Hallo zusammen,
wir haben uns einen L321-agn gekauft und möchten, dass WLAN Clients sich über diesen bei unserem FreeRADIUS Server melden, um eine IP-Adresse zu bekommen.
Client
Auf dem FreeRADIUS ist eine Liste hinterlegt, mit der die MAC Adresse der Clients verglichen wird. Ist diese eingetragen, bekommt er die zugewiesene IP-Adresse. Im LAN funktioniert das einwandfrei.
Ist es möglich dieses zu realisieren? Wie gehe ich vor.
Ich fühle mich etwas erschlagen von der Masse an Konfigurationsmöglichkeiten über LanConfig.
Vielen Dank für die Hilfe/Anregungen
L321-agn vs FreeRADIUS
Moderator: Lancom-Systems Moderatoren
Moin,
ein Layer-2-Protokoll und hat nichts mit IP-Adressen (Layer 3)
zu tun. Der WLAN-Stack im LCOS hält zwar die
'gesehene' Adresse nach, aber WLAN hat keinerlei
Mechanismen, um Clients IP-Adressen zuzuweisen.
Das ist Aufgabe eines DHCP-Servers.
DHCP-Server in irgendeiner Weise an den FREERadius
angekoppelt? Dann wird das für DHCP-Requests aus dem
WLAN genauso funktionieren, denn die werden vom
LANCOM transparent ins LAN weitergeleitet.
Gruß Alfred
Was soll das miteinander zu tun haben? WLAN ist erstmalwir haben uns einen L321-agn gekauft und möchten, dass WLAN Clients sich über diesen bei unserem FreeRADIUS Server melden, um eine IP-Adresse zu bekommen.
ein Layer-2-Protokoll und hat nichts mit IP-Adressen (Layer 3)
zu tun. Der WLAN-Stack im LCOS hält zwar die
'gesehene' Adresse nach, aber WLAN hat keinerlei
Mechanismen, um Clients IP-Adressen zuzuweisen.
Das ist Aufgabe eines DHCP-Servers.
Und wie funktioniert das bei Euch im LAN? Ist derIm LAN funktioniert das einwandfrei.
DHCP-Server in irgendeiner Weise an den FREERadius
angekoppelt? Dann wird das für DHCP-Requests aus dem
WLAN genauso funktionieren, denn die werden vom
LANCOM transparent ins LAN weitergeleitet.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Ok, da hab ich wichtige Informationen verschwiegen. Auf dem FreeRADIUSalf29 hat geschrieben: Und wie funktioniert das bei Euch im LAN? Ist der
DHCP-Server in irgendeiner Weise an den FREERadius
angekoppelt? Dann wird das für DHCP-Requests aus dem
WLAN genauso funktionieren, denn die werden vom
LANCOM transparent ins LAN weitergeleitet.
Gruß Alfred
Server läuft auch ein DHCP-Server.
Wir verwenden MAC based Authentication. Die Clients werden vom HP-Switch
mit ihrer Mac Adresse an den FreeRADIUS-Server weitergeleitet. Eingetragene
Clients kommen ins Interne Netz, alle anderen ins Gastnetz.
Moin,
und ich glaube eher nicht, daß das, was das LANCOM
mit über RADIUS verwalteten MAC-Listen macht, das
gleiche ist, was der HP-Switch macht.
MAcht der Switch diese Geschichte, daß er für jede
MAC-Adresse eine 'Pseudo-802.1x-Verhandlung' gegen
den FreeRadius führt und als deren Ergebnis u.a. eine
VLAN-Id erhält, in die die jeweilige MAC-Adresse gesteckt
wird?
Gruß Alfred
Das ist ein weites Feld, was man darunter verstehen kann,Wir verwenden MAC based Authentication. Die Clients werden vom HP-Switch
mit ihrer Mac Adresse an den FreeRADIUS-Server weitergeleitet.
und ich glaube eher nicht, daß das, was das LANCOM
mit über RADIUS verwalteten MAC-Listen macht, das
gleiche ist, was der HP-Switch macht.
Wie trennt Ihr denn diese beiden Netze? Über VLAN?Eingetragene
Clients kommen ins Interne Netz, alle anderen ins Gastnetz.
MAcht der Switch diese Geschichte, daß er für jede
MAC-Adresse eine 'Pseudo-802.1x-Verhandlung' gegen
den FreeRadius führt und als deren Ergebnis u.a. eine
VLAN-Id erhält, in die die jeweilige MAC-Adresse gesteckt
wird?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Richtig, die Netze sind durch VLANs getrennt.alf29 hat geschrieben: Wie trennt Ihr denn diese beiden Netze? Über VLAN?
MAcht der Switch diese Geschichte, daß er für jede
MAC-Adresse eine 'Pseudo-802.1x-Verhandlung' gegen
den FreeRadius führt und als deren Ergebnis u.a. eine
VLAN-Id erhält, in die die jeweilige MAC-Adresse gesteckt
wird?
Es gibt mehrere, aber in diesem Fall sind nur 2 relevant.
Der Switch hat die IP und den Schlüssel des FreeRADIUS hinterlegt.
Auch richtig, der DHCP/FreeRADIUS sendet mit der IP die VLAN-ID.
Moin,
Eigenschaft, die IP-Adresse eine Layer3-Eigenschaft.
Zusammen bzw. gleichzeitig können die nicht kommen, das
ist mir nicht plausibel.
Was ich verstehen würde: Der RADIUS-Server liefert an den
Switch im RADIUS-Accept eine VLAN-ID, in dieses VLAN
steckt der Switch dann Pakete, die von diesem Client
kommen und der DHCP-Server hat mehrere Instanzen, die
in verschiedenen VLANs laufen und Adressen aus unter-
schiedlichen Pools verteilen, oder er verwaltet eine Liste
von MAC-Adressen mit zugeordneten IP-Adressen. Aber
daß IP-Adressen in der *RADIUS-Benutzerdatenbank*
des FREEradius stehen sollen, ist mir nicht plausibel.
Gruß Alfred
Das verstehe ich so nicht. Die VLAN-Id ist eine Layer2-Auch richtig, der DHCP/FreeRADIUS sendet mit der IP die VLAN-ID.
Eigenschaft, die IP-Adresse eine Layer3-Eigenschaft.
Zusammen bzw. gleichzeitig können die nicht kommen, das
ist mir nicht plausibel.
Was ich verstehen würde: Der RADIUS-Server liefert an den
Switch im RADIUS-Accept eine VLAN-ID, in dieses VLAN
steckt der Switch dann Pakete, die von diesem Client
kommen und der DHCP-Server hat mehrere Instanzen, die
in verschiedenen VLANs laufen und Adressen aus unter-
schiedlichen Pools verteilen, oder er verwaltet eine Liste
von MAC-Adressen mit zugeordneten IP-Adressen. Aber
daß IP-Adressen in der *RADIUS-Benutzerdatenbank*
des FREEradius stehen sollen, ist mir nicht plausibel.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
Aggrodisiakum
- Beiträge: 2
- Registriert: 15 Jun 2012, 19:47
Tut uns Leid wir waren heute wohl nicht ganz auf der Höhe beim verfassen der
ersten Beiträge.
Natürlich ist es so, dass der DHCP-Server eine Liste mit Zuordnungen von MAC-
Adressen zu IP-Adressen beinhaltet. Dein Annahme ist also absolut richtig.
Wir haben uns heute mal die Access-Logs des Radius-Servers genauer
angeschaut.
Hier kommen teilweise Anfragen an. Der Client meldet sich mit dem richtigen
User (=Macadresse) und dem falschen Passwort (=> Dieses sollte auch der
Macadresse entsprechen, tut es aber nicht. Leider liegen die Passwörter im
Access-Log nicht im Klartext vor).
ersten Beiträge.
Natürlich ist es so, dass der DHCP-Server eine Liste mit Zuordnungen von MAC-
Adressen zu IP-Adressen beinhaltet. Dein Annahme ist also absolut richtig.
Wir haben uns heute mal die Access-Logs des Radius-Servers genauer
angeschaut.
Hier kommen teilweise Anfragen an. Der Client meldet sich mit dem richtigen
User (=Macadresse) und dem falschen Passwort (=> Dieses sollte auch der
Macadresse entsprechen, tut es aber nicht. Leider liegen die Passwörter im
Access-Log nicht im Klartext vor).
Moin,
Beim LCOS kann man einstellen, ob als 'Benutzerpaßwort' das RADIUS shared secret
oder auch die MAC-Adresse kommen soll. Auf der CLI bzw. dem WEBConfig-LCOS-Menübaum
ist das der Punkt 'Setup/WLAN/RADIUS-Access-Check/Password-Source.
Gruß Alfred
dann habt Ihr ja mit den RADIUS-basierten MAC-Listen im LANCOM schon gespieltHier kommen teilweise Anfragen an. Der Client meldet sich mit dem richtigen
User (=Macadresse) und dem falschen Passwort (=> Dieses sollte auch der
Macadresse entsprechen, tut es aber nicht. Leider liegen die Passwörter im
Access-Log nicht im Klartext vor).
Beim LCOS kann man einstellen, ob als 'Benutzerpaßwort' das RADIUS shared secret
oder auch die MAC-Adresse kommen soll. Auf der CLI bzw. dem WEBConfig-LCOS-Menübaum
ist das der Punkt 'Setup/WLAN/RADIUS-Access-Check/Password-Source.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
Aggrodisiakum
- Beiträge: 2
- Registriert: 15 Jun 2012, 19:47
Also es funktioniert noch immer nicht.
Wir haben uns die RADIUS-Logs nochmal genau angeschaut und gesehen,
dass sich nur der Access-Point eine IP Am Radius holt.
Mit den Clients funktioniert es weiterhin nicht.
Ich habe die Anmeldung jetzt mal mit einem Archlinux-Notebook gestestet und
hier über die Authentifizierungsmethode LEAP eine Verbindung bekommen, die
einwandfrei funktioniert hat. Allerdings musste ich hierbei händisch die MAC-
dresse als Username und Passwort eintragen.
Hier noch ein Auszug aus dem Radius-log:
Error: rlm_eap: UserIdentity Unknown
Error: rlm_eap: Identity Unknown, authentication failed
Auth: Login incorrect: [<no User-Name attribute>/<no User-Password attribute>] (from client accesspoint2 port 1 cli 00-19-D2-76-70-9E)
Die MAC-Adresse am Ende ist die des Access-Points.
Wir haben uns die RADIUS-Logs nochmal genau angeschaut und gesehen,
dass sich nur der Access-Point eine IP Am Radius holt.
Mit den Clients funktioniert es weiterhin nicht.
Ich habe die Anmeldung jetzt mal mit einem Archlinux-Notebook gestestet und
hier über die Authentifizierungsmethode LEAP eine Verbindung bekommen, die
einwandfrei funktioniert hat. Allerdings musste ich hierbei händisch die MAC-
dresse als Username und Passwort eintragen.
Hier noch ein Auszug aus dem Radius-log:
Error: rlm_eap: UserIdentity Unknown
Error: rlm_eap: Identity Unknown, authentication failed
Auth: Login incorrect: [<no User-Name attribute>/<no User-Password attribute>] (from client accesspoint2 port 1 cli 00-19-D2-76-70-9E)
Die MAC-Adresse am Ende ist die des Access-Points.