1906VA Radius Authentifizierung WLAn und LAN

[Dani99]

Hallo Leute,

nachdem Wlan-Clients über Radius-Authentifizierung über MAC-Adresse bei uns nun wunderbar läuft, wollte nun auch alle LAN-Ports per Radius einschränken. Ich habe hier mehrere GS-2326 am Laufen und da den 1906VA als Radiusserver eingetragen und die einzelnen Ports konfiguriert. Wenn man mal durch die verschiedenen Eintragungsvarianten der Mac-Adresse im Radiusserver durchgestiegen ist, die LAN-Clients werden ja nach folgender Syntax:

aa-bb-cc-dd-ee-ff

eingetragen, die Wlan-Clients nach

aabbcc-ddeeff

(warum ist das eigentlich so), wurden alle LAN-Clients korrekt authentifiziert und bekamen über den DHCP des 1906VA per BootP ihre IP. Leider funktioniert nun das ganze WLAn-Netzwerk nicht mehr. Die WLAn-Clients bekommen keine IP mehr zugewiesen, werden aber authentifiziert.

Also schalte ich die Radiusüberwachung für den Port, andem ein AP (L-322agn) hängt an, wird dieser korrekt eingebunden, alle WLAN-Clients, welche sich über diesen im Netzwerk anmelden und auch über Radius authentifiziert werden erhalten keine IP mehr, schalte ich die Radiusüberwachung ab, funktionieren alle WLAN-Clients korrekt.

Was habe ich übersehen?
Vielen Dank und LG
Dani

[Henri]

Hi,

Die WLAN-Clients kommen am Switch auch mit dieser MAC Adressnotation an, also beides im Radius Server eintragen.

Mit vielen Grüßen
Henri


Sent from my iPhone using Tapatalk

[Dani99]

Hi,

wenn ich die Wlan-Clients eben mit dieser Syntax aa-bb-cc-dd-ee-ff eintrage, bekommen Sie leider auch keine IP über BootP bei aktiviertem Radius am Switch.
Auch die andere Syntax aabbcc-ddeeff wird akzeptiert, der Radiusserver erkennt den Client und lässt ihn zu, leider wird keine IP vergeben.

LG
Dani

[Henri]

Aabbcc-ddeeff Passwort gleich fûr den Switch
Aa-bb-cc-es-es-er mit Passwort RadiusPw für das WLAN

Mit vielen Grüßen
Henri


Sent from my iPhone using Tapatalk

[Dani99]

Hallo Henry,

sorry, das hab ich jetzt nicht verstanden. Ich haben beim Passwort im Radius, da die Authentifizierung über MAC läuft immer die Mac Adresse des Clients in genau der Syntax wie im Namen eingetragen.

LG
Dani

[alf29]

Moin,

die Wlan-Clients nach

aabbcc-ddeeff

(warum ist das eigentlich so),

Das ist deswegen so, weil ich diese Schreibweise seinerzeit (etwa um 2001...) so von den Lucent/Agere-APs übernommen habe, die die MAC-Adresse so auf das User-Name-Attribut abgebildet haben. Und ändern kann ich's auch nicht so einfach, weil das alle bestehenden Installationen bei anderen Kunden kaputt machen würde. Ich könnte höchstens auf dem AP einen weiteren Schalter einbauen...

sorry, das hab ich jetzt nicht verstanden. Ich haben beim Passwort im Radius, da die Authentifizierung über MAC läuft immer die Mac Adresse des Clients in genau der Syntax wie im Namen eingetragen.

Im Default sendet ein LANCOM-AP bei der Prüfung von MAC-Adressen per RADIUS als Passwort-Attribut das Shared Secret, das ihm zur Kommunikation mit dem RADIUS-Server gegeben wurde - und ja, das ist auch so, weil's die Lucent-APs damals so gemacht haben. Du kannst unter Setup/WLAN/RADIUS-Access-Check die "Password-Source" von "Secret" auf "MAC-Address" umstellen, dann wird als Passwort-Attribut auch die MAC-Adresse übergeben, also "Username=aabbcc-ddeeff, User-Password=aabbcc-ddeeff". Wenn ein AP WLC-gemanagt wird, wird dieser Schalter übrigens implizit auf "MAC-Address" gestellt, weil alle gemanagten APs, die RADIUS über den Controller machen, ein beim Start zufällig gewürfeltes RADIUS-Secret bekommen.

Mir ist noch nicht ganz klar, wie Du Dir die Authentisierung "hinter dem AP" an dem Switch vorstellst. Ich kann mir nicht vorstellen, daß Du da eine doppelte Authentisierung haben willst, in dem Sinne daß einmal der AP am WLAN prüft und der Switch "dahinter" noch einmal an dem Port, an dem der AP hängt. Das wäre ja doppelt gemoppelt? Wenn man überhaupt so eine Authentisierung im LAN haben will, dann öffnet der AP einmal am Switch "seinen" Port per 802.1X und danach ist der Port für alle MAC-Adressen offen - was dort übers WLAN hereindarf, dafür ist der AP ja der "Türsteher"...

Viele Grüße

Alfred

[Dani99]

Hallo und vielen Dank für deine Hilfe.

Du meinst also, ich solle diejenigen LAN-Ports normal öffnen, andem je ein AP dranhängt. Leider haben ich aufgrund baulicher Gegebenheiten aktuell noch für ca. 1a einen dummen Netgearswitch vor einem AP im System, welcher dann erst an einem 2326 hängt. An diesem Netgear hängen leider zwei benutze Netzwerkdosen in einer Gästewohnung, welche ich ebenfalls an den Radiusserver anbinden muss.

Was mich wundert, die LAN-Clients wie auch die WLAN-Clients werden mittels Radius korrekt authentifiziert, die LAN-Clients erhalten eine feste IP über BootP des DHCP, die WLAN-Clients leider nicht. Ihnen wird, laut Status der APs eine IP6-Adresse vergeben, obwohl im ganzen System IP6 nich angeschalten ist. Daran ändert sich auch nichts, wenn ich den 2326 als Radiusclient aktiviere.

Danke und LD
Dani

[alf29]

Moin,

Du meinst also, ich solle diejenigen LAN-Ports normal öffnen, andem je ein AP dranhängt.

Das ist zumindest das Vorgehen, was ich von anderen Aufbauten kenne, wo irgendeine Authentisierung im LAN gemacht wird (sei's mit oder ohne 802.1X). Besonders viele Fälle waren es bisher nicht. Ohne Verschlüsselung der Frames und Integritätsprüfung kann man MAC-Adressen faken und eine darauf basierende Authentisierung recht trivial umgehen. MACsec ist aber noch seltener...

Was mich wundert, die LAN-Clients wie auch die WLAN-Clients werden mittels Radius korrekt authentifiziert, die LAN-Clients erhalten eine feste IP über BootP des DHCP, die WLAN-Clients leider nicht.

Da wirst Du Dich wohl mittels Wireshark oder Tracing durchwühlen müssen, wo die DHCP-Pakete hängen bleiben: kommen sie am WLAN an, gehen sie auf's Ethernet raus, kommen sie auf dem anderen Port des Switches wieder heraus usw. ...

Ihnen wird, laut Status der APs eine IP6-Adresse vergeben, obwohl im ganzen System IP6 nich angeschalten ist.

Wenn die IPv6-Adresse mit fe80:... anfängt: das ist eine Link-lokale Adresse, die geben die Clients sich selber, dafür bedarf es keines irgendwie gearteten Servers.

Viele Grüße

Alfred

[Dani99]

Vielen Dank! Kurz noch die IP6 Adresse geben sich die APs selber oder intern im AP jedem Wlan-Client?

[alf29]

Nein, die link-lokalen IPv6-Adressen geben die Clients sich selber. So wie bei IPv4 die APIPA-Adressen (169.254...)