Radius über zweiten Lancom geht nicht

[fred7]

Hallo,

ich versuche gerade eine Radius-Authentifizierung für die WLAN-Clients in meinem Netzwerk einzurichten. Ich habe einen Lancom 1821 mit LCOS 7.58.1045 und einen Lancom L-54ag mit LCOS 8.62.0103RU7. Radius-Server soll der L-54ag sein. Es nur die MAC-Adressen-Filterung über den Radius-Server laufen. Das funktioniert mit dem L-54ag auch ohne Probleme, d.h. die Clients werden über den Radius problemlos authentifiziert.

Über den 1821 geht das leider nicht, die Anfragen werden lt. Trace zwar an den L-54ag gesendet, aber dort immer abgewiesen. Ursache unklar. Im Trace auf dem L-54ag erscheint folgendes:

Code: Alles auswählen

[RADIUS-Server] 2015/01/05 16:09:40,438  Devicetime: 2015/01/05 16:09:39,812
Received RADIUS authentication request 69 from client 192.168.1.1:3072[INTRANET]:
-->known attributes of request:
   User-Name           : d40308-a60010
   NAS-Identifier      : GX1821
   NAS-IP-Address      : 192.168.1.1
   NAS-Port            : 2
   NAS-Port-Type       : Wireless - IEEE 802.11
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->found user 'd40308-a60010' in database(s)
-->response type is Reject, response attributes:
-->sending response

Einzige Einstellung auf dem 1821 ist die im Screenshot hinterlegte. Kann mir jemand einen Tipp geben, was da falsch läuft?

Danke und Gruß, Fred

[alf29]

Moin,

da scheint mir das Shared Secret zu fehlen. Muß auf dem L-54 im RADIUS-Server und auf dem 1821 identisch sein, und da Du vermutlich das Secret auch als Quelle fürs Paßwort-Attribut benutzt, das gleiche wie im WLAN des L-54.

Gruß Alfred

[fred7]

Hallo Alfred,

ändert sich in so weit, dass jetzt zwar ein Kennwort übertragen wird, aber das dieses nicht dem Kennwort aus der Benutzertabelle im L-54ag entspricht. Dort ist die MAC-Adresse hinterlegt. Übertragen wird das Shared Secret das ich am 1821 eingestellt habe:

Code: Alles auswählen

[RADIUS-Server] 2015/01/05 20:14:21,714  Devicetime: 2015/01/05 20:14:22,169
Received RADIUS authentication request 162 from client 192.168.1.1:3072[INTRANET]:
-->known attributes of request:
   User-Name           : d09090-a00000
   User-Password       : nvqF0Q!r
   NAS-Identifier      : GX1821
   NAS-IP-Address      : 192.168.1.1
   NAS-Port            : 4 
   NAS-Port-Type       : Wireless - IEEE 802.11
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->found user 'd09090-a00000' in database(s)
-->authenticating via PAP
-->response type is Reject, response attributes:
-->sending response

Wie kann ich den 1821 dazu bewegen die MAC-Adresse zu übergeben?

Gruß, Fred

[alf29]

Moin,

defaultmäßig wird im Paßwort-Attribut das Shared Secret und nicht die MAC-Adresse übertragen. Wennn Du die MAC-Adresse im Paßwort-Attribut haben willst (also effektiv in den Attributen User-Name und User-Password das gleiche stehen soll), mußt Du unter Setup/WLAN/RADIUS-Access-Check den Schalter 'Password-Source' auf 'MAC-Address' umlegen. Dies ist die Position des Schalters auf der CLI bzw. WEBconfig LCOS-MEnübaum, ob und wenn ja wo der Schalter im LANconfig ist, weiß ich nicht aus dem Kopf...

Gruß Alfred

[fred7]

Hallo Alfred,

das war die Lösung. Vielen Dank für Deine Hilfe!

Ich hatte den PW-Source zwar auf dem L-54ag auf MAC-Adresse eingestellt, nicht jedoch auf dem 1821. Zugriffspfad im Web-Config ist Expert Configuration --> Setup --> WLAN --> Radius Access-Check (für alle die es noch brauchen).

Danke nochmal.

Gruß, Fred