Moin,
ich versuche schon seit einiger Zeit frustran eine Wlan Zugangsbeschränkung (WLC) über den integrierten Radiusserver über MAC-Adressen zu erreichen. Ich habe den Radiusserver aktiviert, alle MAC Adressen in der Form aabbcc-ddeeff als Benutzer und Passwort eingetragen, habe den WLC auf diesen Radiusserver gerichtet. Leider funktioniert die Abfrage nicht.
Laut einem howto muss man im Routerwebinterface noch unter LCOS-Menübaum -> Setup -> WLAN -> RADIUS-Zugriffsprüfung -> Passwort-Quelle den Wert von Secret auf MAC-Adresse ändern, leider finde ich das nicht beim 1781 und Lcos 10.12.
Hat sich da was geändert?
Danke!
Dani :-)
1781 und WLAN-Beschränkung mit RADIUS-Server und MAC-Adresse
Moderator: Lancom-Systems Moderatoren
Re: 1781 und WLAN-Beschränkung mit RADIUS-Server und MAC-Adr
Moin,
also geändert hat sich da nichts. Die 'Paßwort-Quelle' steht nach wie vor auf der CLI unter Setup/WLAN/RADIUS-Access-Check - aber natürlich auf den APs, nicht auf dem WLC. Denn die eigentliche RADIUS-Anfrage nach der MAC-Adresse wird auf den (gemanagten) APs ausgelöst, nicht auf dem WLC.
Gruß Alfred
also geändert hat sich da nichts. Die 'Paßwort-Quelle' steht nach wie vor auf der CLI unter Setup/WLAN/RADIUS-Access-Check - aber natürlich auf den APs, nicht auf dem WLC. Denn die eigentliche RADIUS-Anfrage nach der MAC-Adresse wird auf den (gemanagten) APs ausgelöst, nicht auf dem WLC.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: 1781 und WLAN-Beschränkung mit RADIUS-Server und MAC-Adr
Ah, vielen Dank!
Re: 1781 und WLAN-Beschränkung mit RADIUS-Server und MAC-Adr
Danke.
Nun funktioniert die Freigabe über Radius, super.
Allerdings funktioniert die Bandbreitenbegrenzung, um die geht es bei der Restriktion über Radius hauptsächlich, nicht.
Gibt es da noch irgendwo, irgendwas, was ich aktivieren/deaktivieren oder überprüfen muss? Die Einträge im Radius bzgl. Tx/Rx werden leider ignoriert.
Danke und LG
Dani
Nun funktioniert die Freigabe über Radius, super.
Allerdings funktioniert die Bandbreitenbegrenzung, um die geht es bei der Restriktion über Radius hauptsächlich, nicht.
Gibt es da noch irgendwo, irgendwas, was ich aktivieren/deaktivieren oder überprüfen muss? Die Einträge im Radius bzgl. Tx/Rx werden leider ignoriert.
Danke und LG
Dani
Re: 1781 und WLAN-Beschränkung mit RADIUS-Server und MAC-Adr
Moin,
tauchen die Rx-/Tx-Limits denn auf dem AP in der WLAN-Stationstabelle in der entsprechenden Spalte auf?
Gruß Alfred
tauchen die Rx-/Tx-Limits denn auf dem AP in der WLAN-Stationstabelle in der entsprechenden Spalte auf?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: 1781 und WLAN-Beschränkung mit RADIUS-Server und MAC-Adr
Hi,
ich hatte zuerst die einzelnen Clients in der Stationstabelle sowie in der Radiusnutzertabelle incl. der Limits drin, ohne Erfolg. Dann habe ich sie zuerst aus der Radius, dann separat aus der Stationstabelle gelöscht, auch ohne Erfolg.
Nun stehen die Clients nur in der Benutzertabelle vom Radius drin (ich wollte mich auf eine globale Tabelle beschränken). Aber wie gesagt, die Limits werden, egal in welcher Tabelle der Nutzer steht, nicht akzeptiert.
Gruß
Daniel
ich hatte zuerst die einzelnen Clients in der Stationstabelle sowie in der Radiusnutzertabelle incl. der Limits drin, ohne Erfolg. Dann habe ich sie zuerst aus der Radius, dann separat aus der Stationstabelle gelöscht, auch ohne Erfolg.
Nun stehen die Clients nur in der Benutzertabelle vom Radius drin (ich wollte mich auf eine globale Tabelle beschränken). Aber wie gesagt, die Limits werden, egal in welcher Tabelle der Nutzer steht, nicht akzeptiert.
Gruß
Daniel
Re: 1781 und WLAN-Beschränkung mit RADIUS-Server und MAC-Adr
Moin,
das war jetzt keine Antwort auf meine letzte Frage...und was meinst Du genau mit "nicht akzeptiert"?
Gruß Alfred
das war jetzt keine Antwort auf meine letzte Frage...und was meinst Du genau mit "nicht akzeptiert"?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: 1781 und WLAN-Beschränkung mit RADIUS-Server und MAC-Adr
Tschuldigung,
Nein hier steht 0, obwohl die Limits in der Radiusbenutzerdatenbank eingetragen sind.
tauchen die Rx-/Tx-Limits denn auf dem AP in der WLAN-Stationstabelle in der entsprechenden Spalte auf?
Nein hier steht 0, obwohl die Limits in der Radiusbenutzerdatenbank eingetragen sind.
Re: 1781 und WLAN-Beschränkung mit RADIUS-Server und MAC-Adr
Moin,
hm, dann sind die Attribute nicht zum AP herübergewandert. Verstehe ich das jetzt richtig, daß der WLC (also der 1781) der RADIUS-Server ist? Dann schauen wir mal dem mit einem RADIUS-Server-Trace auf dem 1781, was der dem AP in seinem RADIUS-Response so an Attributen übermittelt
Gruß Alfred
hm, dann sind die Attribute nicht zum AP herübergewandert. Verstehe ich das jetzt richtig, daß der WLC (also der 1781) der RADIUS-Server ist? Dann schauen wir mal dem mit einem RADIUS-Server-Trace auf dem 1781, was der dem AP in seinem RADIUS-Response so an Attributen übermittelt
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: 1781 und WLAN-Beschränkung mit RADIUS-Server und MAC-Adr
Moin,
also kurz zu meiner Konfiguration.
Ich habe im WLC des 1781 unter Radius-Profile als IP entweder die des 1781 bzw. den Localhost (127.0.0.1) und die entsprechenden Ports (1812 und 1813) eingetragen. Dann habe ich unter den logischen Lan-Netzwerken die MAC-Prüfung und das Radius-Accounting aktiviert. Im Radius-Server des 1781 habe ich alle Clients mit der Mac-Adresse in Benutzername und Passwort eingepflegt und schlussendlich wie obig geschrieben in allen APs die Passwort-Quelle in der Radius-Zugriffsprüfung auf MAC gestellt.
Starte ich nun mit dieser Konfiguration einen Trace Radius-Server auf dem 1781, tut sich nichts, es kommt nur die Meldung "Checking for dead accounting sessions:". Auch ein Trace Radius-Client auf den APs bringt "nichts".
Lösche ich unter den Radiusprofilen im WLC die IP des Routers bz. die 127.0.0.1 und gebe die 0.0.0.0 (wie im Standardprofil vorgegeben) und setze die Ports ebenfalls auf 0, wird der Radiusserver angesprochen und die einzelnen Lan-Clients verlieren die Verbindung.
Ein Trace Radiusserver zeigt auch warum:
-->known attributes of request:
User-Name : aabbcc-ddeeff
User-Password : aabbcc-ddeeff
Service-Type : Framed
NAS-Identifier : AccessPoint-02
NAS-IP-Address : (IP vom AP)
NAS-Port : 2
NAS-Port-Id : 2
NAS-Port-Type : Wireless - IEEE 802.11
Called-Station-Id : Mac vom AP:DNS
Calling-Station-Id : aa-bb-cc-dd-ee-ff
Connect-Info : CONNECT 144 Mbps 802.11g/n
WLAN-Pairwise-Cipher: WPA-CSE-CCMP
WLAN-Group-Cipher : WPA-CSE-CCMP
WLAN-AKM-Suite : WPA-AUTHSE-PSK
WLAN-RF-Band : 2.4 GHz
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->found user 'aabbcc-ddeeff' in database(s)
-->authenticating via PAP
--->password mismatch
-->response type is Reject, response attributes:
Tunnel-Type : VLAN
Tunnel-Medium-Type : IEEE-802
Tunnel-Private-Group-Id: 10
-->sending response
Es wird also das Passwort nicht akzeptiert.
Nun bleiben zwei Fragen.
Warum wird mein Radiusprofil nicht akzeptiert, das unkonfigurierte mit der Nuller-IP und dem Nuller-Port aber schon?
Was trägt man als Passwort ein, in den FAQs steht immer, dass die Mac-Adresse in obig geschriebener Form eingetragen werden soll.
Achja, und warum funktioniert die Verbindung der Clients, wenn die Mac-Prüfung sowie das Radiusprofil mit dem Localhost aktiv ist, aber der Trace Radius-Server auf dem 1781 mit anzeigt, dass keine Abfrage über diesen läuft?
Danke und LG
Dani :-)
also kurz zu meiner Konfiguration.
Ich habe im WLC des 1781 unter Radius-Profile als IP entweder die des 1781 bzw. den Localhost (127.0.0.1) und die entsprechenden Ports (1812 und 1813) eingetragen. Dann habe ich unter den logischen Lan-Netzwerken die MAC-Prüfung und das Radius-Accounting aktiviert. Im Radius-Server des 1781 habe ich alle Clients mit der Mac-Adresse in Benutzername und Passwort eingepflegt und schlussendlich wie obig geschrieben in allen APs die Passwort-Quelle in der Radius-Zugriffsprüfung auf MAC gestellt.
Starte ich nun mit dieser Konfiguration einen Trace Radius-Server auf dem 1781, tut sich nichts, es kommt nur die Meldung "Checking for dead accounting sessions:". Auch ein Trace Radius-Client auf den APs bringt "nichts".
Lösche ich unter den Radiusprofilen im WLC die IP des Routers bz. die 127.0.0.1 und gebe die 0.0.0.0 (wie im Standardprofil vorgegeben) und setze die Ports ebenfalls auf 0, wird der Radiusserver angesprochen und die einzelnen Lan-Clients verlieren die Verbindung.
Ein Trace Radiusserver zeigt auch warum:
-->known attributes of request:
User-Name : aabbcc-ddeeff
User-Password : aabbcc-ddeeff
Service-Type : Framed
NAS-Identifier : AccessPoint-02
NAS-IP-Address : (IP vom AP)
NAS-Port : 2
NAS-Port-Id : 2
NAS-Port-Type : Wireless - IEEE 802.11
Called-Station-Id : Mac vom AP:DNS
Calling-Station-Id : aa-bb-cc-dd-ee-ff
Connect-Info : CONNECT 144 Mbps 802.11g/n
WLAN-Pairwise-Cipher: WPA-CSE-CCMP
WLAN-Group-Cipher : WPA-CSE-CCMP
WLAN-AKM-Suite : WPA-AUTHSE-PSK
WLAN-RF-Band : 2.4 GHz
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->found user 'aabbcc-ddeeff' in database(s)
-->authenticating via PAP
--->password mismatch
-->response type is Reject, response attributes:
Tunnel-Type : VLAN
Tunnel-Medium-Type : IEEE-802
Tunnel-Private-Group-Id: 10
-->sending response
Es wird also das Passwort nicht akzeptiert.
Nun bleiben zwei Fragen.
Warum wird mein Radiusprofil nicht akzeptiert, das unkonfigurierte mit der Nuller-IP und dem Nuller-Port aber schon?
Was trägt man als Passwort ein, in den FAQs steht immer, dass die Mac-Adresse in obig geschriebener Form eingetragen werden soll.
Achja, und warum funktioniert die Verbindung der Clients, wenn die Mac-Prüfung sowie das Radiusprofil mit dem Localhost aktiv ist, aber der Trace Radius-Server auf dem 1781 mit anzeigt, dass keine Abfrage über diesen läuft?
Danke und LG
Dani :-)
Re: 1781 und WLAN-Beschränkung mit RADIUS-Server und MAC-Adr
Moin,
also wenn Du in den RADIUS-Profilen die 127.0.0.1 als Serveradresse einträgst, dann bekommen die APs diese Adresse so wie sie ist übermittelt - d.h. der WLC sagt den APs, sie sollen sich selber per RADIUS befragen. Was dabei herauskommt, hängt davon ab, ob Du auf dem AP auch dessen RADIUS-Server aktiviert hast oder nicht.
0.0.0.0 ist der übliche Default dafür, daß die APs ihre RADIUS-Anfragen an den WLC richten sollen.
Warum die Anfragen vom RADIUS-Server im WLC dann mit 'password mismatch# abgelehnt werden - da fällt mir spontan nichts zu ein. Ist das Passwort in der RADIUS-Benutzertabelle wirklich exakt in der gleichen Form hinterlegt, inklusive Groß- und Kleinschreibung?
Gruß Alfred
also wenn Du in den RADIUS-Profilen die 127.0.0.1 als Serveradresse einträgst, dann bekommen die APs diese Adresse so wie sie ist übermittelt - d.h. der WLC sagt den APs, sie sollen sich selber per RADIUS befragen. Was dabei herauskommt, hängt davon ab, ob Du auf dem AP auch dessen RADIUS-Server aktiviert hast oder nicht.
0.0.0.0 ist der übliche Default dafür, daß die APs ihre RADIUS-Anfragen an den WLC richten sollen.
Warum die Anfragen vom RADIUS-Server im WLC dann mit 'password mismatch# abgelehnt werden - da fällt mir spontan nichts zu ein. Ist das Passwort in der RADIUS-Benutzertabelle wirklich exakt in der gleichen Form hinterlegt, inklusive Groß- und Kleinschreibung?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: 1781 und WLAN-Beschränkung mit RADIUS-Server und MAC-Adr
Hi,
also es geht nun. Man muss die Buchstaben im Mac-String vom Passwort zwingend klein schreiben. Ich hatte einige Benutzer, das war die Mac-Adresse eben groß geschrieben, beim Benutzernamen gibt es ja die Auswahl die Groß/Kleinschreibung zu ignorieren, bei Passwort funktioniert dies nicht.
Was ich halt noch nicht verstehe ist, warum die Radiusabfrage nicht funktioniert, wenn ich die IP des Routers sowie die Ports eintrage. Ja selbst wenn ich als IP, wie du oben schon geschrieben hast die 0.0.0.0 und die Ports (1812/13) eintrage, wird der Radiusserver des 1781 nicht abgefragt. Die Ports sind auch bei Radiusserver korrekt definiert und eintragen "tu" ich das Ganze ja beim WLC, damit dieser weis, an welche IP (die des Routers) er die Anfragen weiterleiten soll. So habe ich es jedenfalls verstanden. Es funktioniert nur, wenn der WLC die Anfragen an 0.0.0.0 mit Port 0 weiterleitet. Im Status der APs steht dann allerdings die korrekte IP des Routers mit den richtigen Ports.
Gruß
Dani :-)
also es geht nun. Man muss die Buchstaben im Mac-String vom Passwort zwingend klein schreiben. Ich hatte einige Benutzer, das war die Mac-Adresse eben groß geschrieben, beim Benutzernamen gibt es ja die Auswahl die Groß/Kleinschreibung zu ignorieren, bei Passwort funktioniert dies nicht.
Was ich halt noch nicht verstehe ist, warum die Radiusabfrage nicht funktioniert, wenn ich die IP des Routers sowie die Ports eintrage. Ja selbst wenn ich als IP, wie du oben schon geschrieben hast die 0.0.0.0 und die Ports (1812/13) eintrage, wird der Radiusserver des 1781 nicht abgefragt. Die Ports sind auch bei Radiusserver korrekt definiert und eintragen "tu" ich das Ganze ja beim WLC, damit dieser weis, an welche IP (die des Routers) er die Anfragen weiterleiten soll. So habe ich es jedenfalls verstanden. Es funktioniert nur, wenn der WLC die Anfragen an 0.0.0.0 mit Port 0 weiterleitet. Im Status der APs steht dann allerdings die korrekte IP des Routers mit den richtigen Ports.
Gruß
Dani :-)