cmaster
Goto Top

802.1x-Konfiguration - Switch meldet sich nicht beim RADIUS-Server

Hallo,

ich bin beim Einrichten eines Netzwerkes mit VLANs und habe dabei versucht, mich an diese Anleitung zu halten, nur mit dem Unterschied, dass ich den RADIUS-Server vom Windows und nicht den FreeRadius verwenden möchte.

Ich hab schon Seiten-weise Sachen über VLAN, 802.1x, RADIUS, usw. gelesen, aber ich komme einfach nicht weiter...

Zu aller erst einmal meine Gegebenheiten:



Den RADIUS-Server habe ich folgendermaßen konfiguriert:

  • den Switch als RADIUS-Client angelegt mit IP-Adresse, Gemeinsamen geheimen Schlüssel und als RADIUS Standard (bei Hersteller)
    • brauche ich beim RADIUS-Client die Zusatzoption "'Access-Request'-Meldungen müssen das Attribut 'Message-Authenticator' beinhalten"? Denn bei der oben verlinkten Anleitung steht bei "Wenn alles geklappt hat..." was von Message-Authenticator drin !?
  • nun habe ich unter 'Richtlinien \ Netzwerkrichtlinien' eine neue Richtlinie angelegt, mit folgende Einstellungen:
    • Zugriff gewähren
    • Bedingungen: Benutzergruppen (da habe ich dann meine Benutzergruppe gewählt mit Benutzern, die in VLAN-ID 2 sollen)
    • bei RADIUS-Attribute \ Standard habe ich dann folgende angelegt (wie sie auch in der Anleitung verwendet wurden):
      • Tunnel-Type = VLAN
      • Tunnel-Medium-Type = 802
      • Tunnel-Pvt-Group-ID = 2
      • außerdem waren standardmäßig bereits folgende Attribute gesetzt: Framed-Protocol = PPP; Service-Type = Framed
    • unter Authentifizierungsmethoden habe ich bei EAP-Typen beide möglich hinzugefügt (PEAP & EAP-MSCHAP v2)


    Den Switch habe ich folgendermaßen konfiguriert:

    8542d955a9362b471e3d4da449aa51a8


    Zum Test habe ich als RADIUS-Client noch meinen Laptop mit hinzugefügt und habe dann mittels des Tools "NTRadPing Test Utility" (ein RADIUS Server Testing Tool) eine RADIUS-Anfrage an den Servergeschickt. Je nach Benutzerkennung die ich eingebe bekomme ich eine Zu- oder Absage des RADIUS-Servers, was dieser auch im Ereignisprotokoll dokumentiert.

    Eigentlich möchte ich ja, dass der Switch jetzt beim RADIUS-Server den Zugriff prüft, und dann in VLANs sortieren kann, aber das funktioniert irgendwie nicht so ganz. Ich kann im Ereignisprotokoll keine Einträge darüber finden, dass der Switch irgendwas beim RADIUS-Server nachfragt...
    Was habe ich falsch gemacht?


    Weitere Fragen, die ich noch zu dieser Materie habe:
    Für die Client-Konfiguration muss ich ja den Dienst "Automatische Konfiguration (verkabelt)" starten und die Authentifizierung der Netzwerkkarte richtig einstellen.
    • Was passiert eigentlich mit Clients, bei denen dieser Dienst nicht läuft?
    • Was passiert mit Clients, solange noch niemand angemeldet ist?
    • Kann ich, um Drucker bzw. nicht 802.1x fähige Geräte in entsprechende VLANs zuzuweisen, einfach Benutzer mit dem Namen der MAC-Adresse des Gerätes anlegen?


    Ich hoffe, ich habe kein für euch wichtiges Detail vergessen, sodass ihr mir weiterhelfen könnt. Ich komme einfach überhaupt nicht weiter...

    Vielen Dank

    Gruß Stefan

Content-Key: 170842

Url: https://administrator.de/contentid/170842

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: aqui
aqui 05.08.2011 um 11:37:41 Uhr
Goto Top
Es ist natürlich essentiell wichtig das die Management IP Adresse des Switches konfiguriert ist wovon wir hier mal ausgehen. Ansonsten kann der Switch ja keine Radius Pakete versenden. Das solltest du also sicher nochmal prüfen.
Der FreeRadius wie im Tutorial beschrieben hat einen Debugger, der eingehende Pakete ganz genau anzeigt. Wenn der Winblows Radius sowas auch hat nutze das um zu checken ob dort Pakete ankommen. Querchecken kannst du das immer mit dem NTRadping Client was wie ein Radius Switch funktioniert.
Falls er das nicht hat nutze den freine MS NetMonitor oder Wireshark als Sniffer auf dem server um zu sehen ob dort entsprechende Pakete eingehen.
Wenn der Switch keinerlei radius Requests schickt, dann hast du am Switch was falsch konfiguriert, soviel ist sicher !!
In der Regel ist das eine falsche IP Adresse, ein falsches oder fehlendes default Gateway oder falsche Radius Parameter (Key).
Im Zweifel setz den FreeRadius in einer VM auf, damit ist ein Troublkeshooting erheblich besser als mit dem Windows Ding.
Du kannst zusätzlich bei Dr. Google nach .1x Windows Radius, IAS suchen. Es gint im Netz diverse Hersteller Whitepapers zu diesem Thema mit dem Winblows IAS.
Mitglied: cMaster
cMaster 05.08.2011 um 23:33:51 Uhr
Goto Top
Hi Aqui,

also, ich bin jetzt auch nochmal genau die Anleitung aus der c't durchgegangen (die Du ja in deiner Anleitung auch mit verlinkt hast) und habe auf dem Server jetzt den MS NetMon drauf gemacht, und siehe da face-smile da hat scheinbar irgendwas mit dem Zertifikat nicht gestimmt ;)

Ich habe aber dennoch ein paar Fragen:
  1. wenn ich den Server jetzt anschließe, muss ich diesen dann über die selbe Art & Weise anschließen oder muss ich den Port dann so konfigurieren, dass der "freigegeben" ist und dann nicht via RADIUS überprüft wird, weil sonst müsste der Server über den Switch ja bei sich selbst nachfragen müssen und außerdem ist da ja i.d.R. kein User angemeldet !?
  2. wenn ich den Dienst "Automatische Konfiguration (verkabelt)" jetzt deaktiviere und "den Rechner auf den Switch los-lasse", dann ist das doch quasi wie ein Client, der nicht 802.1x fähig ist (z. B. Drucker, etc...); oder?

Weil da hast du ja in der Anleitung geschrieben, dass man da in der Konfigurationsdatei des FreeRadius dann die MAC-Adresse anlegt, allerdings kommuniziert der Switch nicht mit dem RADIUS-Server, wenn ich den Windows-Dienst deaktiviert habe (habe ich mittels des MS NetMon überprüft), was zu bedeuten hat, dass ich auch mit der MAC-Adresse keinen Erfolg haben werde, oder?

Wie kann ich dieses Problem lösen?

Vielen Dank

Gruß Stefan
Mitglied: aqui
aqui 07.08.2011 um 11:27:33 Uhr
Goto Top
Hallo Stefan !

ad 1)
Der Server muss natürlich zwingend an einen freien Port an dem KEIN .1x aktiv ist (.1x im Port Setup dort abschalten !).
Andernfalls müsste der Server sich ja selber authentisieren und wie sollte das gehen wenn er durch .1x an seinem eigenen Port selbst deaktiviert wäre ?! Logisch das das nicht funktionieren kann ! Das hast du richtig erkannt...

ad 2)
Die Antwort lautet: Ja
Deine restliche Schlussfolgerung daraus ist aber technisch leider falsch. Der Port macht lediglich keine Benutzerauthentifizierung mit User Passwort sondern übermittelt die Mac Adresse des Clients an den Radius Server ! Benutzt also diese als Authentisierung.
Der Radius validiert die Mac Adresse dann und schaltet den Port auf Basis der Mac dann frei.
Es findet also vom Switch durchaus eine Kommunikation mit dem Radius Server statt um den Port zu authentisieren !! Das siehst du also schlicht falsch. Im übrigen kannst du das auch mit dem Net Monitor oder Wireshark sofort nachweisen.
Dieses Mac Passthrough musst du bei allen Endgeräten machen die selber keinen .1x Client an Bord haben wie Drucker, Telefone usw. und die du ebenfalls authentisieren willst ohne deine Port Authentisierung stellenweise aufzuweichen !!
Damit bekommt man immer einen lückenlose Überwachung hin, genau das also was man ja mit .1x erreichen will !
Mitglied: cMaster
cMaster 08.08.2011 um 19:30:56 Uhr
Goto Top
Hi aqui,

  • zu 1) Dann werde ich das so machen, vielen Dank ;)

  • zu 2) Ich habe den Dienst deaktiviert (und den Rechner ja somit zu einem nicht .1x-fähigen Client gemacht), und dann als ich den Rechner an den Switch angeschlossen habe dabei auf dem Server das Protokoll des NetMon beobachtet. Allerdings findet keinerlei Kommunikation zw. Switch und Server statt, stattdessen erhalte ich dann folgende Meldung:
Bild 1

Wenn ich den Dienst dann starte kommt sofort die Meldung, dass Eingaben zur Anmeldung am Netzwerk benötigt werden (ich habe den Haken zum Verwenden der Windows-Anmeldedaten entfernt):
Bild 2.1
Bild 2.2

Ich habe von der Theorie her verstanden, wie die Authentifikation via MAC-Adresse funktionieren sollte, allerdings "schwätzt" der Switch nicht mit dem Server, wenn ich den Rechner anschließe, weil der müsste ja eig. sofort beim Server dann die MAC-Adresse auf Zugriff anfragen, oder?

Habe ich am Switch vllt. etwas falsch Konfiguriert?
Die Einstellungsseite "802.1X Settings" habe ich ja bereits oben als Screenshot eingefügt.

Da ich nicht weiß, ob du einen DGS-1210-xx zur Verfügung hast, habe ich dir mal das ganze Konfigurationsmenü mit eingefügt, vllt. hast du mir einen Tip, wo ich da mal nachschauen könnte und eine Einstellung evtl. noch nicht gesetzt ist, ich bin hier grad ziemlich verzweifelt... face-confused

  • Konfigurationsmenü des Switches:
    • DGS-1210-24
      • System
        • System Settings
        • DHCP Auto Configuration
        • Trap Settings
        • Port Settings
        • SNMP Settings
          • SNMP Global State
          • User/Group Table
          • Group Access Table
          • View Table
          • Community Table
          • Host Table
          • Engine ID
          • Trap Settings
        • Password Access Control
        • System Log Settings
      • Configuration
        • Jumbo Frame
        • 802.1Q VLAN
        • 802.1Q Management VLAN
        • Auto Surveillance VLAN
        • Voice VLAN
          • Voice VLAN Settings
          • Voice VLAN OUI Settings
        • Link Aggregation
          • Port Trunking
          • LACP Port Settings
        • IGMP Snooping
        • Multicast Filtering Mode
        • Port Mirroring
        • Power Saving
        • Loopback Detection
        • SNTP Settings
          • Time Settings
          • TimeZone Settings
        • Spanning Tree
          • STP Global Settings
          • STP Port Settings
      • QoS
        • Storm Control
        • Bandwidth Control
        • 802.1p/DSCP Priority Settings
      • Security
        • Trusted Host
        • Safeguard Engine
        • ARP Spoofing Prevention
        • Port Security
        • SSL
        • 802.1X
          • 802.1X Settings
        • MAC Address Table
          • Static MAC
          • Dynamic Forwarding Table
        • DHCP Server Screening
          • DHCP Screening Port Setting
      • Monitoring
        • Statistics
        • Cable Diagnostics
        • System Log
      • ACL
        • ACL Configuration Wizard
        • Access Profile List
        • ACL Finder

      Vielen Dank

      Gruß Stefan
Mitglied: aqui
aqui 11.08.2011 um 12:51:35 Uhr
Goto Top
Vorweg: Bitte lasse den Unsinn mit den externen Bilderlinks. Wenn du deinen Thread oben z.B. in einem zweiten Fenster oder Tab über "meine Beiträge" und dann Klick auf "Bearbeiten" editierst siehst du dort einen schöne Bilder Hinzufügen Upload Funktion.
Einfach den Button klicken, Bilder hochladen, denn dann erscheinenden Bilder URL mit einem Rechtsklick per Cut and Paste hier in die Antworten oder sonstigem Text kopieren. Das erspart uns die Klickerei auf externen Links und ggf. dort lauernde Zwangswerbung face-sad

Zurück zu deiner Konfig:
Wenn dein Switch bei einer Mac Authentisierung nicht mit dem radius Server "spricht", dann hast du in der Tat ein Konfigurationsfehler am Switch, das ist sicher !
Bedenke auch das man die Mac Authentisierung bei fast allen Herstellern separat zur 802.1x Authentisierung immer aktivieren muss !
Bei Herstellern Cisco, Brocade, Extreme, HP usw. ist das z.B. das Kommando mac-authentication enable !
Wie das bei deinem Switch gemacht wird und ob der das überhaupt supportet steht im Handbuch oder Datenblatt des Switches. Zur Not hilft die Hersteller Hotline.
Explizit steht das in deiner o.a. Liste nicht drin. Leider weiss man auch nicht genau was "Port Security" ist ?! Ggf. verbirgt sich das dahinter, es kann aber auch nur eine simple Mac Filterregel am Port sein ohne Radius...das ist leider unklar.
Wenn er die Mac Authentisierung gar nicht supportet sondern nur .1x konfigurierst du dir natürlich einen Wolf, das ist klar. Das solltest du also sicher abklären ! Ggf. die D-Link Hotline dazu befragen !
Mitglied: cMaster
cMaster 15.08.2011 um 09:38:34 Uhr
Goto Top
Hi,

also ich habe jetzt mit dem Support von D-Link telefoniert, und habe dabei erfahren, dass ein D-Link DGS-1210-xx kein mac-authentication unterstützt. Schade. Hätte ich das vorher gewusst, hätte ich einen anderen Switch gekauft.

aqui, ich möchte mich für deine super Hilfe und ausführlichen Informationen bedanken.

Viele Grüße

Stefan
Mitglied: aqui
aqui 15.08.2011 um 12:00:58 Uhr
Goto Top
Tja, Fazit also wie immer : VORHER informieren ! OK, kleine Switches die das können kosten ja auch nicht die Welt. Vielleicht bemühst du also nochmal die Portokasse face-wink
Mitglied: cMaster
cMaster 15.08.2011 um 12:04:00 Uhr
Goto Top
Kannst du mir da einen empfehlen, mit dem du selbst vllt. schon gute Erfahrung gemacht hast?