2
VLAN-Zuweisung vom Freeradius an Cisco2940
Also ich bitte hier mal um Hilfe. Habe hier einen Cisco 2940 Switch und im Hintergrund arbeitet ein Freeradius-Server. Hab EAP-TLS und EAP-TTLS konfiguriert und es funktioniert. Nun will ich einem bestimmten User nach erfolgreicher Authentifizierung ein bestimmtes VLAN zuweisen. Doch das klappt nicht. Habe unter der Datei users in Suselinux unter /etc/raddb (Suse hat wohl diesen Abschnitt aus der radiusd.conf ausgelagert) wie folgt editiert:
"Max Mustermann" User-Password=="test"<br>
Tunnel-Type=6,
Tunnel-Medium-Type=13,
Tunnel-Private-Group-ID=192 #wirf mich ins VLAN 192
Doch ich falle immer ins default-VLAN1
Auf dem Switch habe ich den Port FastEthernet0/3 wie folgt eingerichtet:
interface FastEthernet0/3<br>
switchport mode access<br>
dot1xport-control-auto<br>
dot1x guest-vlan 20<br>
spanning-tree portfast
vlan 192 ist angelegt
radius-server vsa send accounting
(plus die anderen radius-Optionen)
Unterstuetzt der Switch das überhaupt ?
Für Anworten bedanke ich mich schin maloim voraus.
Gruss Joerg
"Max Mustermann" User-Password=="test"<br>
Tunnel-Type=6,
Tunnel-Medium-Type=13,
Tunnel-Private-Group-ID=192 #wirf mich ins VLAN 192
Doch ich falle immer ins default-VLAN1
Auf dem Switch habe ich den Port FastEthernet0/3 wie folgt eingerichtet:
interface FastEthernet0/3<br>
switchport mode access<br>
dot1xport-control-auto<br>
dot1x guest-vlan 20<br>
spanning-tree portfast
vlan 192 ist angelegt
radius-server vsa send accounting
(plus die anderen radius-Optionen)
Unterstuetzt der Switch das überhaupt ?
Für Anworten bedanke ich mich schin maloim voraus.
Gruss Joerg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 58414
Url: https://administrator.de/contentid/58414
Printed on: April 18, 2024 at 07:04 o'clock
2 Comments
Latest comment
Ein lauffähige Konfig für Freeradius und .1x sieht so aus:
user Auth-Type := EAP, User-Password == "geheim"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 6
(Hier als Beispiel für die dynamische Zuweisung von VLAN 6)
Siehe dazu auch hier
FreeRadius und Cisco Catalyst
und hier:
Freeradius Management mit WebGUI
Wichtig ist noch das du auch die Datei "clients" entsprechend für deinen Switch konfigurierst !
client 192.168.1.254/24 {
secret = geheim
shortname = dot1x_switch
}
Wenn du mehrere Switches hast auf denen du .1x nutzen willst in dem Segment ist es einfacher das gesamte IP Segment einzugeben als alles Switches einzeln.
Das sieht dann so aus:
client 192.168.1.0/24 {
secret = geheim
shortname = dot1x_switch
}
Der nimmt dann alle Geräte im Netz 192.168.1.0. Dr Schlüssel unter secret muss natürlich mit dem übereinstimmen, den du auch auf dem Switch konfiguriert hast !
user Auth-Type := EAP, User-Password == "geheim"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 6
(Hier als Beispiel für die dynamische Zuweisung von VLAN 6)
Siehe dazu auch hier
FreeRadius und Cisco Catalyst
und hier:
Freeradius Management mit WebGUI
Wichtig ist noch das du auch die Datei "clients" entsprechend für deinen Switch konfigurierst !
client 192.168.1.254/24 {
secret = geheim
shortname = dot1x_switch
}
Wenn du mehrere Switches hast auf denen du .1x nutzen willst in dem Segment ist es einfacher das gesamte IP Segment einzugeben als alles Switches einzeln.
Das sieht dann so aus:
client 192.168.1.0/24 {
secret = geheim
shortname = dot1x_switch
}
Der nimmt dann alle Geräte im Netz 192.168.1.0. Dr Schlüssel unter secret muss natürlich mit dem übereinstimmen, den du auch auf dem Switch konfiguriert hast !
Ja das Problem hab ich auch. Also mein Cisco switch weist meinen Usern immer das default VLAN zu.
Es kann nur an dem Cisco Switch liegen (Cisco 2950) da die Konfiguration des RADIUS Server bei
meinem Alcatel Switch ohne Probleme geklappt hat.
mit
User1 Auth-Type := EAP, User-Password == "Geheim"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 7
jetzt die Frage was muss ich alles beim CISCO switch einstellen.
Hab eigentlich die gleiche Konfiguration wie der Themenersteller (schaumer)
radius-server vsa send accounting <--- muss da nicht auch noch die
radius-server vsa send authentication dabei sein??
Es kann nur an dem Cisco Switch liegen (Cisco 2950) da die Konfiguration des RADIUS Server bei
meinem Alcatel Switch ohne Probleme geklappt hat.
mit
User1 Auth-Type := EAP, User-Password == "Geheim"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 7
jetzt die Frage was muss ich alles beim CISCO switch einstellen.
Hab eigentlich die gleiche Konfiguration wie der Themenersteller (schaumer)
radius-server vsa send accounting <--- muss da nicht auch noch die
radius-server vsa send authentication dabei sein??
