4
Dynamische VLAN Zuordnung mit FreeRADIUS (2.1.8)
Bei meiner Arbeit ist es eine Aufgabe 2 unterschiedliche Benutzergruppen in 2 unterschiedliche VLANS zuzuordnen!
Verwendet wird ein FreeRADIUS Server version 2.1.8 mit Authentifizierungsverfahren EAP-TTLS.
Hallo Leute! =)
Mein Problem ist folgendes:
Ich hab 2 VLANS:
228 Lehrer
230 Schüler
und einen Novel e-Directory Verzeichnisdienst gegen den die Benutzerinformationen geprüft werden.
Wenn sich ein Schüler oder Lehrer erfolgreich authentifiziert, soll der Radius Server die entsprechende VLAN ID mitschicken.
Die Schüler haben eine Login Nummer zwischen 1000 und 9999 (Nach dieser Nummer suche ich auch im e-Directory).
Die Lehrer haben als Login ihre Kurzbezeichnung zum Beispiel wat (Nach diesem Kürzel suche ich auch im e-Directory).
In der users File ist es möglich, dass ich mit einem DEFAULT-Eintrag EINE VLAN Zuweisung mache. Also zum Beispiel wenn sich
ein User erfolgreich authentifiziert, bekommt er als DEFAULT VLAN die Nummer 228. Das funktioniert auch.
Aber wie stell ich es nun ein, dass alle Benutzer mit der Login nummer 1000-9999 dem VLAN 228 zugewiesen werden?
Und als Default würde ich dann einfach den rest einstellen die dem VLAN 230 zugewiesen werden.
Ist das nur über die users Datei möglich?
Diesen Default Eintrag hab ich jetzt mal für alle drinnen:
DEFAULT
Tunnel-Type=13,
Tunnel-Medium-Type=6,
Tunnel-Private-Group-Id=228
Hab das mit NTRadPing getestet und er sendet die Informationen mit =)..
Kann mir da vielleicht jemand helfen? =)
Liebe Grüße und vielen Dank im voraus
Mario
Mein Problem ist folgendes:
Ich hab 2 VLANS:
228 Lehrer
230 Schüler
und einen Novel e-Directory Verzeichnisdienst gegen den die Benutzerinformationen geprüft werden.
Wenn sich ein Schüler oder Lehrer erfolgreich authentifiziert, soll der Radius Server die entsprechende VLAN ID mitschicken.
Die Schüler haben eine Login Nummer zwischen 1000 und 9999 (Nach dieser Nummer suche ich auch im e-Directory).
Die Lehrer haben als Login ihre Kurzbezeichnung zum Beispiel wat (Nach diesem Kürzel suche ich auch im e-Directory).
In der users File ist es möglich, dass ich mit einem DEFAULT-Eintrag EINE VLAN Zuweisung mache. Also zum Beispiel wenn sich
ein User erfolgreich authentifiziert, bekommt er als DEFAULT VLAN die Nummer 228. Das funktioniert auch.
Aber wie stell ich es nun ein, dass alle Benutzer mit der Login nummer 1000-9999 dem VLAN 228 zugewiesen werden?
Und als Default würde ich dann einfach den rest einstellen die dem VLAN 230 zugewiesen werden.
Ist das nur über die users Datei möglich?
Diesen Default Eintrag hab ich jetzt mal für alle drinnen:
DEFAULT
Tunnel-Type=13,
Tunnel-Medium-Type=6,
Tunnel-Private-Group-Id=228
Hab das mit NTRadPing getestet und er sendet die Informationen mit =)..
Kann mir da vielleicht jemand helfen? =)
Liebe Grüße und vielen Dank im voraus
Mario
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 141766
Url: https://administrator.de/contentid/141766
Printed on: April 24, 2024 at 23:04 o'clock
4 Comments
Latest comment
Guckst du hier:
Fragen zu NAS, Radius und verschiedenen Authentifizierungsmöglichkeiten
und ggf. hier:
Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory
Beim Freeradius macht mn eine Zuweisung mehrere User mit einer Gruppenkonfig !
Ggf. kannst du das auch über die Default VLAN Zuweisung im Switch konfigurieren. Da du uns aber leider dein verwendetest Fabrikat nicht mitteilst können wir dir diese Frage leider nicht beantworten...
Fragen zu NAS, Radius und verschiedenen Authentifizierungsmöglichkeiten
und ggf. hier:
Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory
Beim Freeradius macht mn eine Zuweisung mehrere User mit einer Gruppenkonfig !
Ggf. kannst du das auch über die Default VLAN Zuweisung im Switch konfigurieren. Da du uns aber leider dein verwendetest Fabrikat nicht mitteilst können wir dir diese Frage leider nicht beantworten...
Danke für die rasche Antwort! =)
Also ich hab auf die Switches keinen Zugriff, aber ich verwende den Linksys WAP200 als Access Point und dieser unterstützt soweit ich weiß eine dynamische Zuordnung =).
Ich hab in den gegebenen Threads schon gelesen, aber hast du vielleicht eine Beispielkonfiguration für so eine Gruppe ? Ich kann mir darunter einfach nichts vorstellen bzw. in welcher Datei wird die Gruppe beschrieben? (huntgroups) ?
Danke im voraus =)
Also ich hab auf die Switches keinen Zugriff, aber ich verwende den Linksys WAP200 als Access Point und dieser unterstützt soweit ich weiß eine dynamische Zuordnung =).
Ich hab in den gegebenen Threads schon gelesen, aber hast du vielleicht eine Beispielkonfiguration für so eine Gruppe ? Ich kann mir darunter einfach nichts vorstellen bzw. in welcher Datei wird die Gruppe beschrieben? (huntgroups) ?
Danke im voraus =)
WO willst du denn diese dynamische Zuordnung der VLANs machen ??? Auf dem Switchport oder auf dem WLAN AP ??
Wenn es der WLAN AP ist dann sollte dir klar sein das dieser dann auch alle VLANs tagged auf dem Switchport haben muss. Da du auf die Switches keine Zugriff hast solltest du das unbedingt überprüfen lassen !!
Ist ja logisch denn stell dir vor der AP macht nach der Radius Abfrage die Zuordnung ESSID zu VLAN x, d.h. der User kommt mit VLAN x getaggten Paketen am AP raus. Der Switchport liegt aber nicht tagged in VLAN x und schon nimmt das Unglück seinen Lauf...
Ist der Switchport zum AP nicht richtig konfiguriert, kannst du dir einen Wolf konfigurieren auf dem Radius...du wirst es dann nie zum Laufen bringen !
Diese Komponenten arbeiten eng zusammen und für eine saubere Konfig ist es wichtig das man diese Einstellung kennt.
Kann der AP z.B. 3 VLAN 10, 20 und 30 verwalten, muss er auch der Switchport (Beispiel Port 20 hier) tagged in diesen VLANs liegen. Beim HP sähe das z.B. so aus:
vlan 10
name "VLAN-10"
tagged 20
exit
vlan 20
name "VLAN-20"
tagged 20
exit
vlan 30
name "VLAN-30"
tagged 20
exit
Ohnedas du diese Konfig kennst ist das logischerweise ein Lotteriespiel !!
Wenn es der WLAN AP ist dann sollte dir klar sein das dieser dann auch alle VLANs tagged auf dem Switchport haben muss. Da du auf die Switches keine Zugriff hast solltest du das unbedingt überprüfen lassen !!
Ist ja logisch denn stell dir vor der AP macht nach der Radius Abfrage die Zuordnung ESSID zu VLAN x, d.h. der User kommt mit VLAN x getaggten Paketen am AP raus. Der Switchport liegt aber nicht tagged in VLAN x und schon nimmt das Unglück seinen Lauf...
Ist der Switchport zum AP nicht richtig konfiguriert, kannst du dir einen Wolf konfigurieren auf dem Radius...du wirst es dann nie zum Laufen bringen !
Diese Komponenten arbeiten eng zusammen und für eine saubere Konfig ist es wichtig das man diese Einstellung kennt.
Kann der AP z.B. 3 VLAN 10, 20 und 30 verwalten, muss er auch der Switchport (Beispiel Port 20 hier) tagged in diesen VLANs liegen. Beim HP sähe das z.B. so aus:
vlan 10
name "VLAN-10"
tagged 20
exit
vlan 20
name "VLAN-20"
tagged 20
exit
vlan 30
name "VLAN-30"
tagged 20
exit
Ohnedas du diese Konfig kennst ist das logischerweise ein Lotteriespiel !!
WO willst du denn diese dynamische Zuordnung der VLANs machen ??? Auf dem Switchport oder auf dem WLAN AP ??
Wenn sich jemand im Netzwerk anmelden will, soll dieser seine Benutzerdaten über SecureW2 eingeben. Der FreeRADIUS Server überprüft die Daten und bei richtigen Daten soll der Server dem Access Point die Informationen über das VLAN mitsenden. Also soll der AP die Zuordnung machen.
Wenn es der WLAN AP ist dann sollte dir klar sein das dieser dann auch alle VLANs tagged auf dem Switchport haben muss. Da du auf
die Switches keine Zugriff hast solltest du das unbedingt überprüfen lassen !!
die Switches keine Zugriff hast solltest du das unbedingt überprüfen lassen !!
Also das default VLAN is untagged. Somit funktioniert die Zuordnung nicht oder?
Ist ja logisch denn stell dir vor der AP macht nach der Radius Abfrage die Zuordnung ESSID zu VLAN x, d.h. der User kommt mit VLAN
x getaggten Paketen am AP raus. Der Switchport liegt aber nicht tagged in VLAN x und schon nimmt das Unglück seinen Lauf...
Ist der Switchport zum AP nicht richtig konfiguriert, kannst du dir einen Wolf konfigurieren auf dem Radius...du wirst es dann nie
zum Laufen bringen !
x getaggten Paketen am AP raus. Der Switchport liegt aber nicht tagged in VLAN x und schon nimmt das Unglück seinen Lauf...
Ist der Switchport zum AP nicht richtig konfiguriert, kannst du dir einen Wolf konfigurieren auf dem Radius...du wirst es dann nie
zum Laufen bringen !
Also funktioniert das erst wenn mein default VLAN tagged ist ?
