forum.opennet.ru - "802.1x" (33)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"802.1x"

Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"802.1x"	+/–
Сообщение от tetst (??) on 13-Апр-15, 12:26
День добрый. настраиваю, а заодно и изучаю, протокол 802.1x на коммутаторе cisco 2950 (Version 12.1(22)EA14), в качестве сервера использую freeradius (FreeRADIUS Version 2.1.12) на ubuntu (серверная, последняя). Ubuntu поднята на виртуалке. настройки циско: aaa new-model aaa authentication dot1x group group radius aaa authorization network default group radius dot1x system-auth-control interface FastEthernet0/18 (смотрит в сторону сервера) switchport mode access ! interface FastEthernet0/19 switchport mode access dot1x port-control auto dot1x timeout tx-period 10 dot1x timeout reauth-period 3 dot1x guest-vlan 150 spanning-tree portfast ! interface FastEthernet0/20 switchport mode access dot1x port-control auto dot1x timeout tx-period 10 dot1x timeout reauth-period 3 dot1x guest-vlan 150 spanning-tree portfast ! interface FastEthernet0/21 switchport mode access dot1x port-control auto dot1x timeout tx-period 10 dot1x timeout reauth-period 3 dot1x guest-vlan 150 spanning-tree portfast radius-server host 10.95.46.227 auth-port 1812 acct-port 1813 radius-server retransmit 3 radius-server key testing123 Но никаких обращений к серверу не происходит. Вопрос где ошибка?
Ответить \| Правка \| Cообщить модератору

Оглавление

802.1x, tetst, 13:58 , 13-Апр-15, (1)

802.1x, cant, 17:15 , 13-Апр-15, (2)

802.1x, ShyLion, 06:45 , 14-Апр-15, (3)
802.1x, tetst, 09:42 , 14-Апр-15, (5)

802.1x, ShyLion, 06:46 , 14-Апр-15, (4)
802.1x, tetst, 10:58 , 14-Апр-15, (6)

802.1x, VolanD, 11:41 , 14-Апр-15, (7)

802.1x, tetst, 12:28 , 14-Апр-15, (8)

802.1x, ShyLion, 12:58 , 14-Апр-15, (9)

802.1x, tetst, 13:09 , 14-Апр-15, (10)

802.1x, VolanD, 13:23 , 14-Апр-15, (11)

802.1x, tetst, 13:37 , 14-Апр-15, (12)

802.1x, ShyLion, 15:37 , 14-Апр-15, (20)

802.1x, tetst, 15:55 , 14-Апр-15, (21)

802.1x, ShyLion, 18:08 , 14-Апр-15, (23)

802.1x, tetst, 09:50 , 15-Апр-15, (26)

802.1x, fantom, 13:54 , 14-Апр-15, (13)

802.1x, tetst, 14:40 , 14-Апр-15, (15)

802.1x, fantom, 14:42 , 14-Апр-15, (17)

802.1x, tetst, 14:45 , 14-Апр-15, (18)

802.1x, VolanD, 13:58 , 14-Апр-15, (14)

802.1x, tetst, 14:42 , 14-Апр-15, (16)

802.1x, ShyLion, 15:35 , 14-Апр-15, (19)

802.1x, tetst, 15:59 , 14-Апр-15, (22)

802.1x, ShyLion, 18:09 , 14-Апр-15, (24)

802.1x, tetst, 09:03 , 15-Апр-15, (25)

802.1x, tetst, 16:34 , 15-Апр-15, (27)

802.1x, ShyLion, 06:59 , 16-Апр-15, (28)

802.1x, tetst, 08:04 , 16-Апр-15, (29)

802.1x, ShyLion, 11:17 , 16-Апр-15, (30)

802.1x, tetst, 13:14 , 16-Апр-15, (31)

802.1x, ShyLion, 14:58 , 16-Апр-15, (32)

802.1x, tetst, 15:08 , 16-Апр-15, (33)

Сообщения по теме [Сортировка по времени | RSS]

1. "802.1x" +/–

Сообщение от tetst (??) on 13-Апр-15, 13:58

в логах такая запись присутствует

AAA/AUTHEN/START (2793293335): port='FastEthernet0/19' list='Dot1x Acc List' action=LOGIN service=802.1x
AAA/AUTHEN/START (2793293335): non console login - defaults to local database
AAA/AUTHEN/START (2793293335): Method=LOCAL
AAA/AUTHEN (2793293335): User not found, end of method list
00:05:06: AAA/AUTHEN (2793293335): status = FAIL
00:05:06: dot1x-err:Dot1x Authentication failed (AAA_AUTHEN_STATUS_FAIL)

Я так понимаю циска за парой логин/пароль не на радиус лезет, а ищет у себя локально?
Почему? если указано aaa authentication dot1x group group radius

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "802.1x" +/–

Сообщение от cant on 13-Апр-15, 17:15

> Почему? если указано aaa authentication dot1x group group radius
... group group ...  А это как синтаксисом команды истолковывается?
И оно так съедает?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "802.1x" +/–

Сообщение от ShyLion (ok) on 14-Апр-15, 06:45

>> Почему? если указано aaa authentication dot1x group group radius
> ... group group ...  А это как синтаксисом команды истолковывается?
> И оно так съедает?
У него два отдельных метода аторизации, один с именем "group"

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "802.1x" +/–

Сообщение от tetst (??) on 14-Апр-15, 09:42

> ... group group ...  А это как синтаксисом команды истолковывается?
> И оно так съедает?
если не указывать default  оно само в такой вид приходит

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "802.1x" +/–

Сообщение от ShyLion (ok) on 14-Апр-15, 06:46

> aaa authentication dot1x group group radius
тут ошибка.
нужно:

aaa authentication dot1x default group radius

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "802.1x" +/–

Сообщение от tetst (??) on 14-Апр-15, 10:58

ошибку с методом исправил (как писали выше). теперь в логах видно обращение к радиус серверу, но аутентификация не проходит.
статус порта

S1(config)#do sh dot1x int f0/21
Supplicant MAC <Not Applicable>
AuthSM State          = CONNECTING
BendSM State          = IDLE
Posture               = N/A
PortStatus            = UNAUTHORIZED
MaxReq                = 2
MaxAuthReq            = 2
HostMode              = Single
Port Control          = Auto
ControlDirection      = Both
QuietPeriod           = 60 Seconds
Re-authentication     = Disabled
ReAuthPeriod          = 3 Seconds
ServerTimeout         = 30 Seconds
SuppTimeout           = 30 Seconds
TxPeriod              = 10 Seconds
Guest-Vlan            = 150
AuthFail-Vlan         = 0
AuthFail-Max-Attempts = 3

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "802.1x" +/–

Сообщение от VolanD (ok) on 14-Апр-15, 11:41

>[оверквотинг удален]
> ServerTimeout         = 30 Seconds
> SuppTimeout           =
> 30 Seconds
> TxPeriod
>   = 10 Seconds
> Guest-Vlan
> = 150
> AuthFail-Vlan         = 0
> AuthFail-Max-Attempts = 3
>
А что радиус то говорит?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "802.1x" +/–

Сообщение от tetst (??) on 14-Апр-15, 12:28

> А что радиус то говорит?
Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network port 50021 cli 18-03-73-A6-0B-81)
настройки users
test<-->User-Password := "test"
<------>Framed-IP-Address = 192.168.2.5,
<------>Framed-IP-Netmask = 255.255.255.0,
<------>NAS-IP-Address = 10.95.46.230 (адрес циски)
<------>Tunnel-Type = 13,
<------>Tunnel-Medium-Type = 6,
<------>Tunnel-Private-Group-Id = 1

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "802.1x" +/–

Сообщение от ShyLion (ok) on 14-Апр-15, 12:58

>
test<-->User-Password := "test"
> <------>Framed-IP-Address = 192.168.2.5,
> <------>Framed-IP-Netmask = 255.255.255.0,
> <------>NAS-IP-Address = 10.95.46.230 (адрес циски)
>

На кой болт эта инфа каталисту, интересно?
radiusd -X

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "802.1x" +/–

Сообщение от tetst (??) on 14-Апр-15, 13:09

>>
test<-->User-Password := "test"
>> <------>Framed-IP-Address = 192.168.2.5,
>> <------>Framed-IP-Netmask = 255.255.255.0,
>> <------>NAS-IP-Address = 10.95.46.230 (адрес циски)
>>

> На кой болт эта инфа каталисту, интересно?
> radiusd -X
ну  с NAS-IP-Address = 10.95.46.230 - это в качестве экспериметна добавлено.
А Framed-IP-Address - сообщает адрес, который будит настроен у пользователя. Разве нет?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "802.1x" +/–

Сообщение от VolanD (ok) on 14-Апр-15, 13:23

>>>
test<-->User-Password := "test"
>>> <------>Framed-IP-Address = 192.168.2.5,
>>> <------>Framed-IP-Netmask = 255.255.255.0,
>>> <------>NAS-IP-Address = 10.95.46.230 (адрес циски)
>>>

>> На кой болт эта инфа каталисту, интересно?
>> radiusd -X
> ну  с NAS-IP-Address = 10.95.46.230 - это в качестве экспериметна добавлено.
> А Framed-IP-Address - сообщает адрес, который будит настроен у пользователя. Разве нет?
dot1x и настройка адреса?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "802.1x" +/–

Сообщение от tetst (??) on 14-Апр-15, 13:37

>>>>
test<-->User-Password := "test"
>>>> <------>Framed-IP-Address = 192.168.2.5,
>>>> <------>Framed-IP-Netmask = 255.255.255.0,
>>>> <------>NAS-IP-Address = 10.95.46.230 (адрес циски)
>>>>

>>> На кой болт эта инфа каталисту, интересно?
>>> radiusd -X
>> ну  с NAS-IP-Address = 10.95.46.230 - это в качестве экспериметна добавлено.
>> А Framed-IP-Address - сообщает адрес, который будит настроен у пользователя. Разве нет?
> dot1x и настройка адреса?
А что разве радиус не может передать ip адрес?
Удаление этих строк никакого эффекта не дает

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "802.1x" +/–

Сообщение от ShyLion (ok) on 14-Апр-15, 15:37

> А что разве радиус не может передать ip адрес?
> Удаление этих строк никакого эффекта не дает
Каталисту глубоко фиолетово на IP адрес, он L2 устройтво. Клиенту радиус ответ в 802х не передается никак.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "802.1x" +/–

Сообщение от tetst (ok) on 14-Апр-15, 15:55

> Клиенту радиус ответ в 802х не передается никак.
Вот этого предложения не понял

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "802.1x" +/–

Сообщение от ShyLion (ok) on 14-Апр-15, 18:08

>> Клиенту радиус ответ в 802х не передается никак.
>  Вот этого предложения не понял
саппликант только предоставляет информацию для прохождения процедур аутентификации и авторизации. При этом радиус аттрибуты ходят между каталистом и радиусом. Каталист свитч, ему информация о IP адресе не нужна, это не PPP соединение.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

26. "802.1x" +/–

Сообщение от tetst (ok) on 15-Апр-15, 09:50

>>> Клиенту радиус ответ в 802х не передается никак.
>>  Вот этого предложения не понял
> саппликант только предоставляет информацию для прохождения процедур аутентификации и
> авторизации. При этом радиус аттрибуты ходят между каталистом и радиусом. Каталист
> свитч, ему информация о IP адресе не нужна, это не PPP
> соединение.
Даже если убрать эти сторчки, аутентификация проходит неудачно

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

13. "802.1x" +/–

Сообщение от fantom (ok) on 14-Апр-15, 13:54

>> А что радиус то говорит?
> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network
> port 50021 cli 18-03-73-A6-0B-81)
т.е. " Login incorrect:.... " вас не настораживает??

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "802.1x" +/–

Сообщение от tetst (??) on 14-Апр-15, 14:40

>>> А что радиус то говорит?
>> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network
>> port 50021 cli 18-03-73-A6-0B-81)
> т.е. " Login incorrect:.... " вас не настораживает??
настрораживает, но я что-то не понимаю, где делаются настройки это затрагивающие. Cisco ведь получается NASом?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "802.1x" +/–

Сообщение от fantom (ok) on 14-Апр-15, 14:42

>>>> А что радиус то говорит?
>>> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network
>>> port 50021 cli 18-03-73-A6-0B-81)
>> т.е. " Login incorrect:.... " вас не настораживает??
> настрораживает, но я что-то не понимаю, где делаются настройки это затрагивающие. Cisco
> ведь получается NASом?
Password - на радиусе должен быть, ему же надо с чем-то сверять то, что прилетит с клиента....

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "802.1x" +/–

Сообщение от tetst (ok) on 14-Апр-15, 14:45

>>>>> А что радиус то говорит?
>>>> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network
>>>> port 50021 cli 18-03-73-A6-0B-81)
>>> т.е. " Login incorrect:.... " вас не настораживает??
>> настрораживает, но я что-то не понимаю, где делаются настройки это затрагивающие. Cisco
>> ведь получается NASом?
> Password - на радиусе должен быть, ему же надо с чем-то сверять
> то, что прилетит с клиента....
да понятно, что на радиусе. в каком конкретно конфигурационном файле?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

14. "802.1x" +/–

Сообщение от VolanD (ok) on 14-Апр-15, 13:58

Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "802.1x" +/–

Сообщение от tetst (??) on 14-Апр-15, 14:42

> Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией...
Пока идет процесс вникания в технологию (изучение). Клиент под вин7

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

19. "802.1x" +/–

Сообщение от ShyLion (ok) on 14-Апр-15, 15:35

>> Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией...
> Пока идет процесс вникания в технологию (изучение). Клиент под вин7
С точки зрения технологии, каталист самое простое, он просто посредник в EAP.
Через него суппликант (клиентское устройство) общается с радиусом.
Протоколов авторизации через EAP - херова гора.
В твоем случае EAP-PEAP с MSCHAPv2.
как я написал выше - дебаж на радиусе "radiusd -X", там будет ВСЕ написано.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "802.1x" +/–

Сообщение от tetst (ok) on 14-Апр-15, 15:59

>>> Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией...
>> Пока идет процесс вникания в технологию (изучение). Клиент под вин7
> С точки зрения технологии, каталист самое простое, он просто посредник в EAP.
> Через него суппликант (клиентское устройство) общается с радиусом.
> Протоколов авторизации через EAP - херова гора.
> В твоем случае EAP-PEAP с MSCHAPv2.
> как я написал выше - дебаж на радиусе "radiusd -X", там будет
> ВСЕ написано.
вот дебаг радиуса.
++[auth_log] returns ok
ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user
Failed to authenticate the user.
Login incorrect: [test/<no User-Password attribute>] (from client test-network port 50019 cli 18-03-73-A6-0B-81)
Using Post-Auth-Type Reject
Но в нем больше вопросов, чем ответов (пока).
Вопрос:Циска, как аутентификатор, в настройках радиуса никаким образом не присутствует?
UPD
radtest нормально отрабатывает
# radtest -x -t mschap test test  10.95.46.227 1812 testing123
Sending Access-Request of id 106 to 10.95.46.227 port 1812
        User-Name = "test"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
        MS-CHAP-Challenge = 0x8a5694309810f31d
        MS-CHAP-Response = 0x00010000000000000000000000000000000000000000000000004e69814c48e29a469e45bc9028072a0da64d65cc95cfb668
rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
        Tunnel-Type:0 = VLAN
        Tunnel-Medium-Type:0 = IEEE-802
        Tunnel-Private-Group-Id:0 = "1"
        Framed-IP-Address = 192.168.2.5
        Framed-IP-Netmask = 255.255.255.0
        MS-CHAP-MPPE-Keys = 0x01fc5a6be7bc69292066656e05c22f3a995ad9ecfed913d60000000000000000
        MS-MPPE-Encryption-Policy = 0x00000002
        MS-MPPE-Encryption-Types = 0x00000004

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "802.1x" +/–

Сообщение от ShyLion (ok) on 14-Апр-15, 18:09

freeradius вываливает тонны информации. ты хочешь чтобы тебе тут по трем строчкам причину нашли?
телепатов не бывает

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "802.1x" +/–

Сообщение от tetst (ok) on 15-Апр-15, 09:03

> freeradius вываливает тонны информации. ты хочешь чтобы тебе тут по трем строчкам
> причину нашли?
> телепатов не бывает
Он выдал не сильно больше, относительно гото что я привел. Я указал, на то что явно указывает на проблему. Впринципе могу привестиполный вывод.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "802.1x" +/–

Сообщение от tetst (ok) on 15-Апр-15, 16:34

Проблему с аутентификацией решил так
authorize {
<------>eap {
<------><------>ok = return
<------>}
<------>files
<------>auth_log
}

и убрал mschap.
Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить vlan аутентифицированного порта?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

28. "802.1x" +/–

Сообщение от ShyLion (ok) on 16-Апр-15, 06:59

>[оверквотинг удален]
>
authorize {
> <------>eap {
> <------><------>ok = return
> <------>}
> <------>files
> <------>auth_log
> }

> и убрал mschap.
> Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить
> vlan аутентифицированного порта?
ты же делал уже:
rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
        Tunnel-Type:0 = VLAN
        Tunnel-Medium-Type:0 = IEEE-802
        Tunnel-Private-Group-Id:0 = "1"

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "802.1x" +/–

Сообщение от tetst (ok) on 16-Апр-15, 08:04

>[оверквотинг удален]
>> <------>auth_log
>> }
>> и убрал mschap.
>> Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить
>> vlan аутентифицированного порта?
> ты же делал уже:
> rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
>         Tunnel-Type:0 = VLAN
>         Tunnel-Medium-Type:0 = IEEE-802
>         Tunnel-Private-Group-Id:0 = "1"
я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый влан назначается

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "802.1x" +/–

Сообщение от ShyLion (??) on 16-Апр-15, 11:17

>[оверквотинг удален]
>>> и убрал mschap.
>>> Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить
>>> vlan аутентифицированного порта?
>> ты же делал уже:
>> rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
>>         Tunnel-Type:0 = VLAN
>>         Tunnel-Medium-Type:0 = IEEE-802
>>         Tunnel-Private-Group-Id:0 = "1"
> я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый
> влан назначается
а вилан такой есть вообще на свиче?
и как ты проверяешь назначение вилана?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "802.1x" +/–

Сообщение от tetst (ok) on 16-Апр-15, 13:14

>[оверквотинг удален]
>>>> vlan аутентифицированного порта?
>>> ты же делал уже:
>>> rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
>>>         Tunnel-Type:0 = VLAN
>>>         Tunnel-Medium-Type:0 = IEEE-802
>>>         Tunnel-Private-Group-Id:0 = "1"
>> я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый
>> влан назначается
> а вилан такой есть вообще на свиче?
> и как ты проверяешь назначение вилана?
sh vlan id 101
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
101  test_802.1x                      active

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "802.1x" +/–

Сообщение от ShyLion (ok) on 16-Апр-15, 14:58

>[оверквотинг удален]
>
sh vlan id 101
> VLAN Name
>
>        Status
> Ports
> ---- -------------------------------- --------- -------------------------------
> 101  test_802.1x
>
>  active
>

не уверен что вывод этой команды покажет динамическое назначение в вилан
по траффику проверял?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "802.1x" +/–

Сообщение от tetst (ok) on 16-Апр-15, 15:08

>[оверквотинг удален]
>>
>>        Status
>> Ports
>> ---- -------------------------------- --------- -------------------------------
>> 101  test_802.1x
>>
>>  active
>>
> не уверен что вывод этой команды покажет динамическое назначение в вилан
> по траффику проверял?
а почему нет? по крайней мере назначение в гостевой влан показывает.
Да трафик проходит, по крайней мере могу пинговать хосты в первом влане

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "802.1x"	+/–
Сообщение от tetst (??) on 13-Апр-15, 13:58
в логах такая запись присутствует AAA/AUTHEN/START (2793293335): port='FastEthernet0/19' list='Dot1x Acc List' action=LOGIN service=802.1x AAA/AUTHEN/START (2793293335): non console login - defaults to local database AAA/AUTHEN/START (2793293335): Method=LOCAL AAA/AUTHEN (2793293335): User not found, end of method list 00:05:06: AAA/AUTHEN (2793293335): status = FAIL 00:05:06: dot1x-err:Dot1x Authentication failed (AAA_AUTHEN_STATUS_FAIL) Я так понимаю циска за парой логин/пароль не на радиус лезет, а ищет у себя локально? Почему? если указано aaa authentication dot1x group group radius
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "802.1x"	+/–
	Сообщение от cant on 13-Апр-15, 17:15
	> Почему? если указано aaa authentication dot1x group group radius ... group group ... А это как синтаксисом команды истолковывается? И оно так съедает?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "802.1x"	+/–
	Сообщение от ShyLion (ok) on 14-Апр-15, 06:45
	>> Почему? если указано aaa authentication dot1x group group radius > ... group group ... А это как синтаксисом команды истолковывается? > И оно так съедает? У него два отдельных метода аторизации, один с именем "group"
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "802.1x"	+/–
	Сообщение от tetst (??) on 14-Апр-15, 09:42
	> ... group group ... А это как синтаксисом команды истолковывается? > И оно так съедает? если не указывать default оно само в такой вид приходит
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

4. "802.1x"	+/–
Сообщение от ShyLion (ok) on 14-Апр-15, 06:46
> aaa authentication dot1x group group radius тут ошибка. нужно: aaa authentication dot1x default group radius
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

6. "802.1x"	+/–
Сообщение от tetst (??) on 14-Апр-15, 10:58
ошибку с методом исправил (как писали выше). теперь в логах видно обращение к радиус серверу, но аутентификация не проходит. статус порта S1(config)#do sh dot1x int f0/21 Supplicant MAC <Not Applicable> AuthSM State = CONNECTING BendSM State = IDLE Posture = N/A PortStatus = UNAUTHORIZED MaxReq = 2 MaxAuthReq = 2 HostMode = Single Port Control = Auto ControlDirection = Both QuietPeriod = 60 Seconds Re-authentication = Disabled ReAuthPeriod = 3 Seconds ServerTimeout = 30 Seconds SuppTimeout = 30 Seconds TxPeriod = 10 Seconds Guest-Vlan = 150 AuthFail-Vlan = 0 AuthFail-Max-Attempts = 3
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	7. "802.1x"	+/–
	Сообщение от VolanD (ok) on 14-Апр-15, 11:41
	>[оверквотинг удален] > ServerTimeout = 30 Seconds > SuppTimeout = > 30 Seconds > TxPeriod > = 10 Seconds > Guest-Vlan > = 150 > AuthFail-Vlan = 0 > AuthFail-Max-Attempts = 3 > А что радиус то говорит?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "802.1x"	+/–
	Сообщение от tetst (??) on 14-Апр-15, 12:28
	> А что радиус то говорит? Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network port 50021 cli 18-03-73-A6-0B-81) настройки users test<-->User-Password := "test" <------>Framed-IP-Address = 192.168.2.5, <------>Framed-IP-Netmask = 255.255.255.0, <------>NAS-IP-Address = 10.95.46.230 (адрес циски) <------>Tunnel-Type = 13, <------>Tunnel-Medium-Type = 6, <------>Tunnel-Private-Group-Id = 1
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "802.1x"	+/–
	Сообщение от ShyLion (ok) on 14-Апр-15, 12:58
	> test<-->User-Password := "test" > <------>Framed-IP-Address = 192.168.2.5, > <------>Framed-IP-Netmask = 255.255.255.0, > <------>NAS-IP-Address = 10.95.46.230 (адрес циски) > На кой болт эта инфа каталисту, интересно? radiusd -X
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "802.1x"	+/–
	Сообщение от tetst (??) on 14-Апр-15, 13:09
	>> test<-->User-Password := "test" >> <------>Framed-IP-Address = 192.168.2.5, >> <------>Framed-IP-Netmask = 255.255.255.0, >> <------>NAS-IP-Address = 10.95.46.230 (адрес циски) >> > На кой болт эта инфа каталисту, интересно? > radiusd -X ну с NAS-IP-Address = 10.95.46.230 - это в качестве экспериметна добавлено. А Framed-IP-Address - сообщает адрес, который будит настроен у пользователя. Разве нет?
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "802.1x"	+/–
	Сообщение от VolanD (ok) on 14-Апр-15, 13:23
	>>> test<-->User-Password := "test" >>> <------>Framed-IP-Address = 192.168.2.5, >>> <------>Framed-IP-Netmask = 255.255.255.0, >>> <------>NAS-IP-Address = 10.95.46.230 (адрес циски) >>> >> На кой болт эта инфа каталисту, интересно? >> radiusd -X > ну с NAS-IP-Address = 10.95.46.230 - это в качестве экспериметна добавлено. > А Framed-IP-Address - сообщает адрес, который будит настроен у пользователя. Разве нет? dot1x и настройка адреса?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "802.1x"	+/–
	Сообщение от tetst (??) on 14-Апр-15, 13:37
	>>>> test<-->User-Password := "test" >>>> <------>Framed-IP-Address = 192.168.2.5, >>>> <------>Framed-IP-Netmask = 255.255.255.0, >>>> <------>NAS-IP-Address = 10.95.46.230 (адрес циски) >>>> >>> На кой болт эта инфа каталисту, интересно? >>> radiusd -X >> ну с NAS-IP-Address = 10.95.46.230 - это в качестве экспериметна добавлено. >> А Framed-IP-Address - сообщает адрес, который будит настроен у пользователя. Разве нет? > dot1x и настройка адреса? А что разве радиус не может передать ip адрес? Удаление этих строк никакого эффекта не дает
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	20. "802.1x"	+/–
	Сообщение от ShyLion (ok) on 14-Апр-15, 15:37
	> А что разве радиус не может передать ip адрес? > Удаление этих строк никакого эффекта не дает Каталисту глубоко фиолетово на IP адрес, он L2 устройтво. Клиенту радиус ответ в 802х не передается никак.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	21. "802.1x"	+/–
	Сообщение от tetst (ok) on 14-Апр-15, 15:55
	> Клиенту радиус ответ в 802х не передается никак. Вот этого предложения не понял
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	23. "802.1x"	+/–
	Сообщение от ShyLion (ok) on 14-Апр-15, 18:08
	>> Клиенту радиус ответ в 802х не передается никак. > Вот этого предложения не понял саппликант только предоставляет информацию для прохождения процедур аутентификации и авторизации. При этом радиус аттрибуты ходят между каталистом и радиусом. Каталист свитч, ему информация о IP адресе не нужна, это не PPP соединение.
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	26. "802.1x"	+/–
	Сообщение от tetst (ok) on 15-Апр-15, 09:50
	>>> Клиенту радиус ответ в 802х не передается никак. >> Вот этого предложения не понял > саппликант только предоставляет информацию для прохождения процедур аутентификации и > авторизации. При этом радиус аттрибуты ходят между каталистом и радиусом. Каталист > свитч, ему информация о IP адресе не нужна, это не PPP > соединение. Даже если убрать эти сторчки, аутентификация проходит неудачно
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	13. "802.1x"	+/–
	Сообщение от fantom (ok) on 14-Апр-15, 13:54
	>> А что радиус то говорит? > Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network > port 50021 cli 18-03-73-A6-0B-81) т.е. " Login incorrect:.... " вас не настораживает??
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	15. "802.1x"	+/–
	Сообщение от tetst (??) on 14-Апр-15, 14:40
	>>> А что радиус то говорит? >> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network >> port 50021 cli 18-03-73-A6-0B-81) > т.е. " Login incorrect:.... " вас не настораживает?? настрораживает, но я что-то не понимаю, где делаются настройки это затрагивающие. Cisco ведь получается NASом?
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	17. "802.1x"	+/–
	Сообщение от fantom (ok) on 14-Апр-15, 14:42
	>>>> А что радиус то говорит? >>> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network >>> port 50021 cli 18-03-73-A6-0B-81) >> т.е. " Login incorrect:.... " вас не настораживает?? > настрораживает, но я что-то не понимаю, где делаются настройки это затрагивающие. Cisco > ведь получается NASом? Password - на радиусе должен быть, ему же надо с чем-то сверять то, что прилетит с клиента....
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	18. "802.1x"	+/–
	Сообщение от tetst (ok) on 14-Апр-15, 14:45
	>>>>> А что радиус то говорит? >>>> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network >>>> port 50021 cli 18-03-73-A6-0B-81) >>> т.е. " Login incorrect:.... " вас не настораживает?? >> настрораживает, но я что-то не понимаю, где делаются настройки это затрагивающие. Cisco >> ведь получается NASом? > Password - на радиусе должен быть, ему же надо с чем-то сверять > то, что прилетит с клиента.... да понятно, что на радиусе. в каком конкретно конфигурационном файле?
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору

14. "802.1x"	+/–
Сообщение от VolanD (ok) on 14-Апр-15, 13:58
Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	16. "802.1x"	+/–
	Сообщение от tetst (??) on 14-Апр-15, 14:42
	> Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией... Пока идет процесс вникания в технологию (изучение). Клиент под вин7
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	19. "802.1x"	+/–
	Сообщение от ShyLion (ok) on 14-Апр-15, 15:35
	>> Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией... > Пока идет процесс вникания в технологию (изучение). Клиент под вин7 С точки зрения технологии, каталист самое простое, он просто посредник в EAP. Через него суппликант (клиентское устройство) общается с радиусом. Протоколов авторизации через EAP - херова гора. В твоем случае EAP-PEAP с MSCHAPv2. как я написал выше - дебаж на радиусе "radiusd -X", там будет ВСЕ написано.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	22. "802.1x"	+/–
	Сообщение от tetst (ok) on 14-Апр-15, 15:59
	>>> Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией... >> Пока идет процесс вникания в технологию (изучение). Клиент под вин7 > С точки зрения технологии, каталист самое простое, он просто посредник в EAP. > Через него суппликант (клиентское устройство) общается с радиусом. > Протоколов авторизации через EAP - херова гора. > В твоем случае EAP-PEAP с MSCHAPv2. > как я написал выше - дебаж на радиусе "radiusd -X", там будет > ВСЕ написано. вот дебаг радиуса. ++[auth_log] returns ok ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user Failed to authenticate the user. Login incorrect: [test/<no User-Password attribute>] (from client test-network port 50019 cli 18-03-73-A6-0B-81) Using Post-Auth-Type Reject Но в нем больше вопросов, чем ответов (пока). Вопрос:Циска, как аутентификатор, в настройках радиуса никаким образом не присутствует? UPD radtest нормально отрабатывает # radtest -x -t mschap test test 10.95.46.227 1812 testing123 Sending Access-Request of id 106 to 10.95.46.227 port 1812 User-Name = "test" NAS-IP-Address = 127.0.1.1 NAS-Port = 1812 Message-Authenticator = 0x00000000000000000000000000000000 MS-CHAP-Challenge = 0x8a5694309810f31d MS-CHAP-Response = 0x00010000000000000000000000000000000000000000000000004e69814c48e29a469e45bc9028072a0da64d65cc95cfb668 rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111 Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "1" Framed-IP-Address = 192.168.2.5 Framed-IP-Netmask = 255.255.255.0 MS-CHAP-MPPE-Keys = 0x01fc5a6be7bc69292066656e05c22f3a995ad9ecfed913d60000000000000000 MS-MPPE-Encryption-Policy = 0x00000002 MS-MPPE-Encryption-Types = 0x00000004
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	24. "802.1x"	+/–
	Сообщение от ShyLion (ok) on 14-Апр-15, 18:09
	freeradius вываливает тонны информации. ты хочешь чтобы тебе тут по трем строчкам причину нашли? телепатов не бывает
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	25. "802.1x"	+/–
	Сообщение от tetst (ok) on 15-Апр-15, 09:03
	> freeradius вываливает тонны информации. ты хочешь чтобы тебе тут по трем строчкам > причину нашли? > телепатов не бывает Он выдал не сильно больше, относительно гото что я привел. Я указал, на то что явно указывает на проблему. Впринципе могу привестиполный вывод.
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	27. "802.1x"	+/–
	Сообщение от tetst (ok) on 15-Апр-15, 16:34
	Проблему с аутентификацией решил так authorize { <------>eap { <------><------>ok = return <------>} <------>files <------>auth_log } и убрал mschap. Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить vlan аутентифицированного порта?
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	28. "802.1x"	+/–
	Сообщение от ShyLion (ok) on 16-Апр-15, 06:59
	>[оверквотинг удален] > authorize { > <------>eap { > <------><------>ok = return > <------>} > <------>files > <------>auth_log > } > и убрал mschap. > Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить > vlan аутентифицированного порта? ты же делал уже: rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111 Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "1"
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору


	29. "802.1x"	+/–
	Сообщение от tetst (ok) on 16-Апр-15, 08:04
	>[оверквотинг удален] >> <------>auth_log >> } >> и убрал mschap. >> Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить >> vlan аутентифицированного порта? > ты же делал уже: > rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111 > Tunnel-Type:0 = VLAN > Tunnel-Medium-Type:0 = IEEE-802 > Tunnel-Private-Group-Id:0 = "1" я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый влан назначается
	Ответить \| Правка \| ^ к родителю #28 \| Наверх \| Cообщить модератору


	30. "802.1x"	+/–
	Сообщение от ShyLion (??) on 16-Апр-15, 11:17
	>[оверквотинг удален] >>> и убрал mschap. >>> Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить >>> vlan аутентифицированного порта? >> ты же делал уже: >> rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111 >> Tunnel-Type:0 = VLAN >> Tunnel-Medium-Type:0 = IEEE-802 >> Tunnel-Private-Group-Id:0 = "1" > я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый > влан назначается а вилан такой есть вообще на свиче? и как ты проверяешь назначение вилана?
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору