WLC 4025 und externer Radius. Accounting?

JanO · Beitrag von **JanO** » 24 Feb 2010, 14:48

Hallo,

Ich habe momentan ein Problem mit der Konfiguration eines WLC 4025 + L-305 agn Managed Access Points und einem Radius-Server auf Linux-Basis (Freeradius).

Der Radius-Server benutzt die üblichen Standardports:
Port 1812: Authentication
Port 1813: Accounting
Port 1814: Proxy

Diese Daten habe ich, soweit möglich auch in dem WLC 4025 unter WLAN-Controller eingetragen. (Unscheinbarer kleiner Menüpunkt im Untermenü)
Für "Konto" wurde die IP des Servers und der Accounting-Port 1813 eingetragen, für "Zugang" die IP des Servers und der Authentication Port 1812.

Alle anderen RADIUS-Menüpunkte im WLC sollten dann für einen internen Radius (also einen aktivierten Radius auf der Lancom) sein, richtig?

Die Authentifikation eines Clients über den externen Radius mit PEAP und den eingetragenen Daten in der Lancom klappt auch wunderbar. Der WLC scheint die Client-Anfrage problemlos an den Radius weiterzuleiten.

Nun zeigt sich aber folgendes Problem:

Die Lancom APs übermitteln keine Accounting Pakete an den Radius-Server und damit bleibt die Accounting-Auswertung leer. Logischerweise funktioniert dann die Übersicht, welche User gerade online sind, auch nicht.

Eine manuelle Übermittlung der Accounting Pakete (accounting-start/stop/update), mit Hilfe eines Tools von einem Client aus, funktioniert einwandfrei.
Der Radius nimmt also Pakete auf dem Accounting Port 1813 an.

Hat jemand eine Idee, warum die Lancom APs /der WLC keine Accounting-Pakete initiieren? Eigentlich sollte dies ein Authenticator/NAS ja tun, dessen Rolle die APs einnehmen.

Ich nehme an, dass mein Radius-Server fehlerfrei konfiguriert ist, da sonst keine Probleme auftreten.
Habe ich noch Optionen im WLC übersehen?

Vielen Dank im Voraus für Anregungen.

alf29 · Beitrag von **alf29** » 24 Feb 2010, 15:34

Moin,

momentan mußt Du zusätzlich das WLAN-RADIUS-
Accounting auf den APs für die einzelnen SSIDs aktivieren
(Setup->Interfaces->WLAN->Network->RADIUS-Accounting),
der WLC kann diesen Menüpunkt momentan nicht steuern.

Gruß Alfred

JanO · Beitrag von **JanO** » 24 Feb 2010, 17:01

Moin,

erstmal Danke für die flotte Antwort.

Also muss ich die genannte Einstellung auf jedem AP einzeln einrichten?
Müssen die APs dafür aus dem Management des WLC herausgenommen werden?

Sorry, für die evtl. dummen Fragen, aber ich kann das Ganze gerade nicht testen und würde gerne vorher einige Rahmenbedingungen erfragen.
Es geht hierbei nämlich darum, im Rahmen eines Projekts einen WLAN Radius-Zugang an einer Schule zu realisieren.
Wir können nur begrenzt testen (das Netz ist leider schon produktiv) und deswegen möchte ich vorher alle Eventualitäten abklären.

Die von dir genannte Option gilt dann ausschließlich für externe Radius-Server?

Allgemeine Frage:
Gehe ich recht in der Annahme, dass grundsätzlich alle SSIDs von jedem AP ausgesendet werden?

Danke!

alf29 · Beitrag von **alf29** » 24 Feb 2010, 17:48

Moin,

Also muss ich die genannte Einstellung auf jedem AP einzeln einrichten?
Müssen die APs dafür aus dem Management des WLC herausgenommen werden?

Nein, Du hast auch die Möglichkeit, für solche Änderungen
vom WLC ein Skript an die APs zu verschicken.

Die von dir genannte Option gilt dann ausschließlich für externe Radius-Server?

Dieser Schalter schaltet erstmal grundsätzlich das
RADIUS-Accounting auf den APs ein. Ob die Accounting-
Requests dann zum WLC, 'durch den WLC' zu einem
externen RADIUS-Server oder direkt zu einem externen
RADIUS-Server laufen, ist unabhängig davon.

Gehe ich recht in der Annahme, dass grundsätzlich alle SSIDs von jedem AP ausgesendet werden?

Bezieht sich das jetzt aufs Accounting oder generell auf
die on den APs angebotenen SSIDs?

Das kann man am WLC ja konfigurieren wie man will.
Gängigstes Szenario ist natürlich ein Profil für alle APs,
aber man kann auch für einzelne APs separate Profile
anlegen, die dann z.B. nur eine Untermenge der SSIDs
enthalten.

Gruß Alfred

JanO · Beitrag von **JanO** » 24 Feb 2010, 18:39

alf29 hat geschrieben: Bezieht sich das jetzt aufs Accounting oder generell auf
die on den APs angebotenen SSIDs?

Das kann man am WLC ja konfigurieren wie man will.
Gängigstes Szenario ist natürlich ein Profil für alle APs,
aber man kann auch für einzelne APs separate Profile
anlegen, die dann z.B. nur eine Untermenge der SSIDs
enthalten.

Gruß Alfred

Ich meinte generell die angebotenen SSIDs. Okay..also werden in dem jeweiligen Profil die SSIDs für die APs festgelegt. Langsam wird die Sache etwas klarer, habe den WLC nicht selbst eingerichtet.

Momentan gibt es ein "PROFIL01" dem dann wohl alle SSIDs zugeordnet sind und diese werden dann von allen APs ausgesendet.

Nochmal zu der Sache mit WLC Scripts und den gemanagten APs:
Ich kann also auch das Accounting einzeln auf den APs aktivieren ohne sie dafür grundsätzlich aus dem Management des WLC herauszunehmen?
Das wäre ja kein Problem, dafür brauche ich nicht extra ein Skript. Es sei denn, der WLC deaktiviert diese Option dann wieder, weil die APs ja noch gemanagt sind.

Gibt es irgendwo was zum Nachlesen, was WLC Scripts angeht?

JanO · Beitrag von **JanO** » 26 Feb 2010, 16:31

Neues von der Front:

Wir konnten heute kurz mit der aktivierten Accounting-Funktion auf einem der APs testen.
Allerdings empfing der Radius-Server dann immer noch keine Accounting Pakete.

Gibt es noch irgendwelche weiterführenden Tipps?

Wir haben die Option heute auch nur auf einem der rund 10 APs aktiviert. Auf dem über den wir eingebucht waren.

Edit: Ich habe in der Doku der PublicSPot Option gelesen, dass die Lancom APs durchaus Accounting Pakete senden sollten.

Diese PublicSpot Option lässt sich ja ebenfalls mit einem externen RADIUS-Server kombinieren.
In dieser Doku steht jedoch noch etwas von folgendem Menüpunkt:

WEBconfig: LCOS-Menübaum Setup WLAN Radius-
Accounting

Muss da evtl. auch ohne PublicSpot eine Option gesetzt werden?
Muss ich eigentlich irgendwelche RADIUS-Weiterleitungen auf dem WLC definieren?

Kann gerade mal wieder nichts testen oder nachprüfen, die Geräte stehen beim "Kunden".

alf29 · Beitrag von **alf29** » 26 Feb 2010, 23:31

Moin,

WLAN-RADIUS-Accounting und Accounting im Zusammenhang mit Public Spot sind zwei
verschiedene Dinge. Public-Spot ist eine zukaufpflichtige Option und für Hotspots gedacht,
wo sich Nutzer über den Browser mit Benutzernamen und Paßwort anmelden - was häufig
an eine WLAN-Schnittstelle gekoppelt wird, aber nicht sein muß.

WEBconfig: LCOS-Menübaum Setup WLAN Radius-
Accounting

Da mußt Du nur einen RADIUS-Server konfigurieren, wenn der AP nicht gemanagt wird.

Muss ich eigentlich irgendwelche RADIUS-Weiterleitungen auf dem WLC definieren?

Das kommt darauf an, welchen RADIUS-Server die APs vom WLC zugeteilt bekommen. Wenn die
APs den RADIUS-Server direkt ansprechen, bekommt der WLC davon ja gar nichts mit. Wenn
RADIUS aber erst mal über den WLC 'aggregiert' und an den eigentlichen Server geleitet wird,
dann muß man auf dem WLC schon das Forwarding passend konfigurieren.

Um erstmal überhaupt zu testen, kann man sich auf einem der APs per Telnet/SSH einloggen
und 'trace # radius-client' eingeben. Dann kann man sehen, wohin der AP was für RADIUS-
Requests schickt.

Gruß Alfred

JanO · Beitrag von **JanO** » 28 Feb 2010, 12:32

alf29 hat geschrieben:Das kommt darauf an, welchen RADIUS-Server die APs vom WLC zugeteilt bekommen. Wenn die
APs den RADIUS-Server direkt ansprechen, bekommt der WLC davon ja gar nichts mit. Wenn
RADIUS aber erst mal über den WLC 'aggregiert' und an den eigentlichen Server geleitet wird,
dann muß man auf dem WLC schon das Forwarding passend konfigurieren.

Okay, wie gesagt, ich habe meinen Radius-Server auf dem WLC unter dem Punkt "Konfiguration" --> "Stationen" eingetragen - mehr nicht. Das sind zwei winzige Einträge. Die anderen Optionen den Realm betreffend, befinden sich ja unter dem eigenen Menüpunkt "RADIUS" im Hauptmenü.

Trotzdem gehen meine Authentication Requests ja erfolgreich an den Radius-Server, auch ohne Weiterleitungseintrag. Jetzt weiß ich aber nicht, ob die APs den Radius direkt ansprechen. Du sagtest ja, dass der WLC dann davon gar nichts merken würde - wird dann die eben beschriebene Radius-Konfig an die APs gesendet und ab dann hält sich der WLC raus?

Ich werde es dann morgen einmal mit dem SSH Trace probieren. Die Logindaten sollten ja dieselben wie sonst sein, hoffe ich.

Trotz allem sollten doch eigentlich die Accounting-Pakete (falls sie erzeugt werden) über den gleichen Weg an den Radius gehen wie die Authentication-Pakte.

JanO · Beitrag von **JanO** » 02 Mär 2010, 16:24

So, ich konnte heute den genannten Trace auf einem der APs ausführen:
(gekürzt)

RADIUS-Client] 2010/03/02 15:38:52,660
Send RADIUS Authentication Request Id 42 to 172.16.222.62 Backup-Step 1 Retry 0 Auth 15aa558ac542a1f078bc5e2f373b3dbe

[RADIUS-Client] 2010/03/02 15:38:52,670
Received RADIUS Accept Id 42 from 172.16.222.62
-->found corr. request 42 to IP 172.16.222.62:1812, secret <accesstoradius>, authenticator 15aa558ac542a1f078bc5e2f373b3dbe
-->trigger requester

Von Accounting-Paketen ist leider nichts zu sehen.

Aber es ist erkennbar, dass der AP den RADIUS (172.16.222.62) direkt anspricht.

Die Aktivierung der Accounting-Option auf dem AP, habe ich wie in folgendem Screenshot durchgeführt. Was ist dort eigentlich mit der Spalte "Netzwerkname" gemeint? Dort stand ursprünglich, wie bei den übrigen Einträgen, "LANCOM" drin. Ich habe mal testweise den Namen einer für den Test genutzten SSID eingetragen, brachte leider aber auch keine Abhilfe.

Hier auch nochmal ein Screenshot meiner RADIUS-Einstellungen auf dem WLC. Mehr habe ich bezüglich der allgemeinen RADIUS-Konfig nicht eingetragen, Authentication Requests werden ja auch korrekt an den Server gesendet, nur eben keine Accounting-Pakete.