Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Freeradius VLAN-Zuordnung Fehler

Frage Linux

Mitglied: dragonmaster86

dragonmaster86 (Level 1) - Jetzt verbinden

12.02.2010, aktualisiert 18.10.2012, 5206 Aufrufe, 12 Kommentare, 1 Danke

Ausgabe eines Fehlers beim Ausführen von radiusd

Hallo liebe Mitglieder,

ich nutze die Software "Freeradius" und möchte, dass bestimmte Rechner beim anstöpseln an den Switch per MAC-Adresse authentifiziert und einem bestimmten VLAN zugeordnet werden.

Die Authentifizierung funktioniert auch problemlos nur die Zuordnung eben nicht.

User-Datei

MAC-Adresse Auth-Type:=CHAP , Cleartext-Password := "MAC"

Bis hier funktioniert alles.

Möchte ich jetzt eine VLAN-Zuordnung vornehmen z.B.:

MAC-Adresse Auth-Type:=CHAP , Cleartext-Password := "MAC"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 1

, so bekomme ich schon bei "Tunnel-Type" die Fehlermeldung:

Parse Error (check) for entry Tunnel-Type: Invalid octet string "13" for attribute name " "

Mit "VLAN" statt 13 tritt der Fehler auch auf.

Weiß jemand Rat und kann mir weiterhelfen?

Danke


Gruß dragonmaster86
Mitglied: aqui
12.02.2010, aktualisiert 18.10.2012
Dein Auth Type ist vermutlich falsch !! Switches benutzen oft Standard oder auch EAP für diese Authentisierung. Sollte auch im Handbuch deines Switches stehen !!
Hier steht genau wie es sauber funktioniert mit 802.1x:

http://www.administrator.de/forum/fragen-zu-nas%2c-radius-und-verschied ...

Für die reine Mac Authentifizierung mit dynamischer VLAN Zuweisung sieht eine funktionierende laufende Freeradius Konfig so aus:
01.
# Nur MAC Authentication 
02.
000039fc9933 Service-Type == Framed-User, User-Password == "000039fc9933"
Mac Authentication mit dynm. VLAN Zuordnung (Hier VLAN ID 7 im Beispiel):
01.
# MAC Auth. und dyn. VLAN 
02.
03.
000039fc9935 Service-Type == Framed-User, User-Password == "000039fc9935" 
04.
    Tunnel-Type = 13, 
05.
    Tunnel-Medium-Type = 6, 
06.
    Tunnel-Private-Group-Id = 7      
07.
#
Alternativ geht das auch:
01.
# user-id (MAC)         Authentication type                   password=MAC 
02.
00054e4d3d08 Auth-Type := Local, User-Password == "00054e4d3d08" 
03.
00186e8dc079 Auth-Type := Local, User-Password == "00186e8dc079"
Erfordert dann aber immer einen lokalen User auf dem System.

Ansonsten immer debuggen mit radiusd -X das zeigt dir immer sofort wo der Fehler liegt ! Ggf. hier posten.
Bitte warten ..
Mitglied: dragonmaster86
19.02.2010 um 12:17 Uhr
Danke erstmal für die Antwort.

Ich habe die Authentifizierung mittlerweile über EAP realisiert.

Leider bekomme ich immer noch den Fehler "Parse Error (check) for entry Tunnel-Type: Invalid octet string "13" for attribute name " " " ,
wenn ich die VLAN-Zuordnung nach folgendem Schema vornehme:

Tunnel-Type = 13 oder Tunnel-Type = VLAN
Bitte warten ..
Mitglied: burge550
23.09.2010 um 14:55 Uhr
Bei der Authentifizierung nur unter Verwendung der MAC Addresse, sprich einstöpseln und danach eine IP bekommen... wie muss ich da den Switch konfigurieren?

  1. Nur MAC Authentication

000039fc9933 Service-Type == Framed-User, User-Password == "000039fc9933"

Das habe ich eingetragen! Aber weiß nicht was ich am Switch einstellen muss, damit er die MAC Adresse vom Radius Server holt.

Jemand ne Idee???
Bitte warten ..
Mitglied: burge550
23.09.2010 um 16:58 Uhr
Also ich habe es jetzt geschafft, dass ich mich am Radius authentifizieren kann! Und zwar muss man statt == immer := verwenden sonst bekommt man einen Fehler!!!

Ich muss aber im Moment auf meinem Mac und auf meinem Windows Client die Mac-Adresse als Benutzername und als Passwort eingeben, da ein Fenster aufpopt indem man sich legitimieren muss! Kommt mir so vor als ob der Server die Mac Adresse als Benutzer interpretiert und nicht als Mac Adresse.

Wie bekomme ich es hin, dass ich mich ohne Verbindungsdaten (User und PW) authentifizieren kann. Also, dass ich meine MAC Adresse auf dem Radius in der users Datei eintrage und nach dem einstöpseln des Netzwerkkabels ohne zusätzliches Tun eine IP Adresse bekomme???

Bitte helft mir! Aqui sollte das doch wissen oder????
Danke
Bitte warten ..
Mitglied: dragonmaster86
23.09.2010 um 20:23 Uhr
Hallo burge550,

hast du mal versucht den Dienst für die Authentifizierung ==> Automatische Konfiguration (verkabelt) zu deaktivieren?

Für die Authentifizierung per MAC-Adresse wird dieser Dienst nicht benötigt, da der Switch onehin die MAC-Adresse speichert.

Bitte berichte ob es so geklappt hat.
Bitte warten ..
Mitglied: burge550
24.09.2010 um 09:39 Uhr
Hallo Dragonmaster86

Ich habe den Dienst Automatische Konfiguration (verkabelt) deaktiviert. Dann kommt zwar das Popup nicht mehr, aber eine IP bekommt er auch nicht. In den Netzwerkverbindungen steht "nicht identifiziertes Netzwerk".

Ich habe das Gefühl, als ob ich den Switch falsch konfiguriert habe. Was für Konfigurationen muss ich tätigen... oder sind überhaupt welche nötig?

Grüße Markus
Bitte warten ..
Mitglied: dragonmaster86
24.09.2010 um 10:58 Uhr
Die Konfiguration hängt vom Switch ab. Nutzt du einen HP oder Cisco-Switch?

Wichtig ist das die MAC-Authentifizierung auf dem Switch konfiguriert wurde.

Auf einem HP Procurve z.B. "aaa port-access mac-based < port-list >"

HP: http://h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/AN-S2_M ...

Cisco: https://supportforums.cisco.com/docs/DOC-4069
Bitte warten ..
Mitglied: burge550
24.09.2010 um 11:47 Uhr
Ich habe einen AT-8000 GS.

Hast du da auch eine Idee?

Gruß
Bitte warten ..
Mitglied: burge550
24.09.2010 um 21:25 Uhr
Wie du siehst ist das ein AT-9924. WIe oben beschrieben habe ich einen AT-8000S. Die beiden Switche haben komplett andere Befehle, deswegen bringt mir das NULL.

Trotzdem Danke....hatte ich mir auch schon angeschaut
Bitte warten ..
Mitglied: dragonmaster86
24.09.2010 um 23:13 Uhr
Die Befehle sind laut Dokument für die Serie AT-8600,AT-8900 und AT-9900.
Dachte halt deiner kann dann mit den Befehlen auch umgehen.

Schau dir mal hier die Befehle an:

http://www.infos-du-net.com/forum/287066-8-comment-faire-authentificati ...

Da du in diesem Forum schon einen Thread zu dem Thema eröffnet hast (http://www.administrator.de/Freeradius_mit_LDAP_und_802.1x_mit_dynamisc ...),

bitte ich dich auch weiterhin in diesem zu bleiben, damit Nutzer mit ähnlichen Problemen nicht lange suchen müssen.

Gruß

dragonmaster86
Bitte warten ..
Mitglied: burge550
27.09.2010 um 17:03 Uhr
Danke Dragonmaster86
Die Anleitung hat mir sehr geholfen. Es funktioniert jetzt.

Meine Frage wäre nun, wenn ich MAC Authentifizierung und später mal noch was mit LDAP machen möchte. Z.B User/Passwort Anmeldung oder was mit Zertifikaten, kann ich dann die Anmeldung mittels MAC auch noch verwenden oder geht nur eines der Methoden? Wenn es gehen sollte, wäre ich über einen Hinweis wie? sehr dankbar. Muss ich vielleicht dann die MAC Adressen im LDAP anlegen oder? Wäre aber dann schon sehr aufwendig. Oder bin ich da auf dem Holzweg?

Grüße Markus
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung (5)

Frage von mrserious73 zum Thema LAN, WAN, Wireless ...

Netzwerkmanagement
802.11x - Zuordnung des VLANs per MAC-Adresse (11)

Frage von mastersp zum Thema Netzwerkmanagement ...

Firewall
PFSense 2.3.2 Freeradius (7)

Frage von horstvogel zum Thema Firewall ...

Netzwerkmanagement
SNMP-Abfrage bei HP Switch (ProCurve)- Zuordnung Vlan - Mac-Adresse (1)

Frage von CBuechner zum Thema Netzwerkmanagement ...

Neue Wissensbeiträge
Sicherheit

Millionen Euro in den Sand gesetzt?

(3)

Information von transocean zum Thema Sicherheit ...

Sicherheit

How I hacked hundreds of companies through their helpdesk

Information von SeaStorm zum Thema Sicherheit ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Eine Netzwerkdose im Wechsel für zwei unterschiedliche Netze (12)

Frage von kartoffelesser zum Thema LAN, WAN, Wireless ...

Netzwerke
Mobile Einwahl IPSec VPN von iPhone iPad T-Mobile zur Pfsense (11)

Frage von Spitzbube zum Thema Netzwerke ...

Voice over IP
SNOM D765 an LancomR883VAW (10)

Frage von MS6800 zum Thema Voice over IP ...

Windows Netzwerk
Ordner-Freigabe außerhalb der Domäne (9)

Frage von Remsboys zum Thema Windows Netzwerk ...