Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verbindungsprobleme bei Cisco Mac Authentication Bypass

Frage Netzwerke Router & Routing

Mitglied: Testuser123

Testuser123 (Level 1) - Jetzt verbinden

05.10.2010, aktualisiert 18.10.2012, 6473 Aufrufe, 11 Kommentare, 1 Danke

Hallo Forum,

habe mal wieder ein kleines Problemchen und dachte weil ihr mir immer so gut geholfen habt, frage ich wieder hier...

Ich möchte Mac Authentication Bypass realisieren. Ich habe. Cisco 2960 + Windows 2003 IAS Server

Mein Problem liegt darin, dass ich zwar nach Anschluss des Testgerätes (Windows XP) ein Accept vom Radius-Server bekomme,
aber die Verbindung nicht bestehen bleibt. Der Client meldet sich automatisch immer wieder alle 5-10 Sekunden neu an:

No. Time Source Destination Protocol Info
5 16.909581 192.168.126.60 192.168.126.149 RADIUS Access-Request(1) (id=45, l=156)

No. Time Source Destination Protocol Info
6 16.915389 192.168.126.149 192.168.126.60 RADIUS Access-Accept(2) (id=45, l=68)

No. Time Source Destination Protocol Info
7 34.592406 192.168.126.60 192.168.126.149 RADIUS Access-Request(1) (id=46, l=156)

No. Time Source Destination Protocol Info
8 34.598284 192.168.126.149 192.168.126.60 RADIUS Access-Accept(2) (id=46, l=68)

Auch ein Ping zwischen den Geräten ist leider nicht möglich.

Meine Switch-Config am Port sieht so aus:

interface FastEthernet0/10
switchport mode access
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout tx-period 5
spanning-tree portfast
spanning-tree bpduguard enable

Hat jemand eventuell schon mal das gleiche Problem gehabt, oder eine Idee wo es hakt?
Mitglied: Testuser123
05.10.2010 um 15:26 Uhr
Es gibt Neuigkeiten, aber das Problem ist leider noch nicht gelöst.

Im IAS Log und im Wireshark wird Access-Accept angezeigt. Der Switch sieht das aber anders^^

Wenn ich auf dem 2960er den dot1x event debug mache, kommt folgendes heraus:

*Mar 1 00:25:54.459: dot1x-ev:dot1x_switch_is_dot1x_forwarding_enabled: Forwarding is disabled on Fa0/10
*Mar 1 00:25:54.459: dot1x-ev:dot1x_mgr_if_state_change: FastEthernet0/10 has changed to UP
*Mar 1 00:25:54.459: dot1x-ev:Sending create new context event to EAP for 0000.0000.0000
*Mar 1 00:25:54.459: dot1x-ev:Created a client entry for the supplicant 0000.0000.0000
*Mar 1 00:25:54.459: dot1x-ev:Created a default authenticator instance on FastEthernet0/10
*Mar 1 00:25:54.459: dot1x-ev:dot1x_switch_enable_on_port: Enabling dot1x on interface FastEthernet0/10
*Mar 1 00:25:54.459: dot1x-ev:dot1x_switch_enable_on_port: set dot1x ask handler on interface FastEthernet0/10
*Mar 1 00:25:54.459: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:25:54.459: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:25:54.459: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
*Mar 1 00:25:56.464: %LINK-3-UPDOWN: Interface FastEthernet0/10, changed state to up
*Mar 1 00:25:59.609: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:25:59.609: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:25:59.609: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
*Mar 1 00:26:04.752: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:26:04.752: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:26:04.752: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:Received an EAP Timeout on FastEthernet0/10 for mac 0000.0000.0000
*Mar 1 00:26:09.902: dot1x-ev:Host access is 2 on port FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_get_default_host_access: Host access set to ask because FastEthernet0/10 unauthorized
*Mar 1 00:26:09.902: dot1x-ev:Changed host access to ask on FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_pm_port_unauth_learning: On FastEthernet0/10, unauth learning set to TRUE for domain DATA
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_is_dot1x_forwarding_enabled: Forwarding is disabled on Fa0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_switch_pm_port_unauth_learning: Set learning in PI on port FastEthernet0/10
*Mar 1 00:26:09.902: dot1x-ev:dot1x_pm_mab_get_mac: set dot1x ask handler on interface FastEthernet0/10
*Mar 1 00:26:10.028: dot1x-ev:dot1x_switch_pm_port_unauth_learning: On FastEthernet0/10, unauth learning set to FALSE for domain DATA
*Mar 1 00:26:10.028: dot1x-ev:dot1x_switch_is_dot1x_forwarding_enabled: Forwarding is disabled on Fa0/10
*Mar 1 00:26:10.028: dot1x-ev:Host access is 1 on port FastEthernet0/10
*Mar 1 00:26:10.028: dot1x-ev:Succeeded in setting host access to deny on FastEthernet0/10
*Mar 1 00:26:10.028: dot1x-ev:dot1x_switch_mac_address_notify: MAC 0800.4643.d71d discovered on FastEthernet0/10(1) consumed by MAB
*Mar 1 00:26:10.028: dot1x-ev:Couldn't find a supplicant with mac 0800.4643.d71d
*Mar 1 00:26:10.045: dot1x-ev:Authorization data for client 0000.0000.0000 has been reset on FastEthernet0/10
*Mar 1 00:26:10.045: dot1x-ev:Resetting the client 0000.0000.0000
*Mar 1 00:26:10.045: dot1x-ev:FastEthernet0/10:Sending EAPOL packet to group PAE address
*Mar 1 00:26:10.045: dot1x-ev:dot1x_mgr_pre_process_eapol_pak: Role determination not required on FastEthernet0/10.
*Mar 1 00:26:10.045: dot1x-ev:dot1x_mgr_send_eapol: Sending out EAPOL packet on FastEthernet0/10

Im ersten markierten Abschnitt passiert nichts spannendes, der Switch versucht mit dem Ablauf der Timer die Adresse vom Supplicant zu "learnen".
Im zweiten markierten Abschnitt hat er die MAC Adresse herausgefunden und sagt, dass er keinen Supplicant mit dieser Mac Adresse finden kann.

Ich finde es komisch, dass der Radius Server aber einen Accept ausgibt, aber der Client einfach eine Abfuhr bekommt. Wie geht das?
das Problem kann doch dann eigentlich nur Radius-Server-seitig sein, oder?

Keiner eine Idee?
Bitte warten ..
Mitglied: aqui
05.10.2010 um 18:13 Uhr
Was sagt
show mac-auth-bypass 0/10
und
show dot1x interface fa 0/10 details ??
Bitte warten ..
Mitglied: Testuser123
06.10.2010 um 08:35 Uhr
Also den ersten Befehl gibts so nicht, der ist wohl bloß bei CatOs möglich. Hab leider auch keinen ähnlichen Befehl gefunden.

"show dot1x interface fa 0/10 details" zeigt:

Dot1x Info for FastEthernet0/10
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = SINGLE_HOST
ReAuthentication = Disabled
QuietPeriod = 10
ServerTimeout = 30
SuppTimeout = 30
ReAuthPeriod = 3600 (Locally configured)
ReAuthMax = 2
MaxReq = 2
TxPeriod = 5
RateLimitPeriod = 0
Mac-Auth-Bypass = Enabled
Inactivity Timeout = None

Dot1x Authenticator Client List Empty

Domain = DATA
Port Status = UNAUTHORIZED



Könnte es eventuell hiermit was zu tun haben -> "Dot1x Authenticator Client List Empty" Muss ich dem Switch nochmal verraten wer der Authenticator ist?
Das müsste er doch eigentlich über den normalen RADIUS-Weg machen oder?

Oder könnte es allgemein daran liegen, dass ich den Windows IAS anstatt des Cisco ACS nutze?
Bitte warten ..
Mitglied: aqui
06.10.2010 um 10:52 Uhr
Nein, Radius ist Radius, das ist ein Standard und klappt auch mit Freeradius und allen anderen bekannten Radius Servern. Im Umkehrschluss müssten dann alle User die Mac Authentication machen einen Cisco ACS kaufen. Ciso funktioniert in fast allen Bereichen so aber hier nutzen sie dann doch mal Standard. Das ist also nicht der Punkt !
Hast du mal
http://www.cisco.com/univercd/cc/td/doc/solution/macauthb.pdf
genau durchgearbeitet ??
Bitte warten ..
Mitglied: Testuser123
06.10.2010 um 11:22 Uhr
Habs genauso durchgearbeitet wies in der Anleitung steht. Ansonsten läuft meine 802.1X Authentifizierung 1A.

Was ich nicht verstehe ist, dass der IAS Log und der Wireshark mir einen "Access-Accept" melden. Aber der Switch im debug gar keinen rausgibt...
Wie lässt sich das erkären? Ich hab auch schon unterschiedliche Timerzeiten probiert, aber dann geschieht das Gleiche. Es dauert nur länger/ kürzer.

Ich habe die Vermutung dass eventuell etwas mit der RAS-Richtlinie nicht stimmt, weil ich nun schon öfter gelesen habe, dass die meisten
eine extra Gruppe für die Mac-Authentication-User machen und diese dort reinstecken. Kann mir da zwar keinen funktioniellen Unterschied erklären,
aber an irgendetwas muss es ja liegen...
Bitte warten ..
Mitglied: aqui
06.10.2010, aktualisiert 18.10.2012
Kannst du testweise mal einen anderen Radius Server wie den Freeradius z.B. in einer VM ausprobieren. Dort gibt es diesen ganzen RAS Mist Overhead wie bei MS nicht und er hat einen erheblich besseren Debugging Modus:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Ansonsten gibt es noch zig HowTos mit denen du deine Konfig mal checken kannst:
http://www.booches.nl/2008/06/20/mac-authentication-bypass-continued/
http://www.symantec.com/connect/articles/snac-8021x-mac-authentication- ...
usw.
Bitte warten ..
Mitglied: Testuser123
06.10.2010 um 11:39 Uhr
Danke erstmal für deine Hilfe.

Also in einer anderen Umgebung zu testen ist leider nicht möglich, weil das Ganze in exakt der Umgebung funktionieren muss.
Die Authentifizierung ist Teil meiner Bachelorarbeit, die genau mit dieser Umgebung angesetzt ist.
Ich dachte, wenn ich schon die komplette 802.1X-Geschichte zum laufen kriege, wird das mit dem MAB auch ein klaks.

Ich wette, es ist wieder nur ein kleines Häkchen, dass ich zuviel oder zu wenig gesetzt habe );
Bitte warten ..
Mitglied: aqui
06.10.2010, aktualisiert 18.10.2012
Ja, ist es eigentlich auch. Bei allen anderen Herstellern ist das mit FreeRadius eine 10 Minutensache das aufzusetzen, da ein simples Standardszeanrio. Das kann eigentlich nur an irgendwelchen verquarsten MS Rechten liegen. Ist ja verwunderlich das man mit sowas Banalem einen Bachelor machen kann...nundenn ?!
Bitte warten ..
Mitglied: Testuser123
06.10.2010 um 11:59 Uhr
Hehe,

nunja, darum schrieb ich ja "Teil meiner Bachelorarbeit". Wenn das alles wäre, dann hätte ich einige Sorgen weniger^^

Also werd ich wohl erstmal noch weiter ausprobieren müssen, obwohl mir nichts mehr einfällt.

Falls ich den Fehler finde, werde ich es hier mitteilen.
Bitte warten ..
Mitglied: Testuser123
06.10.2010 um 14:06 Uhr
Eine Idee ist mir gerade noch gekommen. Ist es eigentlich zwingend notwendig die User, die sich über MAB anmelden in ein VLAN zu stecken?

Ich habe bei meiner Testkonfiguration dieses

access vlan xx

weggelassen, mit der Absicht, dass sich der Supplicant dann ganz normal wie ein 802.1x-angemeldeter Client ins Netz einwählt.
Bitte warten ..
Mitglied: aqui
07.10.2010 um 19:53 Uhr
Ja, du hast beide Optionen. Wenn du das im Default VLAN belässt kannst du entweder die VLAN Zuweisung via .1x dynamisch machen oder wenn du das weglässt im Radius verbleibt der Client in dem VLAN welches dem Port statisch in der Switchkonfig zugewiesen ist.
Beides klappt !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Cisco DHCP Reservierung mit MAC Addresse (4)

Frage von PharIT zum Thema LAN, WAN, Wireless ...

Router & Routing
Cisco 1921 plötzliche Verbindungsprobleme seit NAT-Einträgen (1)

Frage von ef8619 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...