Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Probleme mit 802.1x

Mitglied: sellfisch

sellfisch (Level 1) - Jetzt verbinden

26.10.2006, aktualisiert 27.10.2006, 6498 Aufrufe, 3 Kommentare

Probleme mit dem Intregrieren eines Radius-Servers in ein Lan.

Guten morgen,

ich stehe momentan vor einem kleinen Problem. Ich bin noch Azubi und habe im Bereich Netzwerk nur die Grundlagen gerlernt. Nun soll ich folgendes Bewerkstelligen.

Zunächst zum Aufbau.
Ich habe einen Anschluss ans Internet über einen Siemens Gigaset Router (mit aktiviertem DHCP).
->An dem darf ich leider nichts verändern.
Daran angeschlossen ist eine Fortigate 60 Firewall mit eingebauten Router.

Der Router bekommt vom DHCP des Gigasets die IP 192.168.2.172 und ist über den WAN1 Anschluss der FortigateFirewall mit dem Gigaset verbunden

An dem Internal-Interface der Fortigate ist dann ein Cisco Catalyst 24 Port Switch angeschlossen. Der Internal Port hat die static IP 192.168.1.2.

An dem Switch hängt ein Linux DHCP Server auf dem auch der Radius-Server installiert sein soll.
Der Linux Rechner hat die static IP 192.168.1.1

Der letzte Rechner in dem Netz ist ein Windows XP Prof Rechner der als Client arbeiten soll und die IP via DHCP anfordert, bzw sich beim Radius Server authentifizieren muss.

Meine Aufgabe:
Mein Netzwerk beginnt Quasi nach der Fortigate Firewall. Das Routing funktioniert ohne Probleme.
Nun ist es meine Aufgabe auf dem Linux Rechner Freeradius so einzurichten, dass sich der Windows Rechner beim Radius-Server authentifiziert und eine IP zugewiesen bekommt.
Wenn der Rechner dem Radius-Server bekannt ist, soll dieser in das Vlan x
wenn nicht in das Vlan y.

Ich kenne mich mit Linux nur wenig aus und hatte mit Radius sowie 802.1x noch nie was zu tun.
Kennt jemand ein paar gute Dokumentationen oder hat Zeit mir zu helfen?

Würde mich sehr freuen.
MfG
Sellfisch
Mitglied: aqui
26.10.2006 um 21:31 Uhr
Freeradius kannst du einfach aus der Distro installieren, das ist entsprechend eingerichtet für die .1x Anforderung.
Hier ist die fertige Konfiguration dafür für den Freeradius Server:

clients.conf
client 192.168.1.2/24 {
secret = geheim
shortname = cisco switch
}

users
test Auth-Type := EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 3

Wenn du den Freeradius mit der debug Option startest "radiusd -X" dann kannst du den Authentifizierungsprozess genau verfolgen bzw. bei Fehlern reagieren.
Denk dran das du nach jeder Änderung in der users Datei den Radiusdaemon neu starten musst ! Wenn du ihn händisch startest mit <ctrl> c stoppen und wie oben neu starten.

Der User "test" mit dem Password "test" bekommt dann dynamisch das VLAN 3 zugeordnet sofern der Cisco entsprechend konfiguriert ist für dot1x auf den Interfaces.
Die korrekten Radius Einstellungen für den Switch findest du im Handbuch oder auf der Cisco Seite.
Bitte warten ..
Mitglied: sellfisch
27.10.2006 um 08:24 Uhr
Erst mal vielen Dank für die Antwort!

Hab das jetzt einfach mal eingefügt und bekomme folgende Rückmeldung:
01.
Module: Instantiated preprocess (preprocess) 
02.
Module: Loaded realm 
03.
 realm: format = "suffix" 
04.
 realm: delimiter = "@" 
05.
 realm: ignore_default = no 
06.
 realm: ignore_null = no 
07.
Module: Instantiated realm (suffix) 
08.
Module: Loaded files 
09.
 files: usersfile = "/etc/raddb/users" 
10.
 files: acctusersfile = "/etc/raddb/acct_users" 
11.
 files: preproxy_usersfile = "/etc/raddb/preproxy_users" 
12.
 files: compat = "no" 
13.
/etc/raddb/users[93]: Parse error (check) for entry Tunnel-Type: expecting '=' 
14.
Errors reading /etc/raddb/users 
15.
radiusd.conf[1047]: files: Module instantiation failed. 
16.
radiusd.conf[1791] Unknown module "files". 
17.
radiusd.conf[1727] Failed to parse authorize section.
Hast du in der Clients.conf angegeben, dass der cisco switch die ip 192.168.1.2 hat? Der Switch hat keine IP. Der dahinter liegende Router besitzt die Adresse 192.168.1.2

VMPS hat mit dem Radius Server weniger zu tun, oder?
Bitte warten ..
Mitglied: aqui
27.10.2006 um 13:34 Uhr
Mit dem Fehler beim "=" hast du wahrscheinlich kein Blank davor und dahinter gesetzt. Freeradius ist da aber etwas zickig und verlangt jeweils ein Leerzeichen vor und hinter dem "="
damit sollte der Fehler gefixt sein.

Die Clients.conf bestimmt auf welche Anfragen der Freeradius überhaupt reagiert. Statt einer dedizierten Adresse kannst du hier auch ein netzwerk angeben (192.168.1.0) Dann akzeptiert er alle Anfragen aus dem 192.168.1.0er Netz. Ist einfacher wenn man mehrere Radius devices in diesem Netz hat. Mit "secret" ist das Verschlüsselungspasswort gemeint. Alle Radius Anfragen über das Netz werden verschlüsselt. Ist auch klar sonst könnte ich ja alle Passwörter mitsniffern Dies "secret" Passwort muss mit den Passwörtern der Radiuskonfig auf dem Switch/Router übereinstimmen !!!

Der Switch MUSS eine IP haben, denn 802.1x soll ja eine Portauthentifizierung am Switch mit anschliessend zugewiesenem dynamischen VLAN am Port sein oder habe ich das falsch verstanden ???
Ausserdem muss der Switch ja irgendwie gemanged werden dafür ist zwingend eine IP Adresse erforderlich, deshalb ist es unverständlich das er keine haben soll !!!

Bei dot1x gibt es immer den "Supplicant" (das ist der Client der die dot1x Anfrage stellt) den "Authenticator" (Das ist derjenige der zuweist, meist ein Switch oder bei WLAN ein Accesspoint) und dann den Authentication Server, was in der Regel ein Radius Server ist.
Wenn der 802.1x Port am Switch zugewiesen werden soll nützt dir die IP am Router herzlich wenig.... Router partizipieren meist nie an dot1x Szenarien !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Accesspoint mit 802.1X zu Switch mit 802.1X

Frage von maartsLAN, WAN, Wireless12 Kommentare

Hallo, ich möchte folgende Konfiguration abbilden: Ziel: Ein Accesspoint mit WLAN 802.1X soll mit einem Switch über einen802.1X Port ...

LAN, WAN, Wireless

802.1X-Authentifizierung

gelöst Frage von Alex29LAN, WAN, Wireless25 Kommentare

Hallo in die Runde, ich bin Hobby-Admin und würde in meinem Netzwerk gern eine 802.1X-Authentifizierung einrichten. Dazu habe ich ...

Windows Netzwerk

802.1x Konfiguration

gelöst Frage von michaelb123Windows Netzwerk2 Kommentare

Hallo, ich habe auf meinem Rechner (win7) als Authentifizierung 802.1x eingerichtet. Es funktioniert auch gut, solange der Switch dementsprechend ...

LAN, WAN, Wireless

Access Point für 802.1X Authentifizierung

gelöst Frage von technikneulingLAN, WAN, Wireless6 Kommentare

Hallo, ich hoffe mir kann hier jemand helfen. Und zwar studiere ich momentan an einer Universität, und nutze in ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 1 TagBackup1 Kommentar

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 3 TagenHumor (lol)7 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 3 TagenExchange Server9 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 4 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
E-Mail
Deutsche e-Mail Adresse auf iPhone in Katar. Nur Probleme
gelöst Frage von vanTastE-Mail25 Kommentare

Moin, ich habe hier in Deutschland auf einem Exchange 2013 eine e-Mail Adresse (name@domain.de) für einen Kollegen in Katar ...

Windows Server
Domäne beitreten nicht möglich, unter VMWare windows Server 2016 Core
Frage von AmanuelWindows Server11 Kommentare

Ich habe auf meinem Mac unter VMWare Windows Server 2016 Core und Windows Server 2016 Desktopversion installiert. Beide Systeme ...

RedHat, CentOS, Fedora
OTRS 5 kann keine Mails mehr abrufen
gelöst Frage von opc123RedHat, CentOS, Fedora11 Kommentare

Hallo, OTRS kann keine Mails mehr abrufen. Verschicken ja. Dadurch kommen keine Tickets mehr rein. Gibt es Anlaufpunkte was ...

Windows Server
Server 2016 Autotiering Storage Space
Frage von HenereWindows Server11 Kommentare

Servus, ich habe jetzt ein StorageSpace auf einem Server 2016 in Betrieb zum Testen. 1x M2 mit 512GB (970pro) ...