Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

mehrere VLANs mit Freeradius dynamisch zuweisen

Frage Netzwerke LAN, WAN, Wireless

Mitglied: metroo

metroo (Level 1) - Jetzt verbinden

13.02.2008, aktualisiert 15.02.2008, 8531 Aufrufe, 4 Kommentare

Hallo,

ich versuche derzeit per Freeradius mehrere VLANs zur Auswahl an einen Cisco Switch zu übergeben. Dies hatte auch funktioniert. Der Switch arbeitete die VLANs der Reihe nach ab und wies das erste VLAN zu, was auch auf dem Switch bekannt war.


Seit auf die neueste IOS upgegraded wurde:
Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-IPBASEK9-M), Version 12.2(40)SG, RELEASE SOFTWARE (fc2)

funktioniert das nicht mehr. Der Switch arbeitet die Daten vom Radius nicht mehr von oben nach unten ab sondern nimmt immer nur die letzte Zeile. ( Admin und netz_1 sind als VLANS angelegt)

Die Übergabe vom Radius:

Feb 13 12:01:50 MET: RADIUS: Tunnel-Medium-Type [65] 6 00:ALL_802 [6]
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 12 01:"Admin"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 16 02:"netz_1"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 17 03:"netz_2"



Ist der VLAN Name nicht vorhanden wird eine Fehlermeldung generiert.

Feb 13 12:37:57 MET: %DOT1X_SWITCH-5-ERR_RADIUS_VLAN_NOT_FOUND: Attempt to assign non-existent VLAN netz_2 to dot1x port FastEthernet0/3


Gibt es eine Möglichkeit dem Switch zu sagen, die VLANs in Reihenfolge durchzuarbeiten und bei nicht vorhandenem VLAN das nächstangebotene zu konfigurieren ?

Ich bin mir ziemlich sicher, das bei der Software-Version Version 12.2(35) mehrere VLANs mitgegeben werden konnten, sofern keines bekannt war wurde dann das vorkonfigurierte VLAN am Switchport aktiv.

Über Hilfe bin ich sehr dankbar.

metroo
Mitglied: aqui
15.02.2008 um 12:37 Uhr
Leider schreibst du nicht auf Basis welcher Daten du die VLANs zuweist. Das kann ja entweder mit einem Usernamen und Passwort oder auf Basis der MAC Adresse geschehen.
Eine FreeRadius Konfig dafür sieht so aus:

01.
02.
# Mac Adresse 
03.
04.
00aa39fc9005 Service-Type == Framed-User, User-Password == "00aa39fc9005" 
05.
    Tunnel-Type = 13, 
06.
    Tunnel-Medium-Type = 6, 
07.
    Tunnel-Private-Group-Id = <vlanname oder ID>      
08.
09.
# Hier mit Username und Passwort 
10.
11.
user    Auth-Type == EAP,    User-Password == "test" 
12.
    Tunnel-Type = 13, 
13.
    Tunnel-Medium-Type = 6, 
14.
    Tunnel-Private-Group-ID = <vlanname oder ID> 
15.
#
Wenn du den FreeRadius mit -xxyz oder -X startest erhälst du einen detailierten Debug Output meistens.
Bitte warten ..
Mitglied: metroo
15.02.2008 um 13:00 Uhr
Hallo aqui,

danke für Deine Antwort.
in der Radiusconfig benutze ich beides, mac based und Zertifikat wie du angibst.
jedoch kann man mit:

user Auth-Type == EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-ID == <Admin>,
Tunnel-Private-Group-ID == <netz_1>,
Tunnel-Private-Group-ID == <netz_2>

vom Radius Server mehrere VLANS zur auswahl an den Switch übergeben. Nur leider wird anscheinend seit der neuen Software nur noch die letzte Zeile vom Switch verstanden oder aber die vorherigen private-Group-IDs mit dem jeweilig nächsten Wert überschrieben.

Was auch interessant wäre: Priorisierung

user Auth-Type == EAP, User-Password == "test"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-ID:1 == <Admin>,
Tunnel-Private-Group-ID:2 == <netz_1>,
Tunnel-Private-Group-ID:3 == <netz_2>

Den Tunnel-Private-Group-ID's einen Wert mitgeben, dies kommt ja auch beim Switch an:

Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 5 01:"Admin"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 6 02:"netz_1"
Feb 13 12:01:50 MET: RADIUS: Tunnel-Private-Group[81] 6 03:"netz_2"

Nur scheint das der Switch nicht zu verstehen.

Um kurz zu erläutern was meine Intension ist:

In meiner Netzwerkstruktur ist es notwendig Clients auch dynamisch ein Entwicklernetz zuzuweisen, jedoch wenn dies nicht vorhanden ist, das Standard-Client-VLAN zuzuweisen.
genau dafür bräuchte ich diese Features, welche Freeradius mitliefert, aber der Switch anscheinend nicht mehr versteht.

Viele Grüße
Bitte warten ..
Mitglied: aqui
15.02.2008 um 15:12 Uhr
Was soll das für einen Sinn haben dem Client mehrere VLANs zur Auswahl zu geben. Cisco kann nur Port basierende VLANs der Client kann also immer nur in einem VLAN drin. Zusätzliche VLANs sind also unsinnig m.E.

Bedenke das in der Freeradius Syntax noch Kommas hinter alle Zeilen kommen mit Ausnahme der letzten Zeile.
Die Fallback Funktion auf ein default VLAN wenn das dynamische nicht vorhanden ist oder der Client nicht authentisiert werden kann sollte eigentlich im Switch selber konfiguriert werden.
Bitte warten ..
Mitglied: metroo
15.02.2008 um 16:22 Uhr
Ja, die Kommas hatte ich in meinem Post vergessen, habe den Beitrag editiert der Form halber.

Das der Switch nur ein VLAN pro port zuweisen kann ist mir klar. Mehrere VLANS machen in dem Moment Sinn, wo ein Anwender an verschiedenen Standorten arbeitet und zu verschiedenen VLANS Zugriff braucht. Je nachdem an welchem Standort er sich gerade befindet.

Also zB.
Der Anwender soll Prio 1 sein Entwicklernetz zugewiesen bekommen.
Natürlich liegt das Entwicklernetz nur an seinem Hauptstandort auf.
Jetzt muss der Anwender für ein Projekt an einen anderen Standort der Firma, dort gibt es kein Entwicklernetz.
Prio2 wäre dann das Standard-Netz.Was nun als zweite Möglichkeit zur Verfügung steht.Dieses weist ihm dann der Radius+Switch zu.

Dies soll keine direkte Fallback Lösung sein. Fallback ist ja nur dann wenn die Authentisierung fehlschlägt.

Schönes Wochenende
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Freeradius: User bestimmte IP zuweisen
Frage von DavidMSNetzwerkmanagement5 Kommentare

Hallo zusammen, ich habe mir auf einem Raspberry einen freeRADIUS Server eingerichtet die Geräte können nun auch erfolgreich mit ...

Router & Routing
Dynamisches VLAN - MAC Adressen basiert
Frage von salatomRouter & Routing3 Kommentare

Hallo, bin gerade dabei eine VLAN Umgebung mit Mac basierter autentifizierung + Radius Serverzu planen. Somit heisst das ja ...

LAN, WAN, Wireless
PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung
Frage von mrserious73LAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich verwende nun Freeradius auf pfSense, um ein EAP-TLS für's WLAN zu stellen. In Zukunft möchte ich ...

LAN, WAN, Wireless
Dynamische VLAN Zuordnung mit MS NAP Server im LAN
Frage von m-jelinskiLAN, WAN, Wireless5 Kommentare

Hallo zusammen, wir nutzen einen Microsoft NAP Server (auf Basis des Windows Server 2012) um unseren WLAN Clients den ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 6 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 13 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 14 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 17 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...