Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

HP ProCurve V1910 - Authorisierung von Netzwerk-Geräten per Mac-Adresse über Radius-Server

Frage Hardware Switche und Hubs

Mitglied: sroscher

sroscher (Level 1) - Jetzt verbinden

19.04.2012, aktualisiert 18.10.2012, 8835 Aufrufe, 9 Kommentare

Hallo liebe Kollegen,

ich verzweifle hier an der Konfiguration eines HP V1910-24 Switches .

Ziel soll sein, das nur noch bekannte Geräte an unser LAN angestöpseln werden können, im Idealfall sogar noch automatisch ins richtige VLAN gelenkt werden. Ich möchte erreichen, dass der Switch jedes Gerät anhand seiner Mac-Adresse an einem Freeradius Server authentifiziert und den entsprechenden Port für Daten freigibt oder geschlossen hält und im Idealfall die VLAN-ID gleich noch einstellt.

Lt. Handbuch müsste das machbar sein, aber ich bekomme es einfach nicht hin. Ich habe im Switch WebGUI unter Menüpunkt "Authentication" alles wie im Handbuch bei AAA, Radius und 802.1x eingestellt. Leider passiert einfach nix. Am Radius-Server kommt keinerlei Anfrage an. Der Radius-Server ansich funktioniert, denn mit dem Tool ntradping kann ich darauf zugreifen.

Hat zufällig jemand so einen Switch mit meinem Konfigurationswunsch am laufen und kann mir erklären ob es da irgendwo noch einen Trick gibt, damit der Switch mit dem Radius-Server "redet"? Bin für Hilfe sehr dankbar.
Mitglied: aqui
19.04.2012, aktualisiert 18.10.2012
Hier findest du alles was du zu diesem Thema wissen musst:

http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...

Wenn dein Radius Server keinerlei Radius Anfragen vom Switch bekommt, dann hast du folgende mögliche probleme:
  • Das Routing der Switch IP stimmt nicht, was ein falsches Routing (Gateway) am Switch oder radius Server verursacht
  • Deinen Radius Requests kommen mit dem falschen TCP Port. Gültig ist 1812 / 1813. Die alten 16er Ports sollten nicht mehr verwendet werden !
  • Am Radius werkelt eine lokale Firewall die diese Pakete blockiert !
Kannst du denn wenigstens vom Switch den Radius anpingen ?
Bitte warten ..
Mitglied: sroscher
19.04.2012 um 12:52 Uhr
Diese sehr gute Tutorial habe ich mir natürlich schon reingezogen, hat mir prima Grundlagen vermittelt.

Zu deinen 3 Punkten kann ich nur sagen, dass ich das alles ausschließen kann.
Der Radius-Server ist im gleichen Segment wie der Switch, anpingen vom Switch ist auch kein Problem. iptables ist auf dem Radius-Server aktuell deaktiviert. Port habe ich auch nicht geändert, da verwendet der HP ja den UDP 1812.

Gibt es irgendeine Möglichkeit um vom Switch, von mir aus auch von der Konsole, einen Radius-Request abzusenden? Ich komme mit der Syntax der Konsole nicht so klar, aber vielleicht könnte man da auch schauen wie die Konfig überhaupt aussieht. Die Konsolen-Anleitungen die man so für HP-Switche findet scheinen für den 1910er HP Switch nicht zu funktionieren, die Befehle können meist gar nicht ausgeführt werden - kann sein das HP das in den "billigen" Switchen blockiert oder gar nicht implementiert hat. Also wie gesagt, ich schaue auch gern auf der Konsole, aber allein mir fehlt das wie ;).
Bitte warten ..
Mitglied: aqui
19.04.2012 um 16:16 Uhr
Es gibt doch eine ganz einfache Möglichkeit das einmal schnell und umfassend querzuchecken:
Setz einen Port auf eine ative 802.1x Authentisierung und aktivier den .1x Client in einem Rechner. Steck den drauf und checke ob das Radius Paket kommt.
Das MUSS ja klappen, denn natives .1x supportet die Kiste ja.
Der finale Knackpunkt ist hier nämlich ob die HP ProCurve Billiggurke wirklich Mac Authentisierung über .1x supportet ?? Billigheimer wie ProCurve und Co. machen das in der Regel nicht, sondern nur einfaches, normales .1x. (Username/Passwort oder Zertifikat)
Das Datenblatt zu dem Switch ist hier auch mehr oder weniger eindeutig es redet nämlich NICHT von der Radius Mac Authentisierung wie alle anderen, sondern lediglich von Mac Security.
Das ist aber was ganz anderes.
Dabei "merkt" sich der Switch dann die Mac pro Port und lässt nix anderes mehr zu, also sowas wie ein lokaler statischer Mac Filter im Switch.
Mit einer Mac Radius Authentisierung hat das rein gar nix zu tun und würde auch sofort erklären warum der Switch gar keine Radius Pakete sendet, weil er Mac Authentisierung nämlich dann schlicht gar nicht supportet. Wäre nicht groß verwunderlich bei ProCurve....
Da solltest du also nochmal das Handbuch konsultieren oder die HP Hotline anrufen und mal ganz genau nachfragen !!
Consol Zugriff geht über Telnet. IP des Switches telnetten, einloggen und dann mal "?" eingeben. Ein "show run" zeigt meist die Konfig.
Bitte warten ..
Mitglied: snoert
21.04.2012 um 22:26 Uhr
Hallo,

bitte nicht die HP Procurve-Produktlinie mit der eingekauften H3C basierten verwechseln, zu denen der V1910 gehört. Letztere haben deutlich mehr auf dem Kasten, selbst im "Billigbereich".
IEEE 802.1x + MAC wird unterstützt: http://h20000.www2.hp.com/bc/docs/support/SupportManual/c03177177/c0317 ...

Zunächst solltest Du Dir jedoch eine aktuelle Firmware auf das Gerät laden, da diese meist mit einer alten Version ausgeliefert werden:
https://h10145.www1.hp.com/downloads/SoftwareReleases.aspx?ProductNumber ...

Kannst Du mal Deine Konfiguration vom 1910 exportieren und hier posten?

(Du hast 802.1x schon auf den Ports selbst aktiviert? Du solltest dazu dann in den Logs einiges sehen, sobald Du einen PC dort ansteckst)

Davon sollte etwas in Deiner Config vorkommen:

#RADIUS

radius scheme 2000
primary authentication 10.11.1.1 1812
primary accounting 10.11.1.1 1813
key authentication abc
key accounting abc
quit

#domain system

domain system
authentication default radius-scheme 2000
authorization default radius-scheme 2000
accounting default radius-scheme 2000
quit

#802.1X global aktivieren

dot1x

#802.1x auf dem Port selbst aktivieren

interface gigabitethernet 1/0/2
dot1x
dot1x port-method macbased
dot1x port-control auto
quit
Bitte warten ..
Mitglied: aqui
23.04.2012 um 13:55 Uhr
@sroscher
Wars das jetzt ??
Wenn ja bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: sroscher
23.04.2012 um 14:03 Uhr
@aqui
Nein, leider nicht. Momentan muss ich mich erstmal um was anderes kümmern - ich bleib aber dran. Bis jetzt habe ich leider trotz aller möglichen Versuche noch keinen Kontakt zum Radius Server. Auch ein an einen mit 802.1x konfigurierten Port angestecktes Gerät bringt keinerlei Log-Eintrag bezüglich eines Radius-Request.

Nächste Schritte sind dann Konfig kontrollieren/exportieren und evtl. noch bei HP anrufen - brauch nur erstmal wieder ein bisschen Zeit ...
Bitte warten ..
Mitglied: aqui
23.04.2012 um 15:02 Uhr
Der Radius Request kommt IMMER vom Switch ! Absender IP Adresse ist also immer die Switch IP und niemals ein Client am Switch. Beachte das !
Du musst also sicherstellen das ALLE Switch IPs (sofern du mehrere hast, VLANs etc.) einen Routing Eintrag haben, damit sie den Radius Server erreichen. Oder du musst in der Switchkonfig festlegen WELCHE IP (sollte er mehrere haben) der Switch als Absender IP für die Radius Pakete benutzt.
Sollten Switch und Radius Server in unterschiedlichen IP Netzen sein musst du logischerweise das Routing sicherstellen (Default Route auf Switch, Gateway auf Server) damit die sich "sehen" können !
Das der Switch die aktuellste Firmware geflasht haben sollte, sollte ebenfalls klar sein.

Wenn der Switch keinerlei Radius Pakete sendet, was man ja leicht mit einem Wireshark Sniffer oder aus dem Switch Log sehen kann, dann fehlt de facto etwas in der Switch Radius Konfig.

Wir sind dann mal gespannt hier woran es gelegen hat. In der Regel sind das meist Konfig Fehler, denn der Radius und seine Erreichbarkeit können es nicht wein wie dir dein NTRadPing Test ja schon verlässlich gezeigt haben !
Bitte warten ..
Mitglied: q16marvin
08.06.2015 um 16:48 Uhr
bist du hier zu einer lösung gekommen?

wenn ich am window 7 client den dienst fpr die 802.1x geschichte aktiviere kann ich mich mit einem benutzername und ein passwort welches im radius hinterlegt ist anmelden. ist aber mehr als ich wollte, ziel war einfach nur geräte über die mac adresse zu erlauben, das scheinen die v1910 dinger nicht zu können, zumindest finde ich keine lösung eine art whitelist von mac adressen zentral im radius server zu hinterlegen und somit nur "bekannte" mac adressen lan access bekommen ...
Bitte warten ..
Mitglied: aqui
10.06.2015 um 12:46 Uhr
das scheinen die v1910 dinger nicht zu können
Das Feature nennt sich "Mac Bypass" und können die billigen Systeme meist nicht. Mit 99%er Sicherheit auch diese HP Billiggurke nicht.
Bei Cisco ist es ähnlich. Die SG200 Systeme können das nicht aber die SG-300 Systeme und höher supporten es (Siehe zitiertes Tutorial oben !!)
Die einzige Option ist dasnn nur mit statische Mac Security zu arbeiten was aber ungleich aufwendiger ist, da du es auf jedem einzelnen Port customizen muss.
Mal ganz abgesehen von der Tatsache ob auch das Feature überhaupt von diesen HP Gurken supportet wird.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
HP Procurve und 802.1x via Radius
Frage von 14116Netzwerkmanagement1 Kommentar

Hallo, Ich möchte hier 802.1x via Radius konfigurieren. Wie kann ich konfigurieren, was passieren soll, wenn der Radius Server ...

LAN, WAN, Wireless
ProCurve ereicht Radius-Server nicht
gelöst Frage von RalphTLAN, WAN, Wireless10 Kommentare

Moin, ich habe 3 ProCurve 2610, 2620, 2510 Switche. Auf allen dreien sind VLANs erstellt worden. (VLAN 1, VLAN ...

Netzwerkmanagement
Switch, der nur Geräte mit bestimmten MAC-Adressen ins Netzwerk routet?
gelöst Frage von mabue88Netzwerkmanagement9 Kommentare

Hallo, vorab: ich habe noch nie mit managed Switches zu tun gehabt. Jetzt habe ich aber eine Anforderung, die ...

Netzwerkmanagement
Radius-Authentifikation via MAC-Adresse (Windows Server 2012 und HP ProCurve 2510-24 J9019A)
gelöst Frage von ITTKAGNetzwerkmanagement5 Kommentare

Hallo In meinem Testnetzwerk sind: ein Netzwerkrichtlinienserver (WinSrv 2012) ein 802.1x-fähiger Switch (HP ProCurve 2510-24 J9019A, Aktuellste Firmware) ein ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement16 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...