Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

HP ProCurve V1910 - Authorisierung von Netzwerk-Geräten per Mac-Adresse über Radius-Server

Frage Hardware Switche und Hubs

Mitglied: sroscher

sroscher (Level 1) - Jetzt verbinden

19.04.2012, aktualisiert 18.10.2012, 8389 Aufrufe, 9 Kommentare

Hallo liebe Kollegen,

ich verzweifle hier an der Konfiguration eines HP V1910-24 Switches .

Ziel soll sein, das nur noch bekannte Geräte an unser LAN angestöpseln werden können, im Idealfall sogar noch automatisch ins richtige VLAN gelenkt werden. Ich möchte erreichen, dass der Switch jedes Gerät anhand seiner Mac-Adresse an einem Freeradius Server authentifiziert und den entsprechenden Port für Daten freigibt oder geschlossen hält und im Idealfall die VLAN-ID gleich noch einstellt.

Lt. Handbuch müsste das machbar sein, aber ich bekomme es einfach nicht hin. Ich habe im Switch WebGUI unter Menüpunkt "Authentication" alles wie im Handbuch bei AAA, Radius und 802.1x eingestellt. Leider passiert einfach nix. Am Radius-Server kommt keinerlei Anfrage an. Der Radius-Server ansich funktioniert, denn mit dem Tool ntradping kann ich darauf zugreifen.

Hat zufällig jemand so einen Switch mit meinem Konfigurationswunsch am laufen und kann mir erklären ob es da irgendwo noch einen Trick gibt, damit der Switch mit dem Radius-Server "redet"? Bin für Hilfe sehr dankbar.
Mitglied: aqui
19.04.2012, aktualisiert 18.10.2012
Hier findest du alles was du zu diesem Thema wissen musst:

http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...

Wenn dein Radius Server keinerlei Radius Anfragen vom Switch bekommt, dann hast du folgende mögliche probleme:
  • Das Routing der Switch IP stimmt nicht, was ein falsches Routing (Gateway) am Switch oder radius Server verursacht
  • Deinen Radius Requests kommen mit dem falschen TCP Port. Gültig ist 1812 / 1813. Die alten 16er Ports sollten nicht mehr verwendet werden !
  • Am Radius werkelt eine lokale Firewall die diese Pakete blockiert !
Kannst du denn wenigstens vom Switch den Radius anpingen ?
Bitte warten ..
Mitglied: sroscher
19.04.2012 um 12:52 Uhr
Diese sehr gute Tutorial habe ich mir natürlich schon reingezogen, hat mir prima Grundlagen vermittelt.

Zu deinen 3 Punkten kann ich nur sagen, dass ich das alles ausschließen kann.
Der Radius-Server ist im gleichen Segment wie der Switch, anpingen vom Switch ist auch kein Problem. iptables ist auf dem Radius-Server aktuell deaktiviert. Port habe ich auch nicht geändert, da verwendet der HP ja den UDP 1812.

Gibt es irgendeine Möglichkeit um vom Switch, von mir aus auch von der Konsole, einen Radius-Request abzusenden? Ich komme mit der Syntax der Konsole nicht so klar, aber vielleicht könnte man da auch schauen wie die Konfig überhaupt aussieht. Die Konsolen-Anleitungen die man so für HP-Switche findet scheinen für den 1910er HP Switch nicht zu funktionieren, die Befehle können meist gar nicht ausgeführt werden - kann sein das HP das in den "billigen" Switchen blockiert oder gar nicht implementiert hat. Also wie gesagt, ich schaue auch gern auf der Konsole, aber allein mir fehlt das wie ;).
Bitte warten ..
Mitglied: aqui
19.04.2012 um 16:16 Uhr
Es gibt doch eine ganz einfache Möglichkeit das einmal schnell und umfassend querzuchecken:
Setz einen Port auf eine ative 802.1x Authentisierung und aktivier den .1x Client in einem Rechner. Steck den drauf und checke ob das Radius Paket kommt.
Das MUSS ja klappen, denn natives .1x supportet die Kiste ja.
Der finale Knackpunkt ist hier nämlich ob die HP ProCurve Billiggurke wirklich Mac Authentisierung über .1x supportet ?? Billigheimer wie ProCurve und Co. machen das in der Regel nicht, sondern nur einfaches, normales .1x. (Username/Passwort oder Zertifikat)
Das Datenblatt zu dem Switch ist hier auch mehr oder weniger eindeutig es redet nämlich NICHT von der Radius Mac Authentisierung wie alle anderen, sondern lediglich von Mac Security.
Das ist aber was ganz anderes.
Dabei "merkt" sich der Switch dann die Mac pro Port und lässt nix anderes mehr zu, also sowas wie ein lokaler statischer Mac Filter im Switch.
Mit einer Mac Radius Authentisierung hat das rein gar nix zu tun und würde auch sofort erklären warum der Switch gar keine Radius Pakete sendet, weil er Mac Authentisierung nämlich dann schlicht gar nicht supportet. Wäre nicht groß verwunderlich bei ProCurve....
Da solltest du also nochmal das Handbuch konsultieren oder die HP Hotline anrufen und mal ganz genau nachfragen !!
Consol Zugriff geht über Telnet. IP des Switches telnetten, einloggen und dann mal "?" eingeben. Ein "show run" zeigt meist die Konfig.
Bitte warten ..
Mitglied: snoert
21.04.2012 um 22:26 Uhr
Hallo,

bitte nicht die HP Procurve-Produktlinie mit der eingekauften H3C basierten verwechseln, zu denen der V1910 gehört. Letztere haben deutlich mehr auf dem Kasten, selbst im "Billigbereich".
IEEE 802.1x + MAC wird unterstützt: http://h20000.www2.hp.com/bc/docs/support/SupportManual/c03177177/c0317 ...

Zunächst solltest Du Dir jedoch eine aktuelle Firmware auf das Gerät laden, da diese meist mit einer alten Version ausgeliefert werden:
https://h10145.www1.hp.com/downloads/SoftwareReleases.aspx?ProductNumber ...

Kannst Du mal Deine Konfiguration vom 1910 exportieren und hier posten?

(Du hast 802.1x schon auf den Ports selbst aktiviert? Du solltest dazu dann in den Logs einiges sehen, sobald Du einen PC dort ansteckst)

Davon sollte etwas in Deiner Config vorkommen:

#RADIUS

radius scheme 2000
primary authentication 10.11.1.1 1812
primary accounting 10.11.1.1 1813
key authentication abc
key accounting abc
quit

#domain system

domain system
authentication default radius-scheme 2000
authorization default radius-scheme 2000
accounting default radius-scheme 2000
quit

#802.1X global aktivieren

dot1x

#802.1x auf dem Port selbst aktivieren

interface gigabitethernet 1/0/2
dot1x
dot1x port-method macbased
dot1x port-control auto
quit
Bitte warten ..
Mitglied: aqui
23.04.2012 um 13:55 Uhr
@sroscher
Wars das jetzt ??
Wenn ja bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: sroscher
23.04.2012 um 14:03 Uhr
@aqui
Nein, leider nicht. Momentan muss ich mich erstmal um was anderes kümmern - ich bleib aber dran. Bis jetzt habe ich leider trotz aller möglichen Versuche noch keinen Kontakt zum Radius Server. Auch ein an einen mit 802.1x konfigurierten Port angestecktes Gerät bringt keinerlei Log-Eintrag bezüglich eines Radius-Request.

Nächste Schritte sind dann Konfig kontrollieren/exportieren und evtl. noch bei HP anrufen - brauch nur erstmal wieder ein bisschen Zeit ...
Bitte warten ..
Mitglied: aqui
23.04.2012 um 15:02 Uhr
Der Radius Request kommt IMMER vom Switch ! Absender IP Adresse ist also immer die Switch IP und niemals ein Client am Switch. Beachte das !
Du musst also sicherstellen das ALLE Switch IPs (sofern du mehrere hast, VLANs etc.) einen Routing Eintrag haben, damit sie den Radius Server erreichen. Oder du musst in der Switchkonfig festlegen WELCHE IP (sollte er mehrere haben) der Switch als Absender IP für die Radius Pakete benutzt.
Sollten Switch und Radius Server in unterschiedlichen IP Netzen sein musst du logischerweise das Routing sicherstellen (Default Route auf Switch, Gateway auf Server) damit die sich "sehen" können !
Das der Switch die aktuellste Firmware geflasht haben sollte, sollte ebenfalls klar sein.

Wenn der Switch keinerlei Radius Pakete sendet, was man ja leicht mit einem Wireshark Sniffer oder aus dem Switch Log sehen kann, dann fehlt de facto etwas in der Switch Radius Konfig.

Wir sind dann mal gespannt hier woran es gelegen hat. In der Regel sind das meist Konfig Fehler, denn der Radius und seine Erreichbarkeit können es nicht wein wie dir dein NTRadPing Test ja schon verlässlich gezeigt haben !
Bitte warten ..
Mitglied: q16marvin
08.06.2015 um 16:48 Uhr
bist du hier zu einer lösung gekommen?

wenn ich am window 7 client den dienst fpr die 802.1x geschichte aktiviere kann ich mich mit einem benutzername und ein passwort welches im radius hinterlegt ist anmelden. ist aber mehr als ich wollte, ziel war einfach nur geräte über die mac adresse zu erlauben, das scheinen die v1910 dinger nicht zu können, zumindest finde ich keine lösung eine art whitelist von mac adressen zentral im radius server zu hinterlegen und somit nur "bekannte" mac adressen lan access bekommen ...
Bitte warten ..
Mitglied: aqui
10.06.2015 um 12:46 Uhr
das scheinen die v1910 dinger nicht zu können
Das Feature nennt sich "Mac Bypass" und können die billigen Systeme meist nicht. Mit 99%er Sicherheit auch diese HP Billiggurke nicht.
Bei Cisco ist es ähnlich. Die SG200 Systeme können das nicht aber die SG-300 Systeme und höher supporten es (Siehe zitiertes Tutorial oben !!)
Die einzige Option ist dasnn nur mit statische Mac Security zu arbeiten was aber ungleich aufwendiger ist, da du es auf jedem einzelnen Port customizen muss.
Mal ganz abgesehen von der Tatsache ob auch das Feature überhaupt von diesen HP Gurken supportet wird.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Switche und Hubs
gelöst HP Procurve Switch 2650 J4899B Hängt, keine Verbindung möglich (7)

Frage von duke1212 zum Thema Switche und Hubs ...

Netzwerke
Clientname anhand MAC Adresse herausfinden (13)

Frage von VerruecktesPferd zum Thema Netzwerke ...

Windows Mobile
MAC-Adresse in Windows CE per Befehl ermitteln? (1)

Frage von timemaster zum Thema Windows Mobile ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...