Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Dynamisches Vlan bei Freeradius mit Alcatel switch

Frage Netzwerke

Mitglied: agnar22

agnar22 (Level 1) - Jetzt verbinden

21.07.2008, aktualisiert 16:55 Uhr, 13227 Aufrufe, 6 Kommentare

HI alle zusammen,

Ich muss für mein Projekt in der Firma einen Freeradius Server mit dynamischer VLAN zuweisung aufsetzen.
Habe hier auch schon die Beiträge zur dynamischen Vlan zuweisung mit freeradius gelesen. Aber der Server will den authentifizierten Client einfach nicht dem
vorgegeben VLAN zuweisen.

So weit bin ich:

In der users Datei von Freeradius:
ich habe wie hier empfohlen die tags Tunnel-Type und Tunnel-Private-Group-ID in meiner users datei hinzugefügt, nur der tag Tunnel-Media-Type wollte einfach nicht
funktionieren. Da hat der RADIUS server immer einen config fehler ausgespuckt, deshalb hab ich diesen Tag weggelassen. Wird dieser Tag benötigt für die VLAN zuweisung??

willi Auth-Type := EAP, User-Password == "geheim"
Tunnel-Type = 13,
"Tunnel-Medium-Type = 6,"
Tunnel-Private-Group-Id = 2

In der clients.conf hab ich den switch auch richtig eingestellt. Hier meine config:


client 192.168.0.150/24
secret = Geheim
shortname = Alcatel



So nu weiter im thema. Ich benutze ein Layer-3-Switch von Alcatel (Omniswitch 6850-P24) der auch dynamische Vlan zuweisung unterstützt.
Mit dem User-Guide vom Alcatelswitch hab ich nu die config des switches erstellt. Es sollte eigentlich problemlos funktionieren.

"Sollte". Funktioniert aber nicht. Die Userauthentifizierung mit MD5 beim RADIUS server funktioniert ohne probleme nur eben diese dynamische VLAN zuweisung will noch nicht.
Hättet ihr vielleicht ein paar Tips für mich an was es liegt?

Bedanke mich schon jetzt für die antworten


Mit freundlichen grüßen

Agnar
Mitglied: aqui
21.07.2008 um 11:07 Uhr
Du darfst den Medium Type in keinem Falle auskommentieren. Das sind standartisierte Parameter für die dynamische Zuweisung von VLANs !!!
Deinen user Datei muss also so aussehen:
01.
02.
willi Auth-Type := EAP, User-Password == "test" 
03.
Tunnel-Type = 13, 
04.
Tunnel-Medium-Type = 6, 
05.
Tunnel-Private-Group-Id = 3 
06.
#
Du kannst den ganzen Rest der in der default user Datei bei Freeradius noch dabei ist rauslöschen wenn du keine Dialin oder local User bedienen willst sondern nur 802.1x User !
Damit wird dem User willi dynamisch das VLAN 3 zugewiesen !!!

Deine clients ist auch nicht ganz korrekt denn es fehlen Klammern. Die sollte so aussehen:
01.
02.
client 192.168.0.0/24 { 
03.
        secret          = geheim 
04.
        shortname       = alcatel 
05.
}
Damit lässt du den Zugriff generell von allen Komponenten im 192.168.0.0er Netzwerk zu !

Folgende Punkte sind noch zu beachten:
  • radius.conf editieren und checken das bei EAP alles auskommentiert ist
  • eap.conf editieren und ebenfalls checken das Kommentarzeilen auskommentiert ist
  • Den Radius Server mit Ports und IP Adresse auf dem Switch konfigurieren. Achtung: Radius benutzt in der Historie 2 Ports 1812 bzw. 1813 (1813 ist nur Accounting). Freeradius rennt per default auf dem Port 1812. Wenn dein Switch den alten Port 1645 bzw. 1646 (1646 nur Accounting) musst du das unbedingt einstellen !! Unterschiedliche Ports führen zur Fehlfunktion !!

Bei einem Cisco Switch sieht das Kommando so aus:
aaa authentication dot1x default radius
radius-server host 192.168.0.100 auth-port 1812 acct-port 1813 authentication-only key geheim dot1x

Damit sollte das dann problemlos funktionieren.
Es gibt ein kostenloses Testtool mit dem du den Radius Server ausprobieren kannst:

http://www.mastersoft-group.com/download/

(In der Auswahl NTRadPing wählen !)

Sehr wichtig ist den Radius Server erstmal manuell im Debug Modus zu starten mit bash# radiusd –X
Damit kannst du sofort genau sehen wo der Fehler ist sofern einer auftritt.
Du musst den Radius Daemon so oder so immer neustarten sofern du Änderungen an der user Datei vornimmst. In der Beziehung ist es einfacher den Daemon ertmal immer manuell zu starten.
Ggf. bietet der Switch auch noch eine Debug Funktion an die dir die Fehlersuche erleichtert ??!

Nochmal: Das Tunnel-Medium-Type = 6, Statement darf niemals fehlen in der user Konfig !
Bitte warten ..
Mitglied: agnar22
21.07.2008 um 11:25 Uhr
naja danke für die schnelle antwort.

Hab den Fehler behoben und es funktioniert eiwandfrei. ich schäme mich fast den Fehler zuzugeben.


Man sollte schon Medium-Type schreiben statt Media-Type.


So würd sagen ich setz mein beitrag auf erledigt.


und nochmals danke aqui
Bitte warten ..
Mitglied: aqui
21.07.2008 um 12:00 Uhr
Wär ja mal interessant zu erfahren WAS dein Fehler war ! Auch wenns ein Flüchtigkeitsfehler war.
Schämen musst du dich hier nicht dafür, denn ggf. hilft es anderen
Bitte warten ..
Mitglied: agnar22
21.07.2008 um 12:41 Uhr
ja ich hatte statt Tunnel-Medium-Type ein Tunnel-Media-Type in der config stehen.

Deshalb die Fehlermeldung. Und ohne den Tag gehts ja nicht. Der rest war alles richtig konfiguriert
Bitte warten ..
Mitglied: aqui
21.07.2008 um 16:55 Uhr
Kleine Ursache ..große Wirkung wie so oft. Klasse wenns jetzt klappt !
Bitte warten ..
Mitglied: dominikgawin
21.10.2009 um 12:37 Uhr
Hallo,

habe ein ähnliches Problem mit dem freeradius.
Authentifizierung über die Switche läuft einwandfrei über den Radius.

Clients werden anhand der MAC-Adresse einem bestimmten VLAN zugewiesen.

Nun gibt es allerdings den fall, sofern die MAC-Adresse nicht bekannt ist, sollen die User automatisch ins VLAN 30 fallen.
Im Switch kann ich das per RULE festlegen, allerdings habe ich diesen Punkt im OAW (WLAN Controller) noch nicht finden können, daher wollte ich ein DEFAULT VLAN über den RADIUS mitteilen.

Habe mir gedacht, dafür gibts den DEFAULT Eintrag am Ende der users.conf

DEFAULT Service-Type == "Login-User"
Tunnel-Type = "VLAN",
Tunnel-Medium-Type = "IEEE-802",
Tunnel-Private-Group-Id = "30"

Leider greift dieser Punkt nicht, der RADIUS macht kein Reply zum OAW 4504, Authentifizierung schlägt fehl und somit kein Zugang zum WLAN.
Hat jemand eine Ahnung wie ich dem RADIUS mitteilen kann, bei fehlerhaften LOGIN teile dem OAW diese VLAN-.ID mit?
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung (5)

Frage von mrserious73 zum Thema LAN, WAN, Wireless ...

Netzwerke
VLAN Problem zwischen Switch und Router (3)

Frage von Diddi93 zum Thema Netzwerke ...

TK-Netze & Geräte
gelöst VLANs über Switch verbinden (9)

Frage von bwurst zum Thema TK-Netze & Geräte ...

Netzwerkmanagement
gelöst VLAN mit Enterasys Switchen (6)

Frage von axalon zum Thema Netzwerkmanagement ...

Neue Wissensbeiträge
Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(8)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Datenschutz

Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht

Information von BassFishFox zum Thema Datenschutz ...

Firewall

PfSense OpenVPN beschleunigen

Tipp von Dobby zum Thema Firewall ...

Utilities

CCleaner 5.33 mit Malware infiziert

(27)

Information von SeaStorm zum Thema Utilities ...

Heiß diskutierte Inhalte
Utilities
CCleaner 5.33 mit Malware infiziert (27)

Information von SeaStorm zum Thema Utilities ...

Festplatten, SSD, Raid
gelöst Problem mit DELL 815R Server und Windows Bluescreen (24)

Frage von Leo-le zum Thema Festplatten, SSD, Raid ...

Windows Systemdateien
Windows bootet nicht mehr Fehlermeldung 0xc0000098 (19)

Frage von franzgoerlich zum Thema Windows Systemdateien ...

Windows Netzwerk
Dateien mit Intelligenz per GPO ins Programmverzeichnis (14)

Frage von erwin.t zum Thema Windows Netzwerk ...