GS-2124 - 802.1x - 1823 Radius Server
habe Probleme mit der 802.1X Authentifizierung mit einem 1823 Radius Server.
Sieht eigentlich ganz gut aus, funktioniert aber nicht.
Ein 1751 ist am Port 23 angeschlossen, 802.1x für den Port habe ich mit "auto/auto", "clientless/auto" etc. probiert, es funktioniert aber nur mit "Disable", dann ist das Teil pingbar.
Received RADIUS authentication request 14 from client 172..x.x.x:1038[INTRANET]:
-->known attributes of request:
User-Name : 00a057.......
User-Password : 00a057.......
Service-Type : Framed
NAS-IP-Address : 172.x.x.x
NAS-Port : 23
NAS-Port-Type : Ethernet
Called-Station-Id : 00-A0-57-..-..-..
Calling-Station-Id : 00-A0-57-..-..-..
Message-Authenticator:
0000: 9a 04 .....
Framed-MTU : 1400
EAP-Message:
-->EAP Header
EAP Packet Code : Response
EAP Packet Id : 70
EAP Packet Len : 17
EAP Packet Type : Identity
Identity String : 00a057.......
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->found user in database(s)
-->authenticating via PAP
-->response type is Accept, response attributes:
-->sending response
Danke
Henri
GS-2124
Moderator: Lancom-Systems Moderatoren
Moin,
ich kenne den 2124 nicht so genau (ist ein Zukaufteil...), aber das ist m.E. so keine korrekte
RADIUS-Anfrage vom Switch, um eine EAP/802.1x-Verhandlung anzustoßen. Das Attribut
mit der EAP-Message ist zwar drin, aber zusätzlich ist noch das Attribut 'User-Passwort'
drin, und deshalb läuft der RADIUS-Server im LANCOM in den Fall für einfaches PAP und
nicht für EAP rein - der Switch muß sich schon entscheiden, was er will...
So eine Funktion ist prinzipiell im LCOS enthalten, aber kein offizielles Feature. Wer das
probieren will, muß das 'zu Fuß' unter Setup->LAN->IEEE802.1x->Supplicant-Ifc-Setup
konfigurieren. De Sache mit dem 'clientless-Betrieb', also daß der Switch im Namen des
Clients eine 1x-Verhandlung macht, kenne ich überhaupt nicht.
Gruß Alfred
ich kenne den 2124 nicht so genau (ist ein Zukaufteil...), aber das ist m.E. so keine korrekte
RADIUS-Anfrage vom Switch, um eine EAP/802.1x-Verhandlung anzustoßen. Das Attribut
mit der EAP-Message ist zwar drin, aber zusätzlich ist noch das Attribut 'User-Passwort'
drin, und deshalb läuft der RADIUS-Server im LANCOM in den Fall für einfaches PAP und
nicht für EAP rein - der Switch muß sich schon entscheiden, was er will...
Hast Du denn den 1751 überhaupt so konfiguriert, daß er als 802.1x-Supplicant arbeitet?Ein 1751 ist am Port 23 angeschlossen, 802.1x für den Port habe ich mit "auto/auto", "clientless/auto" etc. probiert, es funktioniert aber nur mit "Disable", dann ist das Teil pingbar.
So eine Funktion ist prinzipiell im LCOS enthalten, aber kein offizielles Feature. Wer das
probieren will, muß das 'zu Fuß' unter Setup->LAN->IEEE802.1x->Supplicant-Ifc-Setup
konfigurieren. De Sache mit dem 'clientless-Betrieb', also daß der Switch im Namen des
Clients eine 1x-Verhandlung macht, kenne ich überhaupt nicht.
Gruß Alfred
Clientless: The clients don't need to install 802.1X client function, that
means the client PC (for example WINDOW XP) does not need to
enable 802.1X client function also can do 802.1X authentication. But
the network maintainer need to configure the Radius server using
each client's MAC address for Radius account ID and password.
Hab mal ein Ticket eingestellt. Ich möchte alle Geräte die hier so herumstehen damit authentifizieren.
Viele Grüße
Henri
means the client PC (for example WINDOW XP) does not need to
enable 802.1X client function also can do 802.1X authentication. But
the network maintainer need to configure the Radius server using
each client's MAC address for Radius account ID and password.
Hab mal ein Ticket eingestellt. Ich möchte alle Geräte die hier so herumstehen damit authentifizieren.
Viele Grüße
Henri
Moin,
Gruß Alfred
Hoffentlich für den Switch und nicht fürs 1823...Hab mal ein Ticket eingestellt. I
Stimmt, das haben nur WLAN-Geräte. Leider Pech gehabt...Im 7.70 RC1 ist unter /setup/lan kein IEEE802.1x zu finden.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015