RADIUS Forwarding mit 802.1X

[stefan.winter]

Hab an meinen WLC4006 einen 310agn gehängt und versuche nun 802.11i/802.1X drüber zu fahren.

Auf dem WLC ist der interne RADIUS-Server aktiv, soll aber nur forwarden. Also hab ich beim Forwarding für den DEFAULT und NULL realm einen Forwarding-Realm "EDUROAM" eingetragen und für diesen EDUROAM realm einen Weiterleitungs-Server definiert.

Dann habe ich versucht, mich mit nem Benutzernamen @restena.lu einzuloggen - der sollte ja dann als DEFAULT realm behandelt werden und an den Weiterleitungsserver für EDUROAM weitergeschickt werden. Ich sehe aber überhaupt keinen RADIUS Traffic wenn ich mich auf dem 310agn einloggen will.

Ein
trace + eap radius
auf dem 310 agn ergibt:

[EAP] 2008/07/03 15:41:50,440
EAP: Create station 00:13:ce:c2:b1:86


[EAP] 2008/07/03 15:41:50,440
EAP: TX -> 00:13:ce:c2:b1:86 - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 1
EAP: Length = 5
EAP: Type = 1 (Identity)


[EAP] 2008/07/03 15:41:50,540
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Packet
Packet Length : 16
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 1
EAP Packet Len : 16
EAP Packet Type : Identity
Identity String : @restena.lu
-->forwarding non-key packet to 802.1x


[EAP] 2008/07/03 15:41:50,540
EAP: RX <- 00:13:ce:c2:b1:86 - received EAPOL frame from supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 16
EAP: Code = 2 (Response)
EAP: Ident = 1
EAP: Length = 16
EAP: Type = 1 (Identity)


[RADIUS] 2008/07/03 15:42:07,430
Checking for dead accounting sessions:


[EAP] 2008/07/03 15:42:20,420
EAP: TX -> 00:13:ce:c2:b1:86 - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 4
EAP: Code = 4 (Failure)
EAP: Ident = 1
EAP: Length = 4


[EAP] 2008/07/03 15:42:20,420
EAP: TX -> 00:13:ce:c2:b1:86 - sending EAPOL frame to supplicant
EAP: Packet Type = 0 (EAP-Packet)
EAP: Packet Length = 5
EAP: Code = 1 (Request)
EAP: Ident = 2
EAP: Length = 5
EAP: Type = 1 (Identity)


[EAP] 2008/07/03 15:42:20,500
***Received EAP packet on WLAN-1:
-->EAPOL Header
Protocol Version : 1
Packet Type : Logoff
Packet Length : 0
Body : 00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 00 00 ........
00 00 00 00 00 00 00 00 ........
00 00 ..
-->forwarding non-key packet to 802.1x


[EAP] 2008/07/03 15:42:20,500
EAP: RX <- 00:13:ce:c2:b1:86 - received EAPOL frame from supplicant
EAP: Packet Type = 2 (EAPOL-Logoff)
EAP: Packet Length = 0

Also da wird im AP nie ein RADIUS-Request generiert. Auf dem WLC läuft ebenfalls trace + eap radius, da sieht man aber überhaupt nichts.

Irgendeine Idee?

Grüße,

Stefan Winter

[stefan.winter]

Oh, vergessen: beide laufen mit 7.54

[alf29]

Moin,

scusi, daß es so lange gedauert hat...

Ich habe hier gerade mal ein Szenario mit Controller und
802.1x aufgebaut und kann Dein Problem leider nicht
nachvollziehen - die RADIUS-Anfragen werden vom AP
an den WLC geschickt, ohne daß man das explizit dafür
konfigurieren müßte - so wie es sein soll...

Das einzige, was ich Dir anbeiten kann, ist daß man
mit ein paar zusätzlichen Trace-Ausgaben überhaupt
erstmal nachvollzieht, ob der WLC als RADIUS-Server
korrekt beim 1x ankommt...

Gruß Alfred

[alf29]

Moin,

mal ganz dumm am Rande gefragt: der RADIUS-Server
auf dem WLC ist auch aktiviert, d.h. der Authentification-
Port auf einen Wert ungleich Null (üblicherweise 1812)
gesetzt?

Gruß Alfred

[stefan.winter]

Moien,

mal ganz dumm am Rande gefragt: der RADIUS-Server
auf dem WLC ist auch aktiviert, d.h. der Authentification-
Port auf einen Wert ungleich Null (üblicherweise 1812)
gesetzt?

Ja, ist an, 1812. Es ist allerdings kein einziger client definiert - da die Kommunikation zwischen AP und WLC "automagisch" läuft, sollte das ja auch nicht nötig sein, oder?

Im Zweifelsfall kann ich gern mal die configs mailen.

Stefan

[ittk]

Hi,

dasselbe laeuft bei mir problemlos.

im Prinzip musst du nur den WLC als RADIUS-Client im RADIUS-Server einrichten.

Den RADIUS-Server im WLC aktivieren Port 1812 und einen Default (Standard) sowie Empty-Realm angeben (muss identisch sein). Den dort definierten Realm traegst du auch in der Weiterleitungs-Server Tabelle ein. Dort habe ich die IP-Adresse des RADIUS-Server, den den WLC als RADIUS-Client bekannt ist eingerichtet.

Beim WLC unter WLAN-Controller --> Stationen --> RADIUS-Server
dort muss fuer Konto/Zugang zwingend 0.0.0.0 eingetragen sein Port 0, damit der WLC implizit als RADIUS-Server an den Thin-AP zugewiesen wird.

Das war es auch schon auf der WLC-Seite. Die Thin-APs werden volldynamisch als RADIUS-Clients beim WLC gemanaged.

Du darfst im "Thin-AP" unter 802.1x keine RADUIS-Server (auch keinen Default-Server) angegeben haben.

[stefan.winter]

im Prinzip musst du nur den WLC als RADIUS-Client im RADIUS-Server einrichten.

Den RADIUS-Server im WLC aktivieren Port 1812 und einen Default (Standard) sowie Empty-Realm angeben (muss identisch sein). Den dort definierten Realm traegst du auch in der Weiterleitungs-Server Tabelle ein. Dort habe ich die IP-Adresse des RADIUS-Server, den den WLC als RADIUS-Client bekannt ist eingerichtet.

Beim WLC unter WLAN-Controller --> Stationen --> RADIUS-Server
dort muss fuer Konto/Zugang zwingend 0.0.0.0 eingetragen sein Port 0, damit der WLC implizit als RADIUS-Server an den Thin-AP zugewiesen wird.

Das war es auch schon auf der WLC-Seite. Die Thin-APs werden volldynamisch als RADIUS-Clients beim WLC gemanaged.

Du darfst im "Thin-AP" unter 802.1x keine RADUIS-Server (auch keinen Default-Server) angegeben haben.

Negativ. WLC RADIUS auf 1812, DEFAULT und EMPTY realm sind "EDUROAM". EDUROAM ist als realm definiert mit Weiterleitungsziel unser externer RADIUS-Server. Unter Stationen -> RADIUS sind 0.0.0.0 Port 0 sowohl für Auth als auch Acct angegeben. Auf dem AP ist kein RADIUS server definiert.

[ittk]

Hi,

komisch. Aber du sieht noch im WLC RADIUS-Trace, dass der Thin-AP als dynamischer RADIUS-Client im WLC eingetragen wird?

[stefan.winter]

komisch. Aber du sieht noch im WLC RADIUS-Trace, dass der Thin-AP als dynamischer RADIUS-Client im WLC eingetragen wird?

Ehm, nein. Der sagt seit Stunden nur "Checking for dead accounting sessions". Auch nachdem eine neue Config hochgeladen wird.:

A new configuration is being uploaded ...

Configuration has been uploaded successfully
[RADIUS] 2008/07/22 14:18:15,110
Checking for dead accounting sessions:


[RADIUS] 2008/07/22 14:18:45,110
Checking for dead accounting sessions:


[RADIUS] 2008/07/22 14:19:15,110
Checking for dead accounting sessions:

[ittk]

Hi,

hast du auf den Thin-APs sowie dem WLC dieselbe Firmware Version eingespielt? Ansonsten habe ich auch keine weitere Idee mehr.

[stefan.winter]

ja, beide 7.54.0030 vom 16.6.2008.

[alf29]

Moin,

Ehm, nein. Der sagt seit Stunden nur "Checking for dead accounting sessions". Auch nachdem eine neue Config hochgeladen wird.:

Habe gerade mal nachgeschaut...Du hast nicht
zufällig auf dem WLC etwas ungleich Null unter
Setup->WLAN-Management->RADIUS-Server
eingetragen? Wenn in einer der beiden Zeilen
eine Adresse ungleich 0.0.0.0 auftaucht, dann
übermittelt der WLC den WTPs eben diese
Parameter als RADIUS-Server und nicht sich
selbst.

Gruß Alfred

[ittk]

Hi Alfred,

das hatte ich stefan.winter auch schon in meinem ersten Posting gesagt, dass er darauf achten soll unter Konto/Zugang 0.0.0.0 einzutragen, um die implizite Zuweisung des WLC's als RADIUS-Server beizubehalten.

Ich kann es auch nicht nachvollziehen, warum es bei ihm nicht funktioniert.

Ich habe gerade mit aktuellster Firmware und diversen L-305agn's sowie einem WLC-4025 ausprobiert. Die Firmware fuer die L-305agn und L-310agn ist ja absolut identisch. Es funktioniert in dieser Konstellation definitiv einwandfrei.

[alf29]

Moin,

wenn schon keine dynamische Zuweisung auf dem WLC
erfolgt, dann weiß ich's im Moment ehrlich gesagt auch
nicht. Irgendwelches Tracen auf den APs hat dann natürlich
keinen Sinn, sie haben keinen RADIUS-Server und wissen
nicht wohin mit den EAP-Paketen. Da muß ich dann
morgen jemand anders ausquetschen...

Gruß Alfred

[stefan.winter]

Hallo,

also es scheint so als ob auch andere Stücke der Config nicht übertragen werden. Im WLC hab ich zum Beispiel unter WLAN-Controller -> Physical -> Country "Luxemburg" ausgewählt. Im AP erscheint aber Country: unknkown.
Vielleicht handelt es sich wirklich um ein Sync-Problem. Gibts dafür nen speziellen trace? Oder kann man mal ne neue Config-Sync von Hand triggern um zu gucken was passiert?

Stefan