lordcillin
Goto Top

VLAN automatisch zuordnen über FreeRadius

Hallo alle zusammen!

Ich habe folgendes Problem:

Habe in einer Firma den Auftrag bekommen einen Radius-Server zu konfigurieren. Welcher zur Authentifizierung in dem hier angelegten Netzwerk genutzt werden soll. Die Authentifizierung am FreeRadius klappt soweit über PEAP. Nun wurde der Wunsch geäußert, dass den Nutzern via Radius ein VLAN zugeordnet werden soll. Und da liegt das Problem. Dies klappt auch nach längerem probieren, googeln etc. immer noch nicht. Ich habe leider keine Ahnung ob es an den Einstellungen vom FreeRadius hängt oder an den Einstellungen des Switches (Linksys SRW2016). Oder ob es überhaupt mit diesem Switch möglich ist, da das ja nicht alle beherschen sollen.

Schonmal vielen Dank für die Hilfe!

Mfg

LC

Content-Key: 69515

Url: https://administrator.de/contentid/69515

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: aqui
aqui 26.09.2007, aktualisiert am 15.05.2023 um 16:49:21 Uhr
Goto Top
Die Freeradius Konfig für eine 802.1x Benutzerauthentisierung ist ganz einfach:
Guckst du dazu auch HIER.

Clients.conf Datei:
#
client 192.168.1.0/24 {
        secret          =  Geheim
        shortname       = labortest
}
Das lässt Radius Zugriffe von Switches generell zu aus dem LAN 192.168.1.0/24. Ggf. musst du das auf dein IP Netz anpassen !

users Datei: (Benutzer willi, Passwort geheim, Ohne autom. VLAN Zuordnung)
#
willi Auth-Type := EAP, User-Password == "geheim"  
#
users Datei: (Benutzer willi, Passwort geheim, Mit autom. VLAN Zuordnung)
#
willi Auth-Type := EAP, User-Password == "geheim"  
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
#
Mit Tunnel-Private-Group-Id = 10 wird ihm dynamisch das VLAN 10 zugewiesen ! Ist übrigens genau die gleiche Syntax wie am ISA Server von MS.

Du solltest den Radius Server temporär mit radiusd –X starten, dann schmeisst er dir den Authentifizierungsvorgang auf die Konsole und du kannst sofort sehen wo der Fehler ist !
Im aktiven Betrieb sollte man das -X aber nicht einschalten !!!

Der Switch muss natürlich konfiguriert sein für 802.1x auf den Ports mit einer Radius Abfrage (Radius IP Adresse, Ports und Passwort) . Wie das beim Linksys geht ist detailliert auf Seite 59 im Handbuch beschrieben. Wie du den Radius Server im Switch konfigurierst steht im Handbuch auf Seite 85.
Falls du das Handbuch nicht hast hilft dir ggf. die Linksys-Produktseite

Im Datenblatt steht aber nichts vom Support von dynamsicher VLAN Zuweisung. Du solltest also ggf. als ersten Schritt erstmal die normale Benutzer Authentifizierung mit 802.1x testen bevor du auf die dynamische Zuweisung gehst !
Mitglied: LordCillin
LordCillin 26.09.2007 um 13:06:19 Uhr
Goto Top
Wie gesagt die einfach Authentifizierung via PEAP funktioniert einwandfrei. Der Debug-Modus von Freeradius bringt keine Fehler. Und aus deinen Aussagen kann ich entnehmen das der Switch das nicht unbedingt können muss. Habe mich zu diesem Thema mal mit Linksys in Verbindung gesetzt. Leider noch keine Antwort.
Mitglied: aqui
aqui 26.09.2007 um 13:10:50 Uhr
Goto Top
Bedenke das 802.1x immer EAP als Protokoll benutzt nie an PEAP. Das siehst du schon am Auth-Type in der User Konfig oben !

Eine normale Benutzer Authentifizierung am Switch Port supportet der Linksys aber problemlos mit der einfachen Benutzer Zeile bzw. Konfig wie oben beschrieben.

Es ist lediglich die Frage ob der Linksys eine dynamische VLAN Zuordnung zusätzlich kann..
Da sind wir dann mal auf die Antwort von Linksys gespannt... ?!
Mitglied: LordCillin
LordCillin 28.09.2007 um 07:53:01 Uhr
Goto Top
Tja nun sind bereits 2 Tage ins Land gegangen und Linksys rührt sich nicht. Abwohl in der Eingangs-E-Mail eine Antwort innerhalb 24 Stunden zugesichert wurde. Durch testen hab ich inzwischen festegestellt, dass eine dynamische Zuordnung von VLANs mit dem Linksys SRW 2016 nicht möglich ist. Sofern Linksys in geraumer Zeit nicht das Gegenteil behaupten wird. Hat sich das Thema damit erledigt.

Nun gleich nocheinmal eine andere Frage: Gibt es da noch andere Möglichkeiten der Zuordnung?

MfG

LC
Mitglied: aqui
aqui 28.09.2007 um 17:03:27 Uhr
Goto Top
Was meinst du damit ??? Andere Möglichkeiten der dynamischen Zuordnung ??? Ja, die gibt es noch über die MAC Adresse. Einige Hersteller supporten sowas, der Port authentisiert dann nicht nach 802.1x Username und Password sondern nach der MAC Adresse der LAN Karte und bekommt dann mit genau demselben Mechanismus über den radius dynamisch ein VLAN zugeordent !!

Das sind die einzigen Möglichkeiten derzeit am Markt.
Falls du eine nicht dynamische Zuweisung meinst, geht das natürlich problemlos als statische Zuweisung über das Switch Setup...aber das weist du ja sicher selber face-wink
Mitglied: LordCillin
LordCillin 29.09.2007 um 03:06:18 Uhr
Goto Top
Alles klar dank dir für die Auskunft face-smile die beiden Varianten via Radius bzw. Mac sind mir bekannt. Dachte nur ich hätte vllt eine übersehen.
Mitglied: aqui
aqui 29.09.2007 um 22:55:09 Uhr
Goto Top
Wenns das war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !