Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Dynamisches Vlan bei Freeradius mit Alcatel switch

Frage Netzwerke

Mitglied: agnar22

agnar22 (Level 1) - Jetzt verbinden

21.07.2008, aktualisiert 16:55 Uhr, 12918 Aufrufe, 6 Kommentare

HI alle zusammen,

Ich muss für mein Projekt in der Firma einen Freeradius Server mit dynamischer VLAN zuweisung aufsetzen.
Habe hier auch schon die Beiträge zur dynamischen Vlan zuweisung mit freeradius gelesen. Aber der Server will den authentifizierten Client einfach nicht dem
vorgegeben VLAN zuweisen.

So weit bin ich:

In der users Datei von Freeradius:
ich habe wie hier empfohlen die tags Tunnel-Type und Tunnel-Private-Group-ID in meiner users datei hinzugefügt, nur der tag Tunnel-Media-Type wollte einfach nicht
funktionieren. Da hat der RADIUS server immer einen config fehler ausgespuckt, deshalb hab ich diesen Tag weggelassen. Wird dieser Tag benötigt für die VLAN zuweisung??

willi Auth-Type := EAP, User-Password == "geheim"
Tunnel-Type = 13,
"Tunnel-Medium-Type = 6,"
Tunnel-Private-Group-Id = 2

In der clients.conf hab ich den switch auch richtig eingestellt. Hier meine config:


client 192.168.0.150/24
secret = Geheim
shortname = Alcatel



So nu weiter im thema. Ich benutze ein Layer-3-Switch von Alcatel (Omniswitch 6850-P24) der auch dynamische Vlan zuweisung unterstützt.
Mit dem User-Guide vom Alcatelswitch hab ich nu die config des switches erstellt. Es sollte eigentlich problemlos funktionieren.

"Sollte". Funktioniert aber nicht. Die Userauthentifizierung mit MD5 beim RADIUS server funktioniert ohne probleme nur eben diese dynamische VLAN zuweisung will noch nicht.
Hättet ihr vielleicht ein paar Tips für mich an was es liegt?

Bedanke mich schon jetzt für die antworten


Mit freundlichen grüßen

Agnar
Mitglied: aqui
21.07.2008 um 11:07 Uhr
Du darfst den Medium Type in keinem Falle auskommentieren. Das sind standartisierte Parameter für die dynamische Zuweisung von VLANs !!!
Deinen user Datei muss also so aussehen:
01.
02.
willi Auth-Type := EAP, User-Password == "test" 
03.
Tunnel-Type = 13, 
04.
Tunnel-Medium-Type = 6, 
05.
Tunnel-Private-Group-Id = 3 
06.
#
Du kannst den ganzen Rest der in der default user Datei bei Freeradius noch dabei ist rauslöschen wenn du keine Dialin oder local User bedienen willst sondern nur 802.1x User !
Damit wird dem User willi dynamisch das VLAN 3 zugewiesen !!!

Deine clients ist auch nicht ganz korrekt denn es fehlen Klammern. Die sollte so aussehen:
01.
02.
client 192.168.0.0/24 { 
03.
        secret          = geheim 
04.
        shortname       = alcatel 
05.
}
Damit lässt du den Zugriff generell von allen Komponenten im 192.168.0.0er Netzwerk zu !

Folgende Punkte sind noch zu beachten:
  • radius.conf editieren und checken das bei EAP alles auskommentiert ist
  • eap.conf editieren und ebenfalls checken das Kommentarzeilen auskommentiert ist
  • Den Radius Server mit Ports und IP Adresse auf dem Switch konfigurieren. Achtung: Radius benutzt in der Historie 2 Ports 1812 bzw. 1813 (1813 ist nur Accounting). Freeradius rennt per default auf dem Port 1812. Wenn dein Switch den alten Port 1645 bzw. 1646 (1646 nur Accounting) musst du das unbedingt einstellen !! Unterschiedliche Ports führen zur Fehlfunktion !!

Bei einem Cisco Switch sieht das Kommando so aus:
aaa authentication dot1x default radius
radius-server host 192.168.0.100 auth-port 1812 acct-port 1813 authentication-only key geheim dot1x

Damit sollte das dann problemlos funktionieren.
Es gibt ein kostenloses Testtool mit dem du den Radius Server ausprobieren kannst:

http://www.mastersoft-group.com/download/

(In der Auswahl NTRadPing wählen !)

Sehr wichtig ist den Radius Server erstmal manuell im Debug Modus zu starten mit bash# radiusd –X
Damit kannst du sofort genau sehen wo der Fehler ist sofern einer auftritt.
Du musst den Radius Daemon so oder so immer neustarten sofern du Änderungen an der user Datei vornimmst. In der Beziehung ist es einfacher den Daemon ertmal immer manuell zu starten.
Ggf. bietet der Switch auch noch eine Debug Funktion an die dir die Fehlersuche erleichtert ??!

Nochmal: Das Tunnel-Medium-Type = 6, Statement darf niemals fehlen in der user Konfig !
Bitte warten ..
Mitglied: agnar22
21.07.2008 um 11:25 Uhr
naja danke für die schnelle antwort.

Hab den Fehler behoben und es funktioniert eiwandfrei. ich schäme mich fast den Fehler zuzugeben.


Man sollte schon Medium-Type schreiben statt Media-Type.


So würd sagen ich setz mein beitrag auf erledigt.


und nochmals danke aqui
Bitte warten ..
Mitglied: aqui
21.07.2008 um 12:00 Uhr
Wär ja mal interessant zu erfahren WAS dein Fehler war ! Auch wenns ein Flüchtigkeitsfehler war.
Schämen musst du dich hier nicht dafür, denn ggf. hilft es anderen
Bitte warten ..
Mitglied: agnar22
21.07.2008 um 12:41 Uhr
ja ich hatte statt Tunnel-Medium-Type ein Tunnel-Media-Type in der config stehen.

Deshalb die Fehlermeldung. Und ohne den Tag gehts ja nicht. Der rest war alles richtig konfiguriert
Bitte warten ..
Mitglied: aqui
21.07.2008 um 16:55 Uhr
Kleine Ursache ..große Wirkung wie so oft. Klasse wenns jetzt klappt !
Bitte warten ..
Mitglied: dominikgawin
21.10.2009 um 12:37 Uhr
Hallo,

habe ein ähnliches Problem mit dem freeradius.
Authentifizierung über die Switche läuft einwandfrei über den Radius.

Clients werden anhand der MAC-Adresse einem bestimmten VLAN zugewiesen.

Nun gibt es allerdings den fall, sofern die MAC-Adresse nicht bekannt ist, sollen die User automatisch ins VLAN 30 fallen.
Im Switch kann ich das per RULE festlegen, allerdings habe ich diesen Punkt im OAW (WLAN Controller) noch nicht finden können, daher wollte ich ein DEFAULT VLAN über den RADIUS mitteilen.

Habe mir gedacht, dafür gibts den DEFAULT Eintrag am Ende der users.conf

DEFAULT Service-Type == "Login-User"
Tunnel-Type = "VLAN",
Tunnel-Medium-Type = "IEEE-802",
Tunnel-Private-Group-Id = "30"

Leider greift dieser Punkt nicht, der RADIUS macht kein Reply zum OAW 4504, Authentifizierung schlägt fehl und somit kein Zugang zum WLAN.
Hat jemand eine Ahnung wie ich dem RADIUS mitteilen kann, bei fehlerhaften LOGIN teile dem OAW diese VLAN-.ID mit?
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Ist VLAN bei Zyxel Switch komplizierter als beim Rest? (2)

Frage von StefanKittel zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
LANCOM VLAN mit HP Switch? (1)

Frage von TBTuR0k zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst VLAN Probleme mit Alix APU.1D und Switch (81)

Frage von dan0ne zum Thema Router & Routing ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...