was reached
(1) Cleaning up request packet ID 213 with timestamp +14 due to cleanup_delay was reached
(2) Cleaning up request packet ID 214 with timestamp +14 due to cleanup_delay was reached
Ready to process requests
(3) Received Access-Request Id 215 from 192.168.178.254:1645 to 192.168.178.72:1812 length 261
(3) User-Name = "e4115b2c0e3b"
(3) User-Password = "e4115b2c0e3b"
(3) Service-Type = Call-Check
(3) Cisco-AVPair = "service-type=Call Check"
(3) Framed-MTU = 1500
(3) Called-Station-Id = "A4-4C-11-19-F8-0E"
(3) Calling-Station-Id = "E4-11-5B-2C-0E-3B"
(3) Message-Authenticator = 0x362ea4d10eb96541f3292c00d10d9c6e
(3) Cisco-AVPair = "audit-session-id=C0A8B2FE0000003A0A0B8833"
(3) Cisco-AVPair = "method=mab"
(3) NAS-IP-Address = 192.168.178.254
(3) NAS-Port-Id = "GigabitEthernet1/0/14"
(3) NAS-Port-Type = Ethernet
(3) NAS-Port = 50114
(3) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(3) authorize {
(3) policy filter_username {
(3) if (&User-Name) {
(3) if (&User-Name) -> TRUE
(3) if (&User-Name) {
(3) if (&User-Name =~ / /) {
(3) if (&User-Name =~ / /) -> FALSE
(3) if (&User-Name =~ /@[^@]*@/ ) {
(3) if (&User-Name =~ /@[^@]*@/ ) -> FALSE
(3) if (&User-Name =~ /\.\./ ) {
(3) if (&User-Name =~ /\.\./ ) -> FALSE
(3) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) {
(3) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) -> FALSE
(3) if (&User-Name =~ /\.$/) {
(3) if (&User-Name =~ /\.$/) -> FALSE
(3) if (&User-Name =~ /@\./) {
(3) if (&User-Name =~ /@\./) -> FALSE
(3) } # if (&User-Name) = notfound
(3) } # policy filter_username = notfound
(3) [preprocess] = ok
(3) [chap] = noop
(3) [mschap] = noop
(3) [digest] = noop
(3) suffix: Checking for suffix after "@"
(3) suffix: No '@' in User-Name = "e4115b2c0e3b", looking up realm NULL
(3) suffix: No such realm "NULL"
(3) [suffix] = noop
(3) eap: No EAP-Message, not doing EAP
(3) [eap] = noop
(3) [files] = noop
(3) sql: EXPAND %{User-Name}
(3) sql: --> e4115b2c0e3b
(3) sql: SQL-User-Name set to 'e4115b2c0e3b'
rlm_sql (sql): Reserved connection (0)
(3) sql: EXPAND SELECT id, username, attribute, value, op FROM radcheck WHERE username = '%{SQL-User-Name}' ORDER BY id
(3) sql: --> SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'e4115b2c0e3b' ORDER BY id
(3) sql: Executing select query: SELECT id, username, attribute, value, op FROM radcheck WHERE username = 'e4115b2c0e3b' ORDER BY id
(3) sql: WARNING: User not found in radcheck table.
(3) sql: EXPAND SELECT groupname FROM radusergroup WHERE username = '%{SQL-User-Name}' ORDER BY priority
(3) sql: --> SELECT groupname FROM radusergroup WHERE username = 'e4115b2c0e3b' ORDER BY priority
(3) sql: Executing select query: SELECT groupname FROM radusergroup WHERE username = 'e4115b2c0e3b' ORDER BY priority
(3) sql: User not found in any groups
rlm_sql (sql): Released connection (0)
Need more connections to reach 10 spares
rlm_sql (sql): Opening additional connection (7), 1 of 25 pending slots used
rlm_sql_mysql: Starting connect to MySQL server
rlm_sql_mysql: Connected to database 'radiusdb' on Localhost via UNIX socket, server version 5.5.5-10.6.12-MariaDB-0ubuntu0.22.04.1, protocol version 10
rlm_sql (sql): Closing expired connection (6) - Hit idle_timeout limit
rlm_sql_mysql: Socket destructor called, closing socket
rlm_sql (sql): Closing expired connection (5) - Hit idle_timeout limit
rlm_sql_mysql: Socket destructor called, closing socket
rlm_sql (sql): Closing expired connection (4) - Hit idle_timeout limit
rlm_sql_mysql: Socket destructor called, closing socket
rlm_sql (sql): Closing expired connection (3) - Hit idle_timeout limit
rlm_sql_mysql: Socket destructor called, closing socket
rlm_sql (sql): Closing expired connection (2) - Hit idle_timeout limit
rlm_sql_mysql: Socket destructor called, closing socket
rlm_sql (sql): You probably need to lower "min"
rlm_sql (sql): Closing expired connection (1) - Hit idle_timeout limit
rlm_sql_mysql: Socket destructor called, closing socket
(3) [sql] = notfound
(3) [expiration] = noop
(3) [logintime] = noop
(3) pap: WARNING: No "known good" password found for the user. Not setting Auth-Type
(3) pap: WARNING: Authentication will fail unless a "known good" password is available
(3) [pap] = noop
(3) } # authorize = ok
(3) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject
(3) Failed to authenticate the user
(3) Using Post-Auth-Type Reject
(3) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(3) Post-Auth-Type REJECT {
(3) sql: EXPAND .query
(3) sql: --> .query
(3) sql: Using query template 'query'
rlm_sql (sql): Reserved connection (0)
(3) sql: EXPAND %{User-Name}
(3) sql: --> e4115b2c0e3b
(3) sql: SQL-User-Name set to 'e4115b2c0e3b'
(3) sql: EXPAND INSERT INTO radpostauth (username, pass, reply, authdate ) VALUES ( '%{SQL-User-Name}', '%{%{User-Password}:-%{Chap-Password}}', '%{reply:Packet-Type}', '%S.%M' )
(3) sql: --> INSERT INTO radpostauth (username, pass, reply, authdate ) VALUES ( 'e4115b2c0e3b', 'e4115b2c0e3b', 'Access-Reject', '2023-05-23 18:58:28.182081' )
(3) sql: Executing query: INSERT INTO radpostauth (username, pass, reply, authdate ) VALUES ( 'e4115b2c0e3b', 'e4115b2c0e3b', 'Access-Reject', '2023-05-23 18:58:28.182081' )
(3) sql: SQL query returned: success
(3) sql: 1 record(s) updated
rlm_sql (sql): Released connection (0)
(3) [sql] = ok
(3) attr_filter.access_reject: EXPAND %{User-Name}
(3) attr_filter.access_reject: --> e4115b2c0e3b
(3) attr_filter.access_reject: Matched entry DEFAULT at line 11
(3) [attr_filter.access_reject] = updated
(3) [eap] = noop
(3) policy remove_reply_message_if_eap {
(3) if (&reply:EAP-Message && &reply:Reply-Message) {
(3) if (&reply:EAP-Message && &reply:Reply-Message) -> FALSE
(3) else {
(3) [noop] = noop
(3) } # else = noop
(3) } # policy remove_reply_message_if_eap = noop
(3) } # Post-Auth-Type REJECT = updated
(3) Delaying response for 1.000000 seconds
Waking up in 0.3 seconds.
Waking up in 0.6 seconds.
(3) Sending delayed response
(3) Sent Access-Reject Id 215 from 192.168.178.72:1812 to 192.168.178.254:1645 length 20
Waking up in 3.9 seconds.
(3) Cleaning up request packet ID 215 with timestamp +76 due to cleanup_delay was reached
Ready to process requests
Diese Zeile im Catalyst Debug irritiert mich ein bisschen:
May 23 18:57:26.376: RADIUS: User-Name [1] 14 "e4115b2c0e3b"
Das ist die MAC vom Notebook dass ich Authentifizieren möchte.
Ich habe aber den Dienst für die dot1x Auth. gestartet und an der NIC auch eingerichtet.
Weshalb überträgt er dann die MAC als User Namen?
Ich komm nicht dahinter.
Nach weiteren Authentifizierungs Versuchen erscheint im Debug des Radius aus folgendes:
(5) pap: WARNING: No "known good" password found for the user. Not setting Auth-Type
(5) pap: WARNING: Authentication will fail unless a "known good" password is available
(5) [pap] = noop
(5) } # authorize = ok
(5) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject
(5) Failed to authenticate the user
(5) Using Post-Auth-Type Reject
Er wendet auch MAB an:
Edit:
Quatsch. Erst versucht er MAB dann dot1x
Der Port am Catalysten, an dem das Notebook hängt:
May 23 18:57:26.384: RADIUS: Cisco AVpair [1] 12 "method=mab"
Quatsch. Erst versucht er MAB dann dot1x
Der Port am Catalysten, an dem das Notebook hängt:
interface GigabitEthernet1/0/14
switchport mode access
authentication order mab dot1x
authentication port-control auto
mab
dot1x pae authenticator
spanning-tree portfast edge
Dann wundert es mich nicht dass es nicht funktioniert.
Hab die MAC mit dolaradius angelegt und getestet. Access accept.
MAC wieder gelöscht.
Username angelegt. Access rejected.
Wenn "authentication order mab dot1x„ erst MAC und dann noch eine dot1x Auth. macht, weshalb bekomm ich dann ein ,,Access accept“ wenn ich nur die MAC im Radius hinterlegt habe?
Etwa wegen dem ,,mab“ in der Port Config am Catalyst?
Hab die MAC mit dolaradius angelegt und getestet. Access accept.
MAC wieder gelöscht.
Username angelegt. Access rejected.
Wenn "authentication order mab dot1x„ erst MAC und dann noch eine dot1x Auth. macht, weshalb bekomm ich dann ein ,,Access accept“ wenn ich nur die MAC im Radius hinterlegt habe?
Etwa wegen dem ,,mab“ in der Port Config am Catalyst?
Eben nachgelesen:
Scheint alls müsste ich den Port am Switch etwas anders konfigurieren.
Das teste ich aber morgen.
Gn8
authentication order dot1x mab ---> this means that the switch will try dot1x first and if the device is not capable or does not respond, it will fall back to mab.
authentication priority mab dot1x ---> this means that mab will be preferred over dot1x. for example, if the dot1x capable machine did not respond to the initial attempt of the switch to perform dot1x, then it would fall back to mab. Now in this state, if the dot1x capable machine tries to perform dot1x, then switch will not perform dot1x authentication instead it will stick to the mab session.
authentication event fail action next-method ---> this means that if dot1x authentication fails for a capable device, switch will perform mab as a fallback method.
Scheint alls müsste ich den Port am Switch etwas anders konfigurieren.
Das teste ich aber morgen.
Gn8
Wie du oben schon richtig sagst funktioniert die reine Mac Authentication fehlerlos:
Richtig! Funktioniert bei mir.
Knackpunkt ist die 802.1x Authentication mit SQL unter Windows, da der Windows Client die Domain mit 2 Backslashes mitsendet.
Deshalb ist dein Post hier sehr hilfreich, weil ich 802.1x nur mit einem MacBook getestet hatte und WLAN Accesspoints und kein Winblows. Erstere senden keine Backslashes.
Freut mich. Sowas aber auch. Hättest mal besser auch mit nem Windows getestet.
Backslashes sind immer kritisch da Escape Characters und das führt dann auch dazu das die .1x Authentisierung fehlschlägt, denn der Radius macht aus einem vom Switch gesendeten "NoteBook\\User" ein NoteBook=5C=5CUser für die SQL Datenbank.
Wäre mir im Traum nicht aufgefallen. Danke für deine Beobachtung.
In meinem Debug-Log sehe ich keine Backslashes
(2) sql: EXPAND %{User-Name}
(2) sql: --> christian
(2) sql: SQL-User-Name set to 'christian'
rlm_sql (sql): Reserved connection (3)
Hier zur Info nochmal die Catalyst Port Konfigs für die unterschiedlichen Authentisierungsarten:
Danke dafür. Werd ich heute Abend in Ruhe testen.
Auch interessant dazu: Flexible Authentication
Habe heute Morgen schnell dot1x only getestet. Ohne Erfolg.
Es werden zwar keine Backslashes in meinem Log angezeigt, kann aber sein dass diese dennoch übertragen werden?
EDIT:
Hab deinen zweiten Post eben erst gesehen.
Danke für deine Mühe.
Ich schau mir alles in Ruhe durch.
@aqui
So, hab bischen getestet.
Mit Windows funktioniert die dot1x Authentifizierung leider immer noch nicht.
Habe ich umgesetzt. Ohne Erfolg.
Also habe ich es mit Linux getestet, mit Teilerfolgen.
Port am Catalyst:
Test erfolgreich. Unter Linux konnte ich das Notebook mit MAC-Auth authentifizieren.
Nächste Runde:
Port am Catalyst:
Unter Linux in den Verbindungseigenschaften des Eth Profils unter ,,802.1X Sicherheit"
Legitimierung MD5 ausgewählt.
Benutzername und Paasword eingetragen.
Mit dieser Einstellung kann sich das Notebook authentifizieren, vorausgesetzt das User-Password wurde über die GUI vom DaloRadius als ,,Cleartext" definiert. Wählt man MD5, klappt die Authentifizierung nicht mehr.
Nächste Runde:
Port am Catalyst:
Sollange beides, MAC und User im freeradius auf ,,Enable" stehen, klappt die Authentifizierung nicht.
Setzt man eines von beiden auf ,,Disable" klappt die MAC oder dot1x Authentifizierung.
Leider konnte sich deine Aussage:
nicht bestätigen.
Lasse ich beides, MAC und User auf ,,Enable" kommt:
Kein Netzwerkzugriff!
Es gibt dann anscheinend ein ,,Access-Accept" für die dot1x Authentifizierung, für die MAC Auth. kommt irgendwie nichts mehr.
Mach ich die Authentifizierung nur mit dem User auf ,,Enable" kommt:
Und ich bekomme Netzwerkzugriff.
Die dot1x Auth. klappt aber anscheinend fehlt ihm die Mac-Auth.
Kommisch das wenn beide, Mac und User auf ,,Enable" stehen, es dennoch nicht klappt.
Bewrikt zumindest bei mir, das sich das Notebook entweder mit Mac-Auth oder dot1x Authentifizieren kann.
Beides zusammen klapt nicht.
Scheint auch nicht zu ziehen. Auf dem Switch existiert ein Vlan 10.
Bei einer Fail-Auth wird der Port nicht dem VLan 10 zugewiesen.
Erst mal genug für heute getestet.
Ärgert mich ein bisschen dass die dot1x Auth. nich im Windows klappt.
Scheint als ob es da Probleme mit dem Password geben könnte.
Hast du eine Idee?
So, hab bischen getestet.
Mit Windows funktioniert die dot1x Authentifizierung leider immer noch nicht.
Es lag an der falschen Default Deklaration der SQL "Safe" Characters. Dies stellt man in der Datei /etc/freeradius/3.0/mods-config/sql/main/mysql/queries.conf ein. Dort sind statisch die Safe Characters definiert was kontraproduktiv ist denn man sollte die SQL internen nutzen. Was der Parameter auto_escape = yes regelt der dann entsprechend zu entkommentieren ist. Die statischen kommentier man aus.
Habe ich umgesetzt. Ohne Erfolg.
Also habe ich es mit Linux getestet, mit Teilerfolgen.
Port am Catalyst:
interface GigabitEthernet1/0/14
description Authentication Mac only (PAP)
switchport mode access
authentication port-control auto
authentication periodic
mab
spanning-tree portfast
Test erfolgreich. Unter Linux konnte ich das Notebook mit MAC-Auth authentifizieren.
Nächste Runde:
Port am Catalyst:
interface GigabitEthernet1/0/14
description Authentication dot1x only
switchport mode access
authentication event fail action authorize vlan 10
authentication port-control auto
authentication periodic
dot1x pae authenticator
spanning-tree portfast
Unter Linux in den Verbindungseigenschaften des Eth Profils unter ,,802.1X Sicherheit"
Legitimierung MD5 ausgewählt.
Benutzername und Paasword eingetragen.
Mit dieser Einstellung kann sich das Notebook authentifizieren, vorausgesetzt das User-Password wurde über die GUI vom DaloRadius als ,,Cleartext" definiert. Wählt man MD5, klappt die Authentifizierung nicht mehr.
Nächste Runde:
Port am Catalyst:
interface GigabitEthernet0/4
description Authentication map plus dot1x
switchport mode access
authentication event fail action authorize vlan 10
authentication order mab dot1x
authentication port-control auto
authentication periodic
mab
dot1x pae authenticator
spanning-tree portfast
Sollange beides, MAC und User im freeradius auf ,,Enable" stehen, klappt die Authentifizierung nicht.
Setzt man eines von beiden auf ,,Disable" klappt die MAC oder dot1x Authentifizierung.
Leider konnte sich deine Aussage:
"authentication order mab dot1x" macht zuerst eine Mac Auth und danach noch eine .1x Auth. Beide mussen ein Access accept vom Radius geben sonst ist Nada mit dem Zugriff.
nicht bestätigen.
Lasse ich beides, MAC und User auf ,,Enable" kommt:
Wed May 24 19:19:18 2023 : Auth: (99) Login OK: [chris] (from client private-network-1 port 50114 cli E4-11-5B-2C-0E-3B)
Wed May 24 19:19:18 2023 : Debug: (99) Sent Access-Accept Id 55 from 192.168.178.72:1812 to 192.168.178.254:1645 length 51
Wed May 24 19:19:18 2023 : Debug: (99) EAP-Message = 0x03020004
Wed May 24 19:19:18 2023 : Debug: (99) Message-Authenticator = 0x00000000000000000000000000000000
Wed May 24 19:19:18 2023 : Debug: (99) User-Name = "chris"
Wed May 24 19:19:18 2023 : Debug: (99) Finished request
Wed May 24 19:19:18 2023 : Debug: Waking up in 4.9 seconds.
Wed May 24 19:19:23 2023 : Debug: (97) Cleaning up request packet ID 53 with timestamp +2890 due to cleanup_delay was reached
Wed May 24 19:19:23 2023 : Debug: (98) Cleaning up request packet ID 54 with timestamp +2890 due to cleanup_delay was reached
Wed May 24 19:19:23 2023 : Debug: (99) Cleaning up request packet ID 55 with timestamp +2890 due to cleanup_delay was reached
Wed May 24 19:19:23 2023 : Info: Ready to process requests
Kein Netzwerkzugriff!
Es gibt dann anscheinend ein ,,Access-Accept" für die dot1x Authentifizierung, für die MAC Auth. kommt irgendwie nichts mehr.
Mach ich die Authentifizierung nur mit dem User auf ,,Enable" kommt:
Wed May 24 19:35:19 2023 : Auth: (2) Login OK: [chris] (from client private-network-1 port 50114 cli E4-11-5B-2C-0E-3B)
Wed May 24 19:35:19 2023 : Debug: (2) Sent Access-Accept Id 74 from 192.168.178.72:1812 to 192.168.178.254:1645 length 51
Wed May 24 19:35:19 2023 : Debug: (2) EAP-Message = 0x03020004
Wed May 24 19:35:19 2023 : Debug: (2) Message-Authenticator = 0x00000000000000000000000000000000
Wed May 24 19:35:19 2023 : Debug: (2) User-Name = "chris"
Wed May 24 19:35:19 2023 : Debug: (2) Finished request
Wed May 24 19:35:19 2023 : Debug: Waking up in 0.2 seconds.
Wed May 24 19:35:20 2023 : Debug: Waking up in 0.6 seconds.
Wed May 24 19:35:20 2023 : Debug: (0) Sending delayed response
Wed May 24 19:35:20 2023 : Debug: (0) Sent Access-Reject Id 72 from 192.168.178.72:1812 to 192.168.178.254:1645 length 20
Wed May 24 19:35:20 2023 : Debug: Waking up in 3.9 seconds.
Wed May 24 19:35:24 2023 : Debug: (0) Cleaning up request packet ID 72 with timestamp +27 due to cleanup_delay was reached
Wed May 24 19:35:24 2023 : Debug: (1) Cleaning up request packet ID 73 with timestamp +27 due to cleanup_delay was reached
Wed May 24 19:35:24 2023 : Debug: (2) Cleaning up request packet ID 74 with timestamp +27 due to cleanup_delay was reached
Wed May 24 19:35:24 2023 : Info: Ready to process requests
Und ich bekomme Netzwerkzugriff.
Die dot1x Auth. klappt aber anscheinend fehlt ihm die Mac-Auth.
Kommisch das wenn beide, Mac und User auf ,,Enable" stehen, es dennoch nicht klappt.
authentication order mab dot1x
Beides zusammen klapt nicht.
authentication event fail action authorize vlan 10
Bei einer Fail-Auth wird der Port nicht dem VLan 10 zugewiesen.
Erst mal genug für heute getestet.
Ärgert mich ein bisschen dass die dot1x Auth. nich im Windows klappt.
Scheint als ob es da Probleme mit dem Password geben könnte.
Hast du eine Idee?
Nachtrag:
Windows dot1x Authentifizierung klappt jetzt endlich auch.
Es musste ,,Identität des Servers mittels Zertifikatsprüfung überprüfen"
ausgeschaltet werden.
Eigenschaften des Netzwerk-Adapters - Authentifizierung - Einstellungen.
Das User-Password muss aber als ,,Cleartext" im radius hinterlegt sein.
Ist das nicht auch anders möglich??
Edit:
Setzt man das User-Password auf ,,NT-Password" klappt die Authentifizierung ebenfalls.
Gefällt mir besser als ein Cleartext Password im radius stehen zu haben.
Windows dot1x Authentifizierung klappt jetzt endlich auch.
Es musste ,,Identität des Servers mittels Zertifikatsprüfung überprüfen"
ausgeschaltet werden.
Eigenschaften des Netzwerk-Adapters - Authentifizierung - Einstellungen.
Das User-Password muss aber als ,,Cleartext" im radius hinterlegt sein.
Ist das nicht auch anders möglich??
Edit:
Setzt man das User-Password auf ,,NT-Password" klappt die Authentifizierung ebenfalls.
Gefällt mir besser als ein Cleartext Password im radius stehen zu haben.
Da es bei mir nun jetzt funktioniert bleibt noch mein Problem mit dem OfficeConnect 1920S.
Habe ihn nach dieser Anleitung eingerichtet.
OfficeConnect Radius Config
Am radius Server kommt nichts an. Mit tcpdump überprüft.
Der Switch wurde resetet. Es existiert nur das vlan1.
Hat wer eine Idee??
Habe ihn nach dieser Anleitung eingerichtet.
OfficeConnect Radius Config
Am radius Server kommt nichts an. Mit tcpdump überprüft.
Der Switch wurde resetet. Es existiert nur das vlan1.
Hat wer eine Idee??
Übrigens noch ein Tip zu den NT Passwords: Man kann im Daloradius auch komplett die Anzeige der Passwörter in den Übersichten über die Settings Config -> Interface Settings -> Enable Password Hiding deaktivieren wenn man gar keine Passwörter sehen möchte.
danke für den Tipp.
Ein show vlan zeigt dir alle dem Switch bekannten VLANs.
Du kannst keine nicht definierten VLANs dynmaisch auf dem Switch zuweisen!
Du kannst keine nicht definierten VLANs dynmaisch auf dem Switch zuweisen!
Das weiß ich ja auch. Schreibst du bestimmt weil ich oben von Vlan10 geschrieben habe und hier von Vlan 666
Hätte ich dran denken sollen.
Dann nehmen wir eben das Vlan10.
Bei einem:
authentication event fail action authorize vlan 10
Wird das Notebook nicht ins Vlan 10 geschoben.
Prima. Vielen dank aqui.
Werde ich mir für die Zukunft merken.
Jetzt funktioniert eigentlich alles.
Bis auf eines:
Habe die Dynamische Vlan Zuweisung eingerichtet.
Profil angelegt und einem User zugeordnet.
Leider klappt diese nicht. Parallel das ganze mit einem NPS auf Windows Server 2019 gegen gecheckt.
Mit dem NPS funkioniert es einwandfrei.
Nutze einen Cisco WLC-5508.
Ich werde später meine freeradius instanz neu aufsetzten und es erneut testen.
Berichte dann.
OK, Problem gelöst. Man muss nur mal das Manual lesen...
Werde ich mir für die Zukunft merken.
Jetzt funktioniert eigentlich alles.
Bis auf eines:
Habe die Dynamische Vlan Zuweisung eingerichtet.
Profil angelegt und einem User zugeordnet.
Leider klappt diese nicht. Parallel das ganze mit einem NPS auf Windows Server 2019 gegen gecheckt.
Mit dem NPS funkioniert es einwandfrei.
Nutze einen Cisco WLC-5508.
Ich werde später meine freeradius instanz neu aufsetzten und es erneut testen.
Berichte dann.
Ein Hinweis für alle, die sich nach einem geeigneten Switch umsehen:
Wie ich feststellen musste, können Switches der Cisco 250-Serie (SG250 oder CBS250) nur eine recht simple 802.1x-Authentifizierung. D.h. folgende Funktionen sind auf diesen Switches nicht möglich:
Diese Funktionen sind erst ab der Cisco 350er-Serie möglich (SG350 bzw. "Cisco Managed Switches der Serie 350" oder CBS350 bzw. "Cisco Business Managed Switches der Serie 350").
Wie ich feststellen musste, können Switches der Cisco 250-Serie (SG250 oder CBS250) nur eine recht simple 802.1x-Authentifizierung. D.h. folgende Funktionen sind auf diesen Switches nicht möglich:
- VLAN-Zuweisung via RADIUS (das VLAN muss auf dem Switch manuell für den Switchport eingestellt werden)
- MAC-based Authentication via RADIUS (geht nur mit lokaler MAC-ACL direkt auf dem Switch)
- Der Switch kann selbst nicht als Supplicant fungieren, um sich an einem anderen Switch via RADIUS zu authentifizieren.
Diese Funktionen sind erst ab der Cisco 350er-Serie möglich (SG350 bzw. "Cisco Managed Switches der Serie 350" oder CBS350 bzw. "Cisco Business Managed Switches der Serie 350").
@aqui
Danke für deine Mühe.
Die Sache mit dem HP Switch hab ich aufgegeben. Bekomme es nicht ans laufen.
Ist in meinen Augen totaler Schrott.
Dynamische Vlan Zuweisung über die MAC Adresse funktioniert mit dem freeradius Server.
Warum es nicht mit der User-Authentifizierung funktioniert, weiß ich noch nicht.
Bin leider noch nicht dazu gekommen den freeradius-Server neu aufzusetzen.
Habe ihn aus VMWare Workstation exportiert und in VSphere 7 importiert. Daran sollte es eigentlich ja nicht liegen.
Dennoch werde ich ihn einmal neu installieren.
Geplant ist sowieso den freeradius nur für die MAC und Dyn.Vlan auf MAC Basis Authentifizierung zu nutzen.
Sind schon einige Geräte im Haus die kein dot1x unterstützen.
Für alle anderen Geräte die dotx1 unterstützen, kommt dann eben der NPS zum Einsatz.
Nochmals vielen Dank für deine hilfreichen Beiträge.
Danke für deine Mühe.
Die Sache mit dem HP Switch hab ich aufgegeben. Bekomme es nicht ans laufen.
Ist in meinen Augen totaler Schrott.
Dynamische Vlan Zuweisung über die MAC Adresse funktioniert mit dem freeradius Server.
Warum es nicht mit der User-Authentifizierung funktioniert, weiß ich noch nicht.
Bin leider noch nicht dazu gekommen den freeradius-Server neu aufzusetzen.
Habe ihn aus VMWare Workstation exportiert und in VSphere 7 importiert. Daran sollte es eigentlich ja nicht liegen.
Dennoch werde ich ihn einmal neu installieren.
Geplant ist sowieso den freeradius nur für die MAC und Dyn.Vlan auf MAC Basis Authentifizierung zu nutzen.
Sind schon einige Geräte im Haus die kein dot1x unterstützen.
Für alle anderen Geräte die dotx1 unterstützen, kommt dann eben der NPS zum Einsatz.
Nochmals vielen Dank für deine hilfreichen Beiträge.
Serie: Netzwerk Grundlagen
Freeradius Management mit WebGUI60Netzwerkverkehr mit NetFlow bzw. IPFIX visualisieren1Link Aggregation (LAG) im Netzwerk19Internet IP Adresse mit Windows Desktop Tool BGInfo anzeigen lassen17Netzwerk Management Server mit Raspberry Pi110Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch96Sichere 802.1x WLAN-Benutzer Authentisierung über Radius121VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren