Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verbindungsprobleme bei Cisco Mac Authentication Bypass

Frage Netzwerke Router & Routing

Mitglied: Testuser123

Testuser123 (Level 1) - Jetzt verbinden

05.10.2010, aktualisiert 18.10.2012, 6675 Aufrufe, 11 Kommentare, 1 Danke

Hallo Forum,

habe mal wieder ein kleines Problemchen und dachte weil ihr mir immer so gut geholfen habt, frage ich wieder hier...

Ich möchte Mac Authentication Bypass realisieren. Ich habe. Cisco 2960 + Windows 2003 IAS Server

Mein Problem liegt darin, dass ich zwar nach Anschluss des Testgerätes (Windows XP) ein Accept vom Radius-Server bekomme,
aber die Verbindung nicht bestehen bleibt. Der Client meldet sich automatisch immer wieder alle 5-10 Sekunden neu an:

No. Time Source Destination Protocol Info
5 16.909581 192.168.126.60 192.168.126.149 RADIUS Access-Request(1) (id=45, l=156)

No. Time Source Destination Protocol Info
6 16.915389 192.168.126.149 192.168.126.60 RADIUS Access-Accept(2) (id=45, l=68)

No. Time Source Destination Protocol Info
7 34.592406 192.168.126.60 192.168.126.149 RADIUS Access-Request(1) (id=46, l=156)

No. Time Source Destination Protocol Info
8 34.598284 192.168.126.149 192.168.126.60 RADIUS Access-Accept(2) (id=46, l=68)

Auch ein Ping zwischen den Geräten ist leider nicht möglich.

Meine Switch-Config am Port sieht so aus:

interface FastEthernet0/10
switchport mode access
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout tx-period 5
spanning-tree portfast
spanning-tree bpduguard enable

Hat jemand eventuell schon mal das gleiche Problem gehabt, oder eine Idee wo es hakt?
Mitglied: Testuser123
05.10.2010 um 15:26 Uhr
Es gibt Neuigkeiten, aber das Problem ist leider noch nicht gelöst.

Im IAS Log und im Wireshark wird Access-Accept angezeigt. Der Switch sieht das aber anders^^

Wenn ich auf dem 2960er den dot1x event debug mache, kommt folgendes heraus:

*Mar 1 00:25:54.459: dot1x-ev:dot1x_switch_is_dot1x_forwarding_enabled: Forwarding is disabled on Fa0/10
*Mar 1 00:25:54.459: dot1x-ev:dot1x_mgr_if_state_change: FastEthernet0/10 has changed to UP
*Mar 1 00:25:54.459: dot1x-ev:Sending create new context event to EAP for 0000.0000.0000
*Mar 1 00:25:54.459: dot1x-ev:Created a client entry for the supplicant 0000.0000.0000
*Mar 1 00:25:54.459: dot1x-ev:Created a default authenticator instance on FastEthernet0/10
*Mar 1 00:25:54.459: dot1x-ev:dot1x_switch_enable_on_port: Enabling dot1x on interface FastEthernet0/10
*Mar 1 00:25:54.459: dot1x-ev:dot1x_switch_enable_on_port: set dot1x ask handler on interface FastEthernet0/10
*Mar 1 00:25:54.459: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:25:54.459: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:25:54.459: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
*Mar 1 00:25:56.464: %LINK-3-UPDOWN: Interface FastEthernet0/10, changed state to up
*Mar 1 00:25:59.609: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:25:59.609: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:25:59.609: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
*Mar 1 00:26:04.752: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:26:04.752: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:26:04.752: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:Received an EAP Timeout on FastEthernet0/10 for mac 0000.0000.0000
*Mar 1 00:26:09.902: dot1x-ev:Host access is 2 on port FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_get_default_host_access: Host access set to ask because FastEthernet0/10 unauthorized
*Mar 1 00:26:09.902: dot1x-ev:Changed host access to ask on FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_pm_port_unauth_learning: On FastEthernet0/10, unauth learning set to TRUE for domain DATA
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_is_dot1x_forwarding_enabled: Forwarding is disabled on Fa0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_pm_port_unauth_learning: Set learning in PI on port FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_pm_mab_get_mac: set dot1x ask handler on interface FastEthernet0/10
*Mar 1 00:26:10.028: dot1x-ev:dot1x_switch_pm_port_unauth_learning: On FastEthernet0/10, unauth learning set to FALSE for domain DATA
*Mar 1 00:26:10.028: dot1x-ev:dot1x_switch_is_dot1x_forwarding_enabled: Forwarding is disabled on Fa0/10
*Mar 1 00:26:10.028: dot1x-ev:Host access is 1 on port FastEthernet0/10
*Mar 1 00:26:10.028: dot1x-ev:Succeeded in setting host access to deny on FastEthernet0/10
*Mar 1 00:26:10.028: dot1x-ev:dot1x_switch_mac_address_notify: MAC 0800.4643.d71d discovered on FastEthernet0/10(1) consumed by MAB
*Mar 1 00:26:10.028: dot1x-ev:Couldn't find a supplicant with mac 0800.4643.d71d
*Mar 1 00:26:10.045: dot1x-ev:Authorization data for client 0000.0000.0000 has been reset on FastEthernet0/10
*Mar 1 00:26:10.045: dot1x-ev:Resetting the client 0000.0000.0000
*Mar 1 00:26:10.045: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:26:10.045: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:26:10.045: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10

Im ersten markierten Abschnitt passiert nichts spannendes, der Switch versucht mit dem Ablauf der Timer die Adresse vom Supplicant zu "learnen".
Im zweiten markierten Abschnitt hat er die MAC Adresse herausgefunden und sagt, dass er keinen Supplicant mit dieser Mac Adresse finden kann.

Ich finde es komisch, dass der Radius Server aber einen Accept ausgibt, aber der Client einfach eine Abfuhr bekommt. Wie geht das?
das Problem kann doch dann eigentlich nur Radius-Server-seitig sein, oder?

Keiner eine Idee?
Bitte warten ..
Mitglied: aqui
05.10.2010 um 18:13 Uhr
Was sagt
show mac-auth-bypass 0/10
und
show dot1x interface fa 0/10 details ??
Bitte warten ..
Mitglied: Testuser123
06.10.2010 um 08:35 Uhr
Also den ersten Befehl gibts so nicht, der ist wohl bloß bei CatOs möglich. Hab leider auch keinen ähnlichen Befehl gefunden.

"show dot1x interface fa 0/10 details" zeigt:

Dot1x Info for FastEthernet0/10
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = SINGLE_HOST
ReAuthentication = Disabled
QuietPeriod = 10
ServerTimeout = 30
SuppTimeout = 30
ReAuthPeriod = 3600 (Locally configured)
ReAuthMax = 2
MaxReq = 2
TxPeriod = 5
RateLimitPeriod = 0
Mac-Auth-Bypass = Enabled
Inactivity Timeout = None

Dot1x Authenticator Client List Empty

Domain = DATA
Port Status = UNAUTHORIZED



Könnte es eventuell hiermit was zu tun haben -> "Dot1x Authenticator Client List Empty" Muss ich dem Switch nochmal verraten wer der Authenticator ist?
Das müsste er doch eigentlich über den normalen RADIUS-Weg machen oder?

Oder könnte es allgemein daran liegen, dass ich den Windows IAS anstatt des Cisco ACS nutze?
Bitte warten ..
Mitglied: aqui
06.10.2010 um 10:52 Uhr
Nein, Radius ist Radius, das ist ein Standard und klappt auch mit Freeradius und allen anderen bekannten Radius Servern. Im Umkehrschluss müssten dann alle User die Mac Authentication machen einen Cisco ACS kaufen. Ciso funktioniert in fast allen Bereichen so aber hier nutzen sie dann doch mal Standard. Das ist also nicht der Punkt !
Hast du mal
http://www.cisco.com/univercd/cc/td/doc/solution/macauthb.pdf
genau durchgearbeitet ??
Bitte warten ..
Mitglied: Testuser123
06.10.2010 um 11:22 Uhr
Habs genauso durchgearbeitet wies in der Anleitung steht. Ansonsten läuft meine 802.1X Authentifizierung 1A.

Was ich nicht verstehe ist, dass der IAS Log und der Wireshark mir einen "Access-Accept" melden. Aber der Switch im debug gar keinen rausgibt...
Wie lässt sich das erkären? Ich hab auch schon unterschiedliche Timerzeiten probiert, aber dann geschieht das Gleiche. Es dauert nur länger/ kürzer.

Ich habe die Vermutung dass eventuell etwas mit der RAS-Richtlinie nicht stimmt, weil ich nun schon öfter gelesen habe, dass die meisten
eine extra Gruppe für die Mac-Authentication-User machen und diese dort reinstecken. Kann mir da zwar keinen funktioniellen Unterschied erklären,
aber an irgendetwas muss es ja liegen...
Bitte warten ..
Mitglied: aqui
06.10.2010, aktualisiert 18.10.2012
Kannst du testweise mal einen anderen Radius Server wie den Freeradius z.B. in einer VM ausprobieren. Dort gibt es diesen ganzen RAS Mist Overhead wie bei MS nicht und er hat einen erheblich besseren Debugging Modus:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Ansonsten gibt es noch zig HowTos mit denen du deine Konfig mal checken kannst:
http://www.booches.nl/2008/06/20/mac-authentication-bypass-continued/
http://www.symantec.com/connect/articles/snac-8021x-mac-authentication- ...
usw.
Bitte warten ..
Mitglied: Testuser123
06.10.2010 um 11:39 Uhr
Danke erstmal für deine Hilfe.

Also in einer anderen Umgebung zu testen ist leider nicht möglich, weil das Ganze in exakt der Umgebung funktionieren muss.
Die Authentifizierung ist Teil meiner Bachelorarbeit, die genau mit dieser Umgebung angesetzt ist.
Ich dachte, wenn ich schon die komplette 802.1X-Geschichte zum laufen kriege, wird das mit dem MAB auch ein klaks.

Ich wette, es ist wieder nur ein kleines Häkchen, dass ich zuviel oder zu wenig gesetzt habe );
Bitte warten ..
Mitglied: aqui
06.10.2010, aktualisiert 18.10.2012
Ja, ist es eigentlich auch. Bei allen anderen Herstellern ist das mit FreeRadius eine 10 Minutensache das aufzusetzen, da ein simples Standardszeanrio. Das kann eigentlich nur an irgendwelchen verquarsten MS Rechten liegen. Ist ja verwunderlich das man mit sowas Banalem einen Bachelor machen kann...nundenn ?!
Bitte warten ..
Mitglied: Testuser123
06.10.2010 um 11:59 Uhr
Hehe,

nunja, darum schrieb ich ja "Teil meiner Bachelorarbeit". Wenn das alles wäre, dann hätte ich einige Sorgen weniger^^

Also werd ich wohl erstmal noch weiter ausprobieren müssen, obwohl mir nichts mehr einfällt.

Falls ich den Fehler finde, werde ich es hier mitteilen.
Bitte warten ..
Mitglied: Testuser123
06.10.2010 um 14:06 Uhr
Eine Idee ist mir gerade noch gekommen. Ist es eigentlich zwingend notwendig die User, die sich über MAB anmelden in ein VLAN zu stecken?

Ich habe bei meiner Testkonfiguration dieses

access vlan xx

weggelassen, mit der Absicht, dass sich der Supplicant dann ganz normal wie ein 802.1x-angemeldeter Client ins Netz einwählt.
Bitte warten ..
Mitglied: aqui
07.10.2010 um 19:53 Uhr
Ja, du hast beide Optionen. Wenn du das im Default VLAN belässt kannst du entweder die VLAN Zuweisung via .1x dynamisch machen oder wenn du das weglässt im Radius verbleibt der Client in dem VLAN welches dem Port statisch in der Switchkonfig zugewiesen ist.
Beides klappt !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Verbindungsprobleme VPN LAN2LAN bei Draytek und Cisco
Frage von opalkaRouter & Routing4 Kommentare

Hallo, ich habe mehrer Filialen mit der Zentrale per VPN verbunden. Die Filialen sind entweder mit Draytek Vigor 2200 ...

LAN, WAN, Wireless
Was ist ein LAN Bypass oder was sind Bypass LAN Ports (RJ45)
gelöst Frage von 108012LAN, WAN, Wireless2 Kommentare

Hallo zusammen, ich trage mich mit dem Gedanken demnächst ein NAS mit FreeNAS und ein Firewall mit pfSense selber ...

Netzwerkmanagement
HP SIM verursacht Authentication Failure an Cisco Switch
Frage von rennkuckuckNetzwerkmanagement7 Kommentare

Hallo, ich habe die neuste Version von HP Systems Insight Manager laufen und er produziert immer in dem Cisco ...

Verschlüsselung & Zertifikate
RSA authentication failed authentication manager
Frage von ko81roVerschlüsselung & Zertifikate2 Kommentare

Hallo zusammen, ich bekommen ob und zu immer wieder Probleme das sich die User nicht anmelden können, bei dem ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet4 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.