 |
|
|
|
| Autor |
Nachricht |
stefan.winter
Anmeldungsdatum: 21.03.2006
Beiträge: 53
|
 Verfasst am:
Do 03 Jul, 2008 15:54 |
  |
|
Hab an meinen WLC4006 einen 310agn gehängt und versuche nun 802.11i/802.1X drüber zu fahren.
Auf dem WLC ist der interne RADIUS-Server aktiv, soll aber nur forwarden. Also hab ich beim Forwarding für den DEFAULT und NULL realm einen Forwarding-Realm "EDUROAM" eingetragen und für diesen EDUROAM realm einen Weiterleitungs-Server definiert.
Dann habe ich versucht, mich mit nem Benutzernamen @restena.lu einzuloggen - der sollte ja dann als DEFAULT realm behandelt werden und an den Weiterleitungsserver für EDUROAM weitergeschickt werden. Ich sehe aber überhaupt keinen RADIUS Traffic wenn ich mich auf dem 310agn einloggen will.
Ein
trace + eap radius
auf dem 310 agn ergibt:
[EAP] 2008/07/03 15:41:50,440
EAP: Create station 00:13:ce:c2:b1:86
[EAP] 2008/07/03 15:41:50,440
EAP: TX -> 00:13:ce:c2:b1:86 - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 1
EAP: Length = 5
EAP: Type = 1 (Identity)
[EAP] 2008/07/03 15:41:50,540
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Packet
Packet Length : 16
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 1
EAP Packet Len : 16
EAP Packet Type : Identity
Identity String : @restena.lu
-->forwarding non-key packet to 802.1x
[EAP] 2008/07/03 15:41:50,540
EAP: RX <- 00:13:ce:c2:b1:86 - received EAPOL frame from supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 16
EAP: Code = 2 (Response)
EAP: Ident = 1
EAP: Length = 16
EAP: Type = 1 (Identity)
[RADIUS] 2008/07/03 15:42:07,430
Checking for dead accounting sessions:
[EAP] 2008/07/03 15:42:20,420
EAP: TX -> 00:13:ce:c2:b1:86 - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 4
EAP: Code = 4 (Failure)
EAP: Ident = 1
EAP: Length = 4
[EAP] 2008/07/03 15:42:20,420
EAP: TX -> 00:13:ce:c2:b1:86 - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 2
EAP: Length = 5
EAP: Type = 1 (Identity)
[EAP] 2008/07/03 15:42:20,500
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Logoff
Packet Length : 0
Body : 00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 00 00 ........
00 00 ..
-->forwarding non-key packet to 802.1x
[EAP] 2008/07/03 15:42:20,500
EAP: RX <- 00:13:ce:c2:b1:86 - received EAPOL frame from supplicant
EAP: Packet Type = 2 (EAPOL-Logoff)
EAP: Packet Length = 0
Also da wird im AP nie ein RADIUS-Request generiert. Auf dem WLC läuft ebenfalls trace + eap radius, da sieht man aber überhaupt nichts.
Irgendeine Idee?
Grüße,
Stefan Winter |
_________________
Weltweites Roaming für Forschung und Bildung
www.eduroam.org |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
stefan.winter
Anmeldungsdatum: 21.03.2006
Beiträge: 53
|
| Verfasst am:
Do 03 Jul, 2008 15:56 |
|
|
Oh, vergessen: beide laufen mit 7.54 |
_________________
Weltweites Roaming für Forschung und Bildung
www.eduroam.org |
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Mi 16 Jul, 2008 10:35 |
|
|
Moin,
scusi, daß es so lange gedauert hat...
Ich habe hier gerade mal ein Szenario mit Controller und
802.1x aufgebaut und kann Dein Problem leider nicht
nachvollziehen - die RADIUS-Anfragen werden vom AP
an den WLC geschickt, ohne daß man das explizit dafür
konfigurieren müßte - so wie es sein soll...
Das einzige, was ich Dir anbeiten kann, ist daß man
mit ein paar zusätzlichen Trace-Ausgaben überhaupt
erstmal nachvollzieht, ob der WLC als RADIUS-Server
korrekt beim 1x ankommt...
Gruß Alfred |
|
|
 |
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Mi 16 Jul, 2008 11:05 |
|
|
Moin,
mal ganz dumm am Rande gefragt: der RADIUS-Server
auf dem WLC ist auch aktiviert, d.h. der Authentification-
Port auf einen Wert ungleich Null (üblicherweise 1812)
gesetzt?
Gruß Alfred |
|
|
|
|
stefan.winter
Anmeldungsdatum: 21.03.2006
Beiträge: 53
|
| Verfasst am:
Di 22 Jul, 2008 13:47 |
|
|
Moien,
| alf29 hat folgendes geschrieben:
|
mal ganz dumm am Rande gefragt: der RADIUS-Server
auf dem WLC ist auch aktiviert, d.h. der Authentification-
Port auf einen Wert ungleich Null (üblicherweise 1812)
gesetzt?
|
Ja, ist an, 1812. Es ist allerdings kein einziger client definiert - da die Kommunikation zwischen AP und WLC "automagisch" läuft, sollte das ja auch nicht nötig sein, oder?
Im Zweifelsfall kann ich gern mal die configs mailen.
Stefan |
_________________
Weltweites Roaming für Forschung und Bildung
www.eduroam.org |
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Di 22 Jul, 2008 14:13 |
|
|
Hi,
dasselbe laeuft bei mir problemlos.
im Prinzip musst du nur den WLC als RADIUS-Client im RADIUS-Server einrichten.
Den RADIUS-Server im WLC aktivieren Port 1812 und einen Default (Standard) sowie Empty-Realm angeben (muss identisch sein). Den dort definierten Realm traegst du auch in der Weiterleitungs-Server Tabelle ein. Dort habe ich die IP-Adresse des RADIUS-Server, den den WLC als RADIUS-Client bekannt ist eingerichtet.
Beim WLC unter WLAN-Controller --> Stationen --> RADIUS-Server
dort muss fuer Konto/Zugang zwingend 0.0.0.0 eingetragen sein Port 0, damit der WLC implizit als RADIUS-Server an den Thin-AP zugewiesen wird.
Das war es auch schon auf der WLC-Seite. Die Thin-APs werden volldynamisch als RADIUS-Clients beim WLC gemanaged.
Du darfst im "Thin-AP" unter 802.1x keine RADUIS-Server (auch keinen Default-Server) angegeben haben. |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a |
|
 |
|
stefan.winter
Anmeldungsdatum: 21.03.2006
Beiträge: 53
|
| Verfasst am:
Di 22 Jul, 2008 14:25 |
|
|
| ittk hat folgendes geschrieben:
|
im Prinzip musst du nur den WLC als RADIUS-Client im RADIUS-Server einrichten.
Den RADIUS-Server im WLC aktivieren Port 1812 und einen Default (Standard) sowie Empty-Realm angeben (muss identisch sein). Den dort definierten Realm traegst du auch in der Weiterleitungs-Server Tabelle ein. Dort habe ich die IP-Adresse des RADIUS-Server, den den WLC als RADIUS-Client bekannt ist eingerichtet.
Beim WLC unter WLAN-Controller --> Stationen --> RADIUS-Server
dort muss fuer Konto/Zugang zwingend 0.0.0.0 eingetragen sein Port 0, damit der WLC implizit als RADIUS-Server an den Thin-AP zugewiesen wird.
Das war es auch schon auf der WLC-Seite. Die Thin-APs werden volldynamisch als RADIUS-Clients beim WLC gemanaged.
Du darfst im "Thin-AP" unter 802.1x keine RADUIS-Server (auch keinen Default-Server) angegeben haben.
|
Negativ. WLC RADIUS auf 1812, DEFAULT und EMPTY realm sind "EDUROAM". EDUROAM ist als realm definiert mit Weiterleitungsziel unser externer RADIUS-Server. Unter Stationen -> RADIUS sind 0.0.0.0 Port 0 sowohl für Auth als auch Acct angegeben. Auf dem AP ist kein RADIUS server definiert. |
_________________
Weltweites Roaming für Forschung und Bildung
www.eduroam.org |
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Di 22 Jul, 2008 14:28 |
|
|
Hi,
komisch. Aber du sieht noch im WLC RADIUS-Trace, dass der Thin-AP als dynamischer RADIUS-Client im WLC eingetragen wird? |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a |
|
|
|
stefan.winter
Anmeldungsdatum: 21.03.2006
Beiträge: 53
|
| Verfasst am:
Di 22 Jul, 2008 14:40 |
|
|
| ittk hat folgendes geschrieben:
|
|
komisch. Aber du sieht noch im WLC RADIUS-Trace, dass der Thin-AP als dynamischer RADIUS-Client im WLC eingetragen wird?
|
Ehm, nein. Der sagt seit Stunden nur "Checking for dead accounting sessions". Auch nachdem eine neue Config hochgeladen wird.:
A new configuration is being uploaded ...
Configuration has been uploaded successfully
[RADIUS] 2008/07/22 14:18:15,110
Checking for dead accounting sessions:
[RADIUS] 2008/07/22 14:18:45,110
Checking for dead accounting sessions:
[RADIUS] 2008/07/22 14:19:15,110
Checking for dead accounting sessions: |
_________________
Weltweites Roaming für Forschung und Bildung
www.eduroam.org |
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Di 22 Jul, 2008 14:42 |
|
|
Hi,
hast du auf den Thin-APs sowie dem WLC dieselbe Firmware Version eingespielt? Ansonsten habe ich auch keine weitere Idee mehr. |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a |
|
|
|
stefan.winter
Anmeldungsdatum: 21.03.2006
Beiträge: 53
|
| Verfasst am:
Di 22 Jul, 2008 14:44 |
|
|
ja, beide 7.54.0030 vom 16.6.2008. |
_________________
Weltweites Roaming für Forschung und Bildung
www.eduroam.org |
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Di 22 Jul, 2008 17:31 |
|
|
Moin,
| Zitat:
|
Ehm, nein. Der sagt seit Stunden nur "Checking for dead accounting sessions". Auch nachdem eine neue Config hochgeladen wird.:
|
Habe gerade mal nachgeschaut...Du hast nicht
zufällig auf dem WLC etwas ungleich Null unter
Setup->WLAN-Management->RADIUS-Server
eingetragen? Wenn in einer der beiden Zeilen
eine Adresse ungleich 0.0.0.0 auftaucht, dann
übermittelt der WLC den WTPs eben diese
Parameter als RADIUS-Server und nicht sich
selbst.
Gruß Alfred |
|
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Di 22 Jul, 2008 17:58 |
|
|
Hi Alfred,
das hatte ich stefan.winter auch schon in meinem ersten Posting gesagt, dass er darauf achten soll unter Konto/Zugang 0.0.0.0 einzutragen, um die implizite Zuweisung des WLC's als RADIUS-Server beizubehalten.
Ich kann es auch nicht nachvollziehen, warum es bei ihm nicht funktioniert.
Ich habe gerade mit aktuellster Firmware und diversen L-305agn's sowie einem WLC-4025 ausprobiert. Die Firmware fuer die L-305agn und L-310agn ist ja absolut identisch. Es funktioniert in dieser Konstellation definitiv einwandfrei. |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a |
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Di 22 Jul, 2008 18:10 |
|
|
Moin,
wenn schon keine dynamische Zuweisung auf dem WLC
erfolgt, dann weiß ich's im Moment ehrlich gesagt auch
nicht. Irgendwelches Tracen auf den APs hat dann natürlich
keinen Sinn, sie haben keinen RADIUS-Server und wissen
nicht wohin mit den EAP-Paketen. Da muß ich dann
morgen jemand anders ausquetschen...
Gruß Alfred |
|
|
|
|
stefan.winter
Anmeldungsdatum: 21.03.2006
Beiträge: 53
|
| Verfasst am:
Mi 23 Jul, 2008 07:41 |
|
|
Hallo,
also es scheint so als ob auch andere Stücke der Config nicht übertragen werden. Im WLC hab ich zum Beispiel unter WLAN-Controller -> Physical -> Country "Luxemburg" ausgewählt. Im AP erscheint aber Country: unknkown.
Vielleicht handelt es sich wirklich um ein Sync-Problem. Gibts dafür nen speziellen trace? Oder kann man mal ne neue Config-Sync von Hand triggern um zu gucken was passiert?
Stefan |
_________________
Weltweites Roaming für Forschung und Bildung
www.eduroam.org |
|
|
|
|
|
|
|
| |
|
|
