Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VLAN automatisch zuordnen über FreeRadius

Frage Netzwerke LAN, WAN, Wireless

Mitglied: LordCillin

LordCillin (Level 1) - Jetzt verbinden

26.09.2007, aktualisiert 29.09.2007, 11742 Aufrufe, 7 Kommentare

Hallo alle zusammen!

Ich habe folgendes Problem:

Habe in einer Firma den Auftrag bekommen einen Radius-Server zu konfigurieren. Welcher zur Authentifizierung in dem hier angelegten Netzwerk genutzt werden soll. Die Authentifizierung am FreeRadius klappt soweit über PEAP. Nun wurde der Wunsch geäußert, dass den Nutzern via Radius ein VLAN zugeordnet werden soll. Und da liegt das Problem. Dies klappt auch nach längerem probieren, googeln etc. immer noch nicht. Ich habe leider keine Ahnung ob es an den Einstellungen vom FreeRadius hängt oder an den Einstellungen des Switches (Linksys SRW2016). Oder ob es überhaupt mit diesem Switch möglich ist, da das ja nicht alle beherschen sollen.

Schonmal vielen Dank für die Hilfe!

Mit freundlichen Grüßen

LC
Mitglied: aqui
26.09.2007 um 12:22 Uhr
Die Freeradius Konfig für eine 802.1x Benutzerauthentisierung ist ganz einfach:

Clients.conf Datei:
01.
02.
client 192.168.1.0/24 { 
03.
        secret          =  Geheim 
04.
        shortname       = labortest 
05.
}
Das lässt Radius Zugriffe von Switches generell zu aus dem LAN 192.168.1.0/24. Ggf. musst du das auf dein IP Netz anpassen !

users Datei: (Benutzer willi, Passwort geheim, Ohne autom. VLAN Zuordnung)
01.
02.
willi Auth-Type := EAP, User-Password == "geheim" 
03.
#
users Datei: (Benutzer willi, Passwort geheim, Mit autom. VLAN Zuordnung)
01.
02.
willi Auth-Type := EAP, User-Password == "geheim" 
03.
Tunnel-Type = 13, 
04.
Tunnel-Medium-Type = 6, 
05.
Tunnel-Private-Group-Id = 10 
06.
#
Mit Tunnel-Private-Group-Id = 10 wird ihm dynamisch das VLAN 10 zugewiesen ! Ist übrigens genau die gleiche Syntax wie am ISA Server von MS.

Du solltest den Radius Server temporär mit radiusd –X starten, dann schmeisst er dir den Authentifizierungsvorgang auf die Konsole und du kannst sofort sehen wo der Fehler ist !
Im aktiven Betrieb sollte man das -X aber nicht einschalten !!!

Der Switch muss natürlich konfiguriert sein für 802.1x auf den Ports mit einer Radius Abfrage (Radius IP Adresse, Ports und Passwort) . Wie das beim Linksys geht ist detailliert auf Seite 59 im Handbuch beschrieben. Wie du den Radius Server im Switch konfigurierst steht im Handbuch auf Seite 85.
Falls du das Handbuch nicht hast hilft dir ggf. die Linksys-Produktseite

Im Datenblatt steht aber nichts vom Support von dynamsicher VLAN Zuweisung. Du solltest also ggf. als ersten Schritt erstmal die normale Benutzer Authentifizierung mit 802.1x testen bevor du auf die dynamische Zuweisung gehst !
Bitte warten ..
Mitglied: LordCillin
26.09.2007 um 13:06 Uhr
Wie gesagt die einfach Authentifizierung via PEAP funktioniert einwandfrei. Der Debug-Modus von Freeradius bringt keine Fehler. Und aus deinen Aussagen kann ich entnehmen das der Switch das nicht unbedingt können muss. Habe mich zu diesem Thema mal mit Linksys in Verbindung gesetzt. Leider noch keine Antwort.
Bitte warten ..
Mitglied: aqui
26.09.2007 um 13:10 Uhr
Bedenke das 802.1x immer EAP als Protokoll benutzt nie an PEAP. Das siehst du schon am Auth-Type in der User Konfig oben !

Eine normale Benutzer Authentifizierung am Switch Port supportet der Linksys aber problemlos mit der einfachen Benutzer Zeile bzw. Konfig wie oben beschrieben.

Es ist lediglich die Frage ob der Linksys eine dynamische VLAN Zuordnung zusätzlich kann..
Da sind wir dann mal auf die Antwort von Linksys gespannt... ?!
Bitte warten ..
Mitglied: LordCillin
28.09.2007 um 07:53 Uhr
Tja nun sind bereits 2 Tage ins Land gegangen und Linksys rührt sich nicht. Abwohl in der Eingangs-E-Mail eine Antwort innerhalb 24 Stunden zugesichert wurde. Durch testen hab ich inzwischen festegestellt, dass eine dynamische Zuordnung von VLANs mit dem Linksys SRW 2016 nicht möglich ist. Sofern Linksys in geraumer Zeit nicht das Gegenteil behaupten wird. Hat sich das Thema damit erledigt.

Nun gleich nocheinmal eine andere Frage: Gibt es da noch andere Möglichkeiten der Zuordnung?

Mit freundlichen Grüßen

LC
Bitte warten ..
Mitglied: aqui
28.09.2007 um 17:03 Uhr
Was meinst du damit ??? Andere Möglichkeiten der dynamischen Zuordnung ??? Ja, die gibt es noch über die MAC Adresse. Einige Hersteller supporten sowas, der Port authentisiert dann nicht nach 802.1x Username und Password sondern nach der MAC Adresse der LAN Karte und bekommt dann mit genau demselben Mechanismus über den radius dynamisch ein VLAN zugeordent !!

Das sind die einzigen Möglichkeiten derzeit am Markt.
Falls du eine nicht dynamische Zuweisung meinst, geht das natürlich problemlos als statische Zuweisung über das Switch Setup...aber das weist du ja sicher selber
Bitte warten ..
Mitglied: LordCillin
29.09.2007 um 03:06 Uhr
Alles klar dank dir für die Auskunft die beiden Varianten via Radius bzw. Mac sind mir bekannt. Dachte nur ich hätte vllt eine übersehen.
Bitte warten ..
Mitglied: aqui
29.09.2007 um 22:55 Uhr
Wenns das war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Microsoft Office
Registerkarte in Excel automatisch färben (10)

Frage von ralfkausk zum Thema Microsoft Office ...

Linux Netzwerk
OpenVPN, zwei OpenWRT Router verbinden und VLAN durchs VPN leiten (6)

Frage von sharbich zum Thema Linux Netzwerk ...

Windows Server
Jnlp Endungen mit Java automatisch verknüpfen über GPO (10)

Frage von staybb zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...