Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst 802.1x-Konfiguration - Switch meldet sich nicht beim RADIUS-Server

Mitglied: cMaster

cMaster (Level 1) - Jetzt verbinden

03.08.2011 um 01:05 Uhr, 9069 Aufrufe, 8 Kommentare, 1 Danke

Hallo,

ich bin beim Einrichten eines Netzwerkes mit VLANs und habe dabei versucht, mich an diese Anleitung zu halten, nur mit dem Unterschied, dass ich den RADIUS-Server vom Windows und nicht den FreeRadius verwenden möchte.

Ich hab schon Seiten-weise Sachen über VLAN, 802.1x, RADIUS, usw. gelesen, aber ich komme einfach nicht weiter...

Zu aller erst einmal meine Gegebenheiten:



Den RADIUS-Server habe ich folgendermaßen konfiguriert:

  • den Switch als RADIUS-Client angelegt mit IP-Adresse, Gemeinsamen geheimen Schlüssel und als RADIUS Standard (bei Hersteller)
    • brauche ich beim RADIUS-Client die Zusatzoption "'Access-Request'-Meldungen müssen das Attribut 'Message-Authenticator' beinhalten"? Denn bei der oben verlinkten Anleitung steht bei "Wenn alles geklappt hat..." was von Message-Authenticator drin !?
  • nun habe ich unter 'Richtlinien \ Netzwerkrichtlinien' eine neue Richtlinie angelegt, mit folgende Einstellungen:
    • Zugriff gewähren
    • Bedingungen: Benutzergruppen (da habe ich dann meine Benutzergruppe gewählt mit Benutzern, die in VLAN-ID 2 sollen)
    • bei RADIUS-Attribute \ Standard habe ich dann folgende angelegt (wie sie auch in der Anleitung verwendet wurden):
      • Tunnel-Type = VLAN
      • Tunnel-Medium-Type = 802
      • Tunnel-Pvt-Group-ID = 2
      • außerdem waren standardmäßig bereits folgende Attribute gesetzt: Framed-Protocol = PPP; Service-Type = Framed
    • unter Authentifizierungsmethoden habe ich bei EAP-Typen beide möglich hinzugefügt (PEAP & EAP-MSCHAP v2)


    Den Switch habe ich folgendermaßen konfiguriert:

    8542d955a9362b471e3d4da449aa51a8 - Klicke auf das Bild, um es zu vergrößern


    Zum Test habe ich als RADIUS-Client noch meinen Laptop mit hinzugefügt und habe dann mittels des Tools "NTRadPing Test Utility" (ein RADIUS Server Testing Tool) eine RADIUS-Anfrage an den Servergeschickt. Je nach Benutzerkennung die ich eingebe bekomme ich eine Zu- oder Absage des RADIUS-Servers, was dieser auch im Ereignisprotokoll dokumentiert.

    Eigentlich möchte ich ja, dass der Switch jetzt beim RADIUS-Server den Zugriff prüft, und dann in VLANs sortieren kann, aber das funktioniert irgendwie nicht so ganz. Ich kann im Ereignisprotokoll keine Einträge darüber finden, dass der Switch irgendwas beim RADIUS-Server nachfragt...
    Was habe ich falsch gemacht?


    Weitere Fragen, die ich noch zu dieser Materie habe:
    Für die Client-Konfiguration muss ich ja den Dienst "Automatische Konfiguration (verkabelt)" starten und die Authentifizierung der Netzwerkkarte richtig einstellen.
    • Was passiert eigentlich mit Clients, bei denen dieser Dienst nicht läuft?
    • Was passiert mit Clients, solange noch niemand angemeldet ist?
    • Kann ich, um Drucker bzw. nicht 802.1x fähige Geräte in entsprechende VLANs zuzuweisen, einfach Benutzer mit dem Namen der MAC-Adresse des Gerätes anlegen?


    Ich hoffe, ich habe kein für euch wichtiges Detail vergessen, sodass ihr mir weiterhelfen könnt. Ich komme einfach überhaupt nicht weiter...

    Vielen Dank

    Gruß Stefan
Mitglied: aqui
05.08.2011 um 11:37 Uhr
Es ist natürlich essentiell wichtig das die Management IP Adresse des Switches konfiguriert ist wovon wir hier mal ausgehen. Ansonsten kann der Switch ja keine Radius Pakete versenden. Das solltest du also sicher nochmal prüfen.
Der FreeRadius wie im Tutorial beschrieben hat einen Debugger, der eingehende Pakete ganz genau anzeigt. Wenn der Winblows Radius sowas auch hat nutze das um zu checken ob dort Pakete ankommen. Querchecken kannst du das immer mit dem NTRadping Client was wie ein Radius Switch funktioniert.
Falls er das nicht hat nutze den freine MS NetMonitor oder Wireshark als Sniffer auf dem server um zu sehen ob dort entsprechende Pakete eingehen.
Wenn der Switch keinerlei radius Requests schickt, dann hast du am Switch was falsch konfiguriert, soviel ist sicher !!
In der Regel ist das eine falsche IP Adresse, ein falsches oder fehlendes default Gateway oder falsche Radius Parameter (Key).
Im Zweifel setz den FreeRadius in einer VM auf, damit ist ein Troublkeshooting erheblich besser als mit dem Windows Ding.
Du kannst zusätzlich bei Dr. Google nach .1x Windows Radius, IAS suchen. Es gint im Netz diverse Hersteller Whitepapers zu diesem Thema mit dem Winblows IAS.
Bitte warten ..
Mitglied: cMaster
05.08.2011 um 23:33 Uhr
Hi Aqui,

also, ich bin jetzt auch nochmal genau die Anleitung aus der c't durchgegangen (die Du ja in deiner Anleitung auch mit verlinkt hast) und habe auf dem Server jetzt den MS NetMon drauf gemacht, und siehe da da hat scheinbar irgendwas mit dem Zertifikat nicht gestimmt ;)

Ich habe aber dennoch ein paar Fragen:
  1. wenn ich den Server jetzt anschließe, muss ich diesen dann über die selbe Art & Weise anschließen oder muss ich den Port dann so konfigurieren, dass der "freigegeben" ist und dann nicht via RADIUS überprüft wird, weil sonst müsste der Server über den Switch ja bei sich selbst nachfragen müssen und außerdem ist da ja i.d.R. kein User angemeldet !?
  2. wenn ich den Dienst "Automatische Konfiguration (verkabelt)" jetzt deaktiviere und "den Rechner auf den Switch los-lasse", dann ist das doch quasi wie ein Client, der nicht 802.1x fähig ist (z. B. Drucker, etc...); oder?

Weil da hast du ja in der Anleitung geschrieben, dass man da in der Konfigurationsdatei des FreeRadius dann die MAC-Adresse anlegt, allerdings kommuniziert der Switch nicht mit dem RADIUS-Server, wenn ich den Windows-Dienst deaktiviert habe (habe ich mittels des MS NetMon überprüft), was zu bedeuten hat, dass ich auch mit der MAC-Adresse keinen Erfolg haben werde, oder?

Wie kann ich dieses Problem lösen?

Vielen Dank

Gruß Stefan
Bitte warten ..
Mitglied: aqui
07.08.2011 um 11:27 Uhr
Hallo Stefan !

ad 1)
Der Server muss natürlich zwingend an einen freien Port an dem KEIN .1x aktiv ist (.1x im Port Setup dort abschalten !).
Andernfalls müsste der Server sich ja selber authentisieren und wie sollte das gehen wenn er durch .1x an seinem eigenen Port selbst deaktiviert wäre ?! Logisch das das nicht funktionieren kann ! Das hast du richtig erkannt...

ad 2)
Die Antwort lautet: Ja
Deine restliche Schlussfolgerung daraus ist aber technisch leider falsch. Der Port macht lediglich keine Benutzerauthentifizierung mit User Passwort sondern übermittelt die Mac Adresse des Clients an den Radius Server ! Benutzt also diese als Authentisierung.
Der Radius validiert die Mac Adresse dann und schaltet den Port auf Basis der Mac dann frei.
Es findet also vom Switch durchaus eine Kommunikation mit dem Radius Server statt um den Port zu authentisieren !! Das siehst du also schlicht falsch. Im übrigen kannst du das auch mit dem Net Monitor oder Wireshark sofort nachweisen.
Dieses Mac Passthrough musst du bei allen Endgeräten machen die selber keinen .1x Client an Bord haben wie Drucker, Telefone usw. und die du ebenfalls authentisieren willst ohne deine Port Authentisierung stellenweise aufzuweichen !!
Damit bekommt man immer einen lückenlose Überwachung hin, genau das also was man ja mit .1x erreichen will !
Bitte warten ..
Mitglied: cMaster
08.08.2011 um 19:30 Uhr
Hi aqui,

  • zu 1) Dann werde ich das so machen, vielen Dank ;)

  • zu 2) Ich habe den Dienst deaktiviert (und den Rechner ja somit zu einem nicht .1x-fähigen Client gemacht), und dann als ich den Rechner an den Switch angeschlossen habe dabei auf dem Server das Protokoll des NetMon beobachtet. Allerdings findet keinerlei Kommunikation zw. Switch und Server statt, stattdessen erhalte ich dann folgende Meldung:
Bild 1

Wenn ich den Dienst dann starte kommt sofort die Meldung, dass Eingaben zur Anmeldung am Netzwerk benötigt werden (ich habe den Haken zum Verwenden der Windows-Anmeldedaten entfernt):
Bild 2.1
Bild 2.2

Ich habe von der Theorie her verstanden, wie die Authentifikation via MAC-Adresse funktionieren sollte, allerdings "schwätzt" der Switch nicht mit dem Server, wenn ich den Rechner anschließe, weil der müsste ja eig. sofort beim Server dann die MAC-Adresse auf Zugriff anfragen, oder?

Habe ich am Switch vllt. etwas falsch Konfiguriert?
Die Einstellungsseite "802.1X Settings" habe ich ja bereits oben als Screenshot eingefügt.

Da ich nicht weiß, ob du einen DGS-1210-xx zur Verfügung hast, habe ich dir mal das ganze Konfigurationsmenü mit eingefügt, vllt. hast du mir einen Tip, wo ich da mal nachschauen könnte und eine Einstellung evtl. noch nicht gesetzt ist, ich bin hier grad ziemlich verzweifelt...

  • Konfigurationsmenü des Switches:
    • DGS-1210-24
      • System
        • System Settings
        • DHCP Auto Configuration
        • Trap Settings
        • Port Settings
        • SNMP Settings
          • SNMP Global State
          • User/Group Table
          • Group Access Table
          • View Table
          • Community Table
          • Host Table
          • Engine ID
          • Trap Settings
        • Password Access Control
        • System Log Settings
      • Configuration
        • Jumbo Frame
        • 802.1Q VLAN
        • 802.1Q Management VLAN
        • Auto Surveillance VLAN
        • Voice VLAN
          • Voice VLAN Settings
          • Voice VLAN OUI Settings
        • Link Aggregation
          • Port Trunking
          • LACP Port Settings
        • IGMP Snooping
        • Multicast Filtering Mode
        • Port Mirroring
        • Power Saving
        • Loopback Detection
        • SNTP Settings
          • Time Settings
          • TimeZone Settings
        • Spanning Tree
          • STP Global Settings
          • STP Port Settings
      • QoS
        • Storm Control
        • Bandwidth Control
        • 802.1p/DSCP Priority Settings
      • Security
        • Trusted Host
        • Safeguard Engine
        • ARP Spoofing Prevention
        • Port Security
        • SSL
        • 802.1X
          • 802.1X Settings
        • MAC Address Table
          • Static MAC
          • Dynamic Forwarding Table
        • DHCP Server Screening
          • DHCP Screening Port Setting
      • Monitoring
        • Statistics
        • Cable Diagnostics
        • System Log
      • ACL
        • ACL Configuration Wizard
        • Access Profile List
        • ACL Finder

      Vielen Dank

      Gruß Stefan
Bitte warten ..
Mitglied: aqui
11.08.2011 um 12:51 Uhr
Vorweg: Bitte lasse den Unsinn mit den externen Bilderlinks. Wenn du deinen Thread oben z.B. in einem zweiten Fenster oder Tab über "meine Beiträge" und dann Klick auf "Bearbeiten" editierst siehst du dort einen schöne Bilder Hinzufügen Upload Funktion.
Einfach den Button klicken, Bilder hochladen, denn dann erscheinenden Bilder URL mit einem Rechtsklick per Cut and Paste hier in die Antworten oder sonstigem Text kopieren. Das erspart uns die Klickerei auf externen Links und ggf. dort lauernde Zwangswerbung

Zurück zu deiner Konfig:
Wenn dein Switch bei einer Mac Authentisierung nicht mit dem radius Server "spricht", dann hast du in der Tat ein Konfigurationsfehler am Switch, das ist sicher !
Bedenke auch das man die Mac Authentisierung bei fast allen Herstellern separat zur 802.1x Authentisierung immer aktivieren muss !
Bei Herstellern Cisco, Brocade, Extreme, HP usw. ist das z.B. das Kommando mac-authentication enable !
Wie das bei deinem Switch gemacht wird und ob der das überhaupt supportet steht im Handbuch oder Datenblatt des Switches. Zur Not hilft die Hersteller Hotline.
Explizit steht das in deiner o.a. Liste nicht drin. Leider weiss man auch nicht genau was "Port Security" ist ?! Ggf. verbirgt sich das dahinter, es kann aber auch nur eine simple Mac Filterregel am Port sein ohne Radius...das ist leider unklar.
Wenn er die Mac Authentisierung gar nicht supportet sondern nur .1x konfigurierst du dir natürlich einen Wolf, das ist klar. Das solltest du also sicher abklären ! Ggf. die D-Link Hotline dazu befragen !
Bitte warten ..
Mitglied: cMaster
15.08.2011 um 09:38 Uhr
Hi,

also ich habe jetzt mit dem Support von D-Link telefoniert, und habe dabei erfahren, dass ein D-Link DGS-1210-xx kein mac-authentication unterstützt. Schade. Hätte ich das vorher gewusst, hätte ich einen anderen Switch gekauft.

aqui, ich möchte mich für deine super Hilfe und ausführlichen Informationen bedanken.

Viele Grüße

Stefan
Bitte warten ..
Mitglied: aqui
15.08.2011 um 12:00 Uhr
Tja, Fazit also wie immer : VORHER informieren ! OK, kleine Switches die das können kosten ja auch nicht die Welt. Vielleicht bemühst du also nochmal die Portokasse
Bitte warten ..
Mitglied: cMaster
15.08.2011 um 12:04 Uhr
Kannst du mir da einen empfehlen, mit dem du selbst vllt. schon gute Erfahrung gemacht hast?
Bitte warten ..
Ähnliche Inhalte
Sicherheits-Tools

Problem: 802.1X über Radius Server (WLAN)

gelöst Frage von Flais78Sicherheits-Tools7 Kommentare

Hallo liebe Community, ich bin neu in dem Forum, hoffe das der Thread im richten Teil des Forums ist ...

LAN, WAN, Wireless

Accesspoint mit 802.1X zu Switch mit 802.1X

Frage von maartsLAN, WAN, Wireless12 Kommentare

Hallo, ich möchte folgende Konfiguration abbilden: Ziel: Ein Accesspoint mit WLAN 802.1X soll mit einem Switch über einen802.1X Port ...

Windows Netzwerk

802.1x Konfiguration

gelöst Frage von michaelb123Windows Netzwerk2 Kommentare

Hallo, ich habe auf meinem Rechner (win7) als Authentifizierung 802.1x eingerichtet. Es funktioniert auch gut, solange der Switch dementsprechend ...

LAN, WAN, Wireless

Konfiguration RADIUS Server (Huntgroup)

gelöst Frage von JudgeDreddLAN, WAN, Wireless2 Kommentare

Hallo Zusammen, ich habe ein Problem mit der Konfiguration von Huntgroups im RADIUS Server. Bisher habe ich folgendes Versucht: ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 8 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 9 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 12 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...