1906VA Radius Authentifizierung WLAn und LAN

Forum zur aktuellen LANCOM Router Serie: LANCOM 1781A, LANCOM 1781AW, LANCOM 1781EW, LANCOM 1781EF, LANCOM 1631E, LANCOM 831A und VPN Gateways: LC-9100 VPN, LC-7100 VPN, LC-8011 VPN, LC-7111 VPN und LC-7011 VPN

Moderator: Lancom-Systems Moderatoren

Antworten
Dani99
Beiträge: 129
Registriert: 05 Jun 2014, 18:40

1906VA Radius Authentifizierung WLAn und LAN

Beitrag von Dani99 » 04 Dez 2018, 19:53

Hallo Leute,

nachdem Wlan-Clients über Radius-Authentifizierung über MAC-Adresse bei uns nun wunderbar läuft, wollte nun auch alle LAN-Ports per Radius einschränken. Ich habe hier mehrere GS-2326 am Laufen und da den 1906VA als Radiusserver eingetragen und die einzelnen Ports konfiguriert. Wenn man mal durch die verschiedenen Eintragungsvarianten der Mac-Adresse im Radiusserver durchgestiegen ist, die LAN-Clients werden ja nach folgender Syntax:

aa-bb-cc-dd-ee-ff

eingetragen, die Wlan-Clients nach

aabbcc-ddeeff

(warum ist das eigentlich so), wurden alle LAN-Clients korrekt authentifiziert und bekamen über den DHCP des 1906VA per BootP ihre IP. Leider funktioniert nun das ganze WLAn-Netzwerk nicht mehr. Die WLAn-Clients bekommen keine IP mehr zugewiesen, werden aber authentifiziert.

Also schalte ich die Radiusüberwachung für den Port, andem ein AP (L-322agn) hängt an, wird dieser korrekt eingebunden, alle WLAN-Clients, welche sich über diesen im Netzwerk anmelden und auch über Radius authentifiziert werden erhalten keine IP mehr, schalte ich die Radiusüberwachung ab, funktionieren alle WLAN-Clients korrekt.

Was habe ich übersehen?
Vielen Dank und LG
Dani :-)

Henri
Beiträge: 302
Registriert: 23 Jul 2005, 01:42

Re: 1906VA Radius Authentifizierung WLAn und LAN

Beitrag von Henri » 04 Dez 2018, 22:33

Hi,

Die WLAN-Clients kommen am Switch auch mit dieser MAC Adressnotation an, also beides im Radius Server eintragen.

Mit vielen Grüßen
Henri


Sent from my iPhone using Tapatalk

Dani99
Beiträge: 129
Registriert: 05 Jun 2014, 18:40

Re: 1906VA Radius Authentifizierung WLAn und LAN

Beitrag von Dani99 » 04 Dez 2018, 22:39

Hi,

wenn ich die Wlan-Clients eben mit dieser Syntax aa-bb-cc-dd-ee-ff eintrage, bekommen Sie leider auch keine IP über BootP bei aktiviertem Radius am Switch.
Auch die andere Syntax aabbcc-ddeeff wird akzeptiert, der Radiusserver erkennt den Client und lässt ihn zu, leider wird keine IP vergeben.

LG
Dani :-)

Henri
Beiträge: 302
Registriert: 23 Jul 2005, 01:42

Re: 1906VA Radius Authentifizierung WLAn und LAN

Beitrag von Henri » 04 Dez 2018, 22:45

Aabbcc-ddeeff Passwort gleich fûr den Switch
Aa-bb-cc-es-es-er mit Passwort RadiusPw für das WLAN

Mit vielen Grüßen
Henri


Sent from my iPhone using Tapatalk

Dani99
Beiträge: 129
Registriert: 05 Jun 2014, 18:40

Re: 1906VA Radius Authentifizierung WLAn und LAN

Beitrag von Dani99 » 04 Dez 2018, 22:51

Hallo Henry,

sorry, das hab ich jetzt nicht verstanden. Ich haben beim Passwort im Radius, da die Authentifizierung über MAC läuft immer die Mac Adresse des Clients in genau der Syntax wie im Namen eingetragen.

LG
Dani

Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 5899
Registriert: 07 Nov 2004, 20:33
Wohnort: Aachen
Kontaktdaten:

Re: 1906VA Radius Authentifizierung WLAn und LAN

Beitrag von alf29 » 05 Dez 2018, 10:27

Moin,
die Wlan-Clients nach

aabbcc-ddeeff

(warum ist das eigentlich so),
Das ist deswegen so, weil ich diese Schreibweise seinerzeit (etwa um 2001...) so von den Lucent/Agere-APs übernommen habe, die die MAC-Adresse so auf das User-Name-Attribut abgebildet haben. Und ändern kann ich's auch nicht so einfach, weil das alle bestehenden Installationen bei anderen Kunden kaputt machen würde. Ich könnte höchstens auf dem AP einen weiteren Schalter einbauen...
sorry, das hab ich jetzt nicht verstanden. Ich haben beim Passwort im Radius, da die Authentifizierung über MAC läuft immer die Mac Adresse des Clients in genau der Syntax wie im Namen eingetragen.
Im Default sendet ein LANCOM-AP bei der Prüfung von MAC-Adressen per RADIUS als Passwort-Attribut das Shared Secret, das ihm zur Kommunikation mit dem RADIUS-Server gegeben wurde - und ja, das ist auch so, weil's die Lucent-APs damals so gemacht haben. Du kannst unter Setup/WLAN/RADIUS-Access-Check die "Password-Source" von "Secret" auf "MAC-Address" umstellen, dann wird als Passwort-Attribut auch die MAC-Adresse übergeben, also "Username=aabbcc-ddeeff, User-Password=aabbcc-ddeeff". Wenn ein AP WLC-gemanagt wird, wird dieser Schalter übrigens implizit auf "MAC-Address" gestellt, weil alle gemanagten APs, die RADIUS über den Controller machen, ein beim Start zufällig gewürfeltes RADIUS-Secret bekommen.

Mir ist noch nicht ganz klar, wie Du Dir die Authentisierung "hinter dem AP" an dem Switch vorstellst. Ich kann mir nicht vorstellen, daß Du da eine doppelte Authentisierung haben willst, in dem Sinne daß einmal der AP am WLAN prüft und der Switch "dahinter" noch einmal an dem Port, an dem der AP hängt. Das wäre ja doppelt gemoppelt? Wenn man überhaupt so eine Authentisierung im LAN haben will, dann öffnet der AP einmal am Switch "seinen" Port per 802.1X und danach ist der Port für alle MAC-Adressen offen - was dort übers WLAN hereindarf, dafür ist der AP ja der "Türsteher"...

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015

Dani99
Beiträge: 129
Registriert: 05 Jun 2014, 18:40

Re: 1906VA Radius Authentifizierung WLAn und LAN

Beitrag von Dani99 » 05 Dez 2018, 14:46

Hallo und vielen Dank für deine Hilfe.

Du meinst also, ich solle diejenigen LAN-Ports normal öffnen, andem je ein AP dranhängt. Leider haben ich aufgrund baulicher Gegebenheiten aktuell noch für ca. 1a einen dummen Netgearswitch vor einem AP im System, welcher dann erst an einem 2326 hängt. An diesem Netgear hängen leider zwei benutze Netzwerkdosen in einer Gästewohnung, welche ich ebenfalls an den Radiusserver anbinden muss.

Was mich wundert, die LAN-Clients wie auch die WLAN-Clients werden mittels Radius korrekt authentifiziert, die LAN-Clients erhalten eine feste IP über BootP des DHCP, die WLAN-Clients leider nicht. Ihnen wird, laut Status der APs eine IP6-Adresse vergeben, obwohl im ganzen System IP6 nich angeschalten ist. Daran ändert sich auch nichts, wenn ich den 2326 als Radiusclient aktiviere.

Danke und LD
Dani :-)

Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 5899
Registriert: 07 Nov 2004, 20:33
Wohnort: Aachen
Kontaktdaten:

Re: 1906VA Radius Authentifizierung WLAn und LAN

Beitrag von alf29 » 05 Dez 2018, 15:26

Moin,
Du meinst also, ich solle diejenigen LAN-Ports normal öffnen, andem je ein AP dranhängt.
Das ist zumindest das Vorgehen, was ich von anderen Aufbauten kenne, wo irgendeine Authentisierung im LAN gemacht wird (sei's mit oder ohne 802.1X). Besonders viele Fälle waren es bisher nicht. Ohne Verschlüsselung der Frames und Integritätsprüfung kann man MAC-Adressen faken und eine darauf basierende Authentisierung recht trivial umgehen. MACsec ist aber noch seltener...
Was mich wundert, die LAN-Clients wie auch die WLAN-Clients werden mittels Radius korrekt authentifiziert, die LAN-Clients erhalten eine feste IP über BootP des DHCP, die WLAN-Clients leider nicht.
Da wirst Du Dich wohl mittels Wireshark oder Tracing durchwühlen müssen, wo die DHCP-Pakete hängen bleiben: kommen sie am WLAN an, gehen sie auf's Ethernet raus, kommen sie auf dem anderen Port des Switches wieder heraus usw. ...

Ihnen wird, laut Status der APs eine IP6-Adresse vergeben, obwohl im ganzen System IP6 nich angeschalten ist.
Wenn die IPv6-Adresse mit fe80:... anfängt: das ist eine Link-lokale Adresse, die geben die Clients sich selber, dafür bedarf es keines irgendwie gearteten Servers.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015

Dani99
Beiträge: 129
Registriert: 05 Jun 2014, 18:40

Re: 1906VA Radius Authentifizierung WLAn und LAN

Beitrag von Dani99 » 05 Dez 2018, 15:59

Vielen Dank! Kurz noch die IP6 Adresse geben sich die APs selber oder intern im AP jedem Wlan-Client?

Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 5899
Registriert: 07 Nov 2004, 20:33
Wohnort: Aachen
Kontaktdaten:

Re: 1906VA Radius Authentifizierung WLAn und LAN

Beitrag von alf29 » 05 Dez 2018, 16:18

Nein, die link-lokalen IPv6-Adressen geben die Clients sich selber. So wie bei IPv4 die APIPA-Adressen (169.254...)
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015

Antworten

Zurück zu „aktuelle LANCOM Router Serie“