Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VLAN automatisch zuordnen über FreeRadius

Mitglied: LordCillin

LordCillin (Level 1) - Jetzt verbinden

26.09.2007, aktualisiert 29.09.2007, 13177 Aufrufe, 7 Kommentare

Hallo alle zusammen!

Ich habe folgendes Problem:

Habe in einer Firma den Auftrag bekommen einen Radius-Server zu konfigurieren. Welcher zur Authentifizierung in dem hier angelegten Netzwerk genutzt werden soll. Die Authentifizierung am FreeRadius klappt soweit über PEAP. Nun wurde der Wunsch geäußert, dass den Nutzern via Radius ein VLAN zugeordnet werden soll. Und da liegt das Problem. Dies klappt auch nach längerem probieren, googeln etc. immer noch nicht. Ich habe leider keine Ahnung ob es an den Einstellungen vom FreeRadius hängt oder an den Einstellungen des Switches (Linksys SRW2016). Oder ob es überhaupt mit diesem Switch möglich ist, da das ja nicht alle beherschen sollen.

Schonmal vielen Dank für die Hilfe!

Mfg

LC
Mitglied: aqui
26.09.2007 um 12:22 Uhr
Die Freeradius Konfig für eine 802.1x Benutzerauthentisierung ist ganz einfach:

Clients.conf Datei:
01.
02.
client 192.168.1.0/24 { 
03.
        secret          =  Geheim 
04.
        shortname       = labortest 
05.
}
Das lässt Radius Zugriffe von Switches generell zu aus dem LAN 192.168.1.0/24. Ggf. musst du das auf dein IP Netz anpassen !

users Datei: (Benutzer willi, Passwort geheim, Ohne autom. VLAN Zuordnung)
01.
02.
willi Auth-Type := EAP, User-Password == "geheim" 
03.
#
users Datei: (Benutzer willi, Passwort geheim, Mit autom. VLAN Zuordnung)
01.
02.
willi Auth-Type := EAP, User-Password == "geheim" 
03.
Tunnel-Type = 13, 
04.
Tunnel-Medium-Type = 6, 
05.
Tunnel-Private-Group-Id = 10 
06.
#
Mit Tunnel-Private-Group-Id = 10 wird ihm dynamisch das VLAN 10 zugewiesen ! Ist übrigens genau die gleiche Syntax wie am ISA Server von MS.

Du solltest den Radius Server temporär mit radiusd –X starten, dann schmeisst er dir den Authentifizierungsvorgang auf die Konsole und du kannst sofort sehen wo der Fehler ist !
Im aktiven Betrieb sollte man das -X aber nicht einschalten !!!

Der Switch muss natürlich konfiguriert sein für 802.1x auf den Ports mit einer Radius Abfrage (Radius IP Adresse, Ports und Passwort) . Wie das beim Linksys geht ist detailliert auf Seite 59 im Handbuch beschrieben. Wie du den Radius Server im Switch konfigurierst steht im Handbuch auf Seite 85.
Falls du das Handbuch nicht hast hilft dir ggf. die Linksys-Produktseite

Im Datenblatt steht aber nichts vom Support von dynamsicher VLAN Zuweisung. Du solltest also ggf. als ersten Schritt erstmal die normale Benutzer Authentifizierung mit 802.1x testen bevor du auf die dynamische Zuweisung gehst !
Bitte warten ..
Mitglied: LordCillin
26.09.2007 um 13:06 Uhr
Wie gesagt die einfach Authentifizierung via PEAP funktioniert einwandfrei. Der Debug-Modus von Freeradius bringt keine Fehler. Und aus deinen Aussagen kann ich entnehmen das der Switch das nicht unbedingt können muss. Habe mich zu diesem Thema mal mit Linksys in Verbindung gesetzt. Leider noch keine Antwort.
Bitte warten ..
Mitglied: aqui
26.09.2007 um 13:10 Uhr
Bedenke das 802.1x immer EAP als Protokoll benutzt nie an PEAP. Das siehst du schon am Auth-Type in der User Konfig oben !

Eine normale Benutzer Authentifizierung am Switch Port supportet der Linksys aber problemlos mit der einfachen Benutzer Zeile bzw. Konfig wie oben beschrieben.

Es ist lediglich die Frage ob der Linksys eine dynamische VLAN Zuordnung zusätzlich kann..
Da sind wir dann mal auf die Antwort von Linksys gespannt... ?!
Bitte warten ..
Mitglied: LordCillin
28.09.2007 um 07:53 Uhr
Tja nun sind bereits 2 Tage ins Land gegangen und Linksys rührt sich nicht. Abwohl in der Eingangs-E-Mail eine Antwort innerhalb 24 Stunden zugesichert wurde. Durch testen hab ich inzwischen festegestellt, dass eine dynamische Zuordnung von VLANs mit dem Linksys SRW 2016 nicht möglich ist. Sofern Linksys in geraumer Zeit nicht das Gegenteil behaupten wird. Hat sich das Thema damit erledigt.

Nun gleich nocheinmal eine andere Frage: Gibt es da noch andere Möglichkeiten der Zuordnung?

MfG

LC
Bitte warten ..
Mitglied: aqui
28.09.2007 um 17:03 Uhr
Was meinst du damit ??? Andere Möglichkeiten der dynamischen Zuordnung ??? Ja, die gibt es noch über die MAC Adresse. Einige Hersteller supporten sowas, der Port authentisiert dann nicht nach 802.1x Username und Password sondern nach der MAC Adresse der LAN Karte und bekommt dann mit genau demselben Mechanismus über den radius dynamisch ein VLAN zugeordent !!

Das sind die einzigen Möglichkeiten derzeit am Markt.
Falls du eine nicht dynamische Zuweisung meinst, geht das natürlich problemlos als statische Zuweisung über das Switch Setup...aber das weist du ja sicher selber
Bitte warten ..
Mitglied: LordCillin
29.09.2007 um 03:06 Uhr
Alles klar dank dir für die Auskunft die beiden Varianten via Radius bzw. Mac sind mir bekannt. Dachte nur ich hätte vllt eine übersehen.
Bitte warten ..
Mitglied: aqui
29.09.2007 um 22:55 Uhr
Wenns das war bitte
https://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Ähnliche Inhalte
Linux Netzwerk

FreeRadius-Server (raspberry pi) kann keine neuen Clients in andere VLANs zuordnen

gelöst Frage von JiggyLeeLinux Netzwerk21 Kommentare

Hallöchen allerseits, wir haben ein kleines Problem in unserer Abteilung und suchen nach Rat. wie im Titel beschrieben, verwenden ...

LAN, WAN, Wireless

PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung

Frage von mrserious73LAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich verwende nun Freeradius auf pfSense, um ein EAP-TLS für's WLAN zu stellen. In Zukunft möchte ich ...

LAN, WAN, Wireless

Freeradius und LDAPs

gelöst Frage von Tikro76LAN, WAN, Wireless2 Kommentare

Hallo zusammen, dies ist mein erster Beitrag somit steinigt mich bitte nicht. :) Ich fummel im Zuge meiner Projektarbeit ...

Suse

Suse - Freeradius - chillispot

Frage von paidopoieoSuse2 Kommentare

Hi, hab auf meinem Suse freeradius server installiert, mit mysql db angebunden. freeradius für eap/peap authentifizierung konfiguriert. funktioniert soweit ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 1 TagAusbildung9 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 3 TagenSpeicherkarten3 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 3 TagenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 3 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware18 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...

Suche Projektpartner
Debian 9.5 32 Bit und PHP 7 Fehlerbeseitigungen
Frage von zeroblue2005Suche Projektpartner11 Kommentare

Hallo Zusammen, ich habe eine VM auf Basis von ESXI am laufen. Dieser wurde unter Debian 7 installiert mt ...

Windows Server
Zertifikat RemoteDesktop hinterlegen
gelöst Frage von Green14Windows Server11 Kommentare

Hallo zusammen. ich habe mehrere Server (WinSrv 2016). Die Server sind in keiner Domäne und keine Terminalserver. Ich verbinde ...

Google Android
Samsung S7 Kontakte gelöscht. Kann man die wieder herstellen
Frage von merkelGoogle Android10 Kommentare

Hallo, auf einem S7 wurden Kontakte gelöscht. kann man die wieder herstellen ? gruss Jonas