Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Probleme mit 802.1x

Mitglied: sellfisch

sellfisch (Level 1) - Jetzt verbinden

26.10.2006, aktualisiert 27.10.2006, 6494 Aufrufe, 3 Kommentare

Probleme mit dem Intregrieren eines Radius-Servers in ein Lan.

Guten morgen,

ich stehe momentan vor einem kleinen Problem. Ich bin noch Azubi und habe im Bereich Netzwerk nur die Grundlagen gerlernt. Nun soll ich folgendes Bewerkstelligen.

Zunächst zum Aufbau.
Ich habe einen Anschluss ans Internet über einen Siemens Gigaset Router (mit aktiviertem DHCP).
->An dem darf ich leider nichts verändern.
Daran angeschlossen ist eine Fortigate 60 Firewall mit eingebauten Router.

Der Router bekommt vom DHCP des Gigasets die IP 192.168.2.172 und ist über den WAN1 Anschluss der FortigateFirewall mit dem Gigaset verbunden

An dem Internal-Interface der Fortigate ist dann ein Cisco Catalyst 24 Port Switch angeschlossen. Der Internal Port hat die static IP 192.168.1.2.

An dem Switch hängt ein Linux DHCP Server auf dem auch der Radius-Server installiert sein soll.
Der Linux Rechner hat die static IP 192.168.1.1

Der letzte Rechner in dem Netz ist ein Windows XP Prof Rechner der als Client arbeiten soll und die IP via DHCP anfordert, bzw sich beim Radius Server authentifizieren muss.

Meine Aufgabe:
Mein Netzwerk beginnt Quasi nach der Fortigate Firewall. Das Routing funktioniert ohne Probleme.
Nun ist es meine Aufgabe auf dem Linux Rechner Freeradius so einzurichten, dass sich der Windows Rechner beim Radius-Server authentifiziert und eine IP zugewiesen bekommt.
Wenn der Rechner dem Radius-Server bekannt ist, soll dieser in das Vlan x
wenn nicht in das Vlan y.

Ich kenne mich mit Linux nur wenig aus und hatte mit Radius sowie 802.1x noch nie was zu tun.
Kennt jemand ein paar gute Dokumentationen oder hat Zeit mir zu helfen?

Würde mich sehr freuen.
MfG
Sellfisch
Mitglied: aqui
26.10.2006 um 21:31 Uhr
Freeradius kannst du einfach aus der Distro installieren, das ist entsprechend eingerichtet für die .1x Anforderung.
Hier ist die fertige Konfiguration dafür für den Freeradius Server:

clients.conf
client 192.168.1.2/24 {
secret = geheim
shortname = cisco switch
}

users
test Auth-Type := EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 3

Wenn du den Freeradius mit der debug Option startest "radiusd -X" dann kannst du den Authentifizierungsprozess genau verfolgen bzw. bei Fehlern reagieren.
Denk dran das du nach jeder Änderung in der users Datei den Radiusdaemon neu starten musst ! Wenn du ihn händisch startest mit <ctrl> c stoppen und wie oben neu starten.

Der User "test" mit dem Password "test" bekommt dann dynamisch das VLAN 3 zugeordnet sofern der Cisco entsprechend konfiguriert ist für dot1x auf den Interfaces.
Die korrekten Radius Einstellungen für den Switch findest du im Handbuch oder auf der Cisco Seite.
Bitte warten ..
Mitglied: sellfisch
27.10.2006 um 08:24 Uhr
Erst mal vielen Dank für die Antwort!

Hab das jetzt einfach mal eingefügt und bekomme folgende Rückmeldung:
01.
Module: Instantiated preprocess (preprocess) 
02.
Module: Loaded realm 
03.
 realm: format = "suffix" 
04.
 realm: delimiter = "@" 
05.
 realm: ignore_default = no 
06.
 realm: ignore_null = no 
07.
Module: Instantiated realm (suffix) 
08.
Module: Loaded files 
09.
 files: usersfile = "/etc/raddb/users" 
10.
 files: acctusersfile = "/etc/raddb/acct_users" 
11.
 files: preproxy_usersfile = "/etc/raddb/preproxy_users" 
12.
 files: compat = "no" 
13.
/etc/raddb/users[93]: Parse error (check) for entry Tunnel-Type: expecting '=' 
14.
Errors reading /etc/raddb/users 
15.
radiusd.conf[1047]: files: Module instantiation failed. 
16.
radiusd.conf[1791] Unknown module "files". 
17.
radiusd.conf[1727] Failed to parse authorize section.
Hast du in der Clients.conf angegeben, dass der cisco switch die ip 192.168.1.2 hat? Der Switch hat keine IP. Der dahinter liegende Router besitzt die Adresse 192.168.1.2

VMPS hat mit dem Radius Server weniger zu tun, oder?
Bitte warten ..
Mitglied: aqui
27.10.2006 um 13:34 Uhr
Mit dem Fehler beim "=" hast du wahrscheinlich kein Blank davor und dahinter gesetzt. Freeradius ist da aber etwas zickig und verlangt jeweils ein Leerzeichen vor und hinter dem "="
damit sollte der Fehler gefixt sein.

Die Clients.conf bestimmt auf welche Anfragen der Freeradius überhaupt reagiert. Statt einer dedizierten Adresse kannst du hier auch ein netzwerk angeben (192.168.1.0) Dann akzeptiert er alle Anfragen aus dem 192.168.1.0er Netz. Ist einfacher wenn man mehrere Radius devices in diesem Netz hat. Mit "secret" ist das Verschlüsselungspasswort gemeint. Alle Radius Anfragen über das Netz werden verschlüsselt. Ist auch klar sonst könnte ich ja alle Passwörter mitsniffern Dies "secret" Passwort muss mit den Passwörtern der Radiuskonfig auf dem Switch/Router übereinstimmen !!!

Der Switch MUSS eine IP haben, denn 802.1x soll ja eine Portauthentifizierung am Switch mit anschliessend zugewiesenem dynamischen VLAN am Port sein oder habe ich das falsch verstanden ???
Ausserdem muss der Switch ja irgendwie gemanged werden dafür ist zwingend eine IP Adresse erforderlich, deshalb ist es unverständlich das er keine haben soll !!!

Bei dot1x gibt es immer den "Supplicant" (das ist der Client der die dot1x Anfrage stellt) den "Authenticator" (Das ist derjenige der zuweist, meist ein Switch oder bei WLAN ein Accesspoint) und dann den Authentication Server, was in der Regel ein Radius Server ist.
Wenn der 802.1x Port am Switch zugewiesen werden soll nützt dir die IP am Router herzlich wenig.... Router partizipieren meist nie an dot1x Szenarien !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Accesspoint mit 802.1X zu Switch mit 802.1X

Frage von maartsLAN, WAN, Wireless12 Kommentare

Hallo, ich möchte folgende Konfiguration abbilden: Ziel: Ein Accesspoint mit WLAN 802.1X soll mit einem Switch über einen802.1X Port ...

LAN, WAN, Wireless

802.1X-Authentifizierung

gelöst Frage von Alex29LAN, WAN, Wireless25 Kommentare

Hallo in die Runde, ich bin Hobby-Admin und würde in meinem Netzwerk gern eine 802.1X-Authentifizierung einrichten. Dazu habe ich ...

Windows Netzwerk

802.1x Konfiguration

gelöst Frage von michaelb123Windows Netzwerk2 Kommentare

Hallo, ich habe auf meinem Rechner (win7) als Authentifizierung 802.1x eingerichtet. Es funktioniert auch gut, solange der Switch dementsprechend ...

LAN, WAN, Wireless

Access Point für 802.1X Authentifizierung

gelöst Frage von technikneulingLAN, WAN, Wireless6 Kommentare

Hallo, ich hoffe mir kann hier jemand helfen. Und zwar studiere ich momentan an einer Universität, und nutze in ...

Neue Wissensbeiträge
Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 11 MinutenWindows 10

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 14 StundenVideo & Streaming2 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 1 TagErkennung und -Abwehr

Servus Kollegen, downloadbar unter

Windows Update

Microsoft Patchday Juni 2018 - BSOD, obwohl noch kein Patch freigegeben

Erfahrungsbericht von diemilz vor 1 TagWindows Update4 Kommentare

Hallo zusammen, wir hatten hier letzte Woche ein massives Problem. Alles begann damit, dass ein Mitarbeiter kurz vor Feierabend ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell Netzwerkdrucker auflisten
gelöst Frage von schiggi85Batch & Shell18 Kommentare

Hallo zusammen, ich möchte mit dem invoke-command bei einem remoteclient die installierten Netzwerkdrucker des Users abfragen. Nur klappt das ...

Outlook & Mail
Nachweis des Löschens einer Email nach DSGVO in Outlook
Frage von linuxadmOutlook & Mail18 Kommentare

Hallo Forum, wie wahrscheinlich viele von Euch kämpfe ich mit der Umsetzung der DSGVO bei meinen Kunden. Konkret geht ...

CPU, RAM, Mainboards
ASUS P5W DELUXE startet nur manchmal und nur mit 2 GraKas
Frage von Windows10GegnerCPU, RAM, Mainboards17 Kommentare

Hallo, ich habe das o.g. Motherboard erhalten. Egal ob C2D 8400, Pentium D 945 oder P4 670, das teil ...

IDE & Editoren
36883? Keio hh2 friend friend m (dot)
Frage von xyxb3mIDE & Editoren13 Kommentare

; @ @ @ Keio hh2 hh2 friend friend; into into;; %; ;