Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

dell powerconnect + freeradius i 802.1x

70 views
Skip to first unread message

Tomek

unread,
Sep 25, 2010, 4:04:46 AM9/25/10
to

Czesc

Mecze sie troche ze switchami Dell'a. Probuje ustawiac im vlan na
ppodstawie wpisu we freeradiusie. Te same ustawienia dzialaja na duzo
tanszym Dlinku a na Dell'u jest opor. Co ciekawe autoryzacja przechodzi,
dziala nawet guest vlan i unauthorized vlan, natomiast po prawnej
autoryzacji nie potrafi przydzielic vlan'u. Zmienialem typ portu:
general, access, zmeinialem tez szyfrowanie pomiedzy radiusem i switchem
i tez bez efektu. Czy komus to dziala na freeradiusie ?


pozdrawiam
Tomek

plik users z freeradius2

felek6 Cleartext-Password := "felek6"
Service-Type := Framed,
Tunnel-Type := VLAN,
Tunnel-Medium-Type := 802,
Tunnel-Private-Group-ID := 300

config powerconnecta 54xx 62xx :

dot1x system-auth-control
aaa authentication dot1x default radius
radius-server host auth 10.8.1.245
name "Default-RADIUS-Server"
key "secret"

interface ethernet 1/g10
spanning-tree portfast
switchport mode general
dot1x guest-vlan 158
dot1x unauth-vlan 301


interface ethernet 1/g18
switchport access vlan 107
description serwer freeradius2
dot1x port-control force-authorized
exit


logi z radiusa, autoryzacja jest ok.

Fri Sep 24 18:26:57 2010 : Auth: Login OK: [felek6] (from client client1
port 10 cli 00:0a:e4:ba:eb:4a via TLS tunnel)
Fri Sep 24 18:26:57 2010 : Auth: Login OK: [felek6] (from client client1
port 10 cli 00:0a:e4:ba:eb:4a)


konsola na switchu wypluwa takie rzeczy:

<189> APR 22 11:20:51 10.138.1.146-1 TRAPMGR[152288976]: traputil.c(611)
865 %% Link Up: 1/0/10

<190> APR 22 11:20:57 10.138.1.146-1 UNKN[126427808]: radius_api.c(1058)
866 %% RADIUS: radiusAccountingNamedStart(): Could not get atleast one
named Server'


<190> APR 22 11:20:57 10.138.1.146-1 UNKN[126427808]:
dot1x_radius.c(1128) 867 %% dot1xRadiusAccountingStart: error calling
radiusAccountingStart, ifIndex=10


<189> APR 22 11:20:57 10.138.1.146-1 TRAPMGR[152288976]: traputil.c(611)
868 %% 1/0/10 status is authorized

mHuba

unread,
Sep 26, 2010, 4:44:23 AM9/26/10
to
Witam, może warto konfigurować zgodnie z instrukcją
http://www.dell.com/downloads/global/products/pwcnt/en/5324_auth_using_winxp.pdf

Tam np. port jest skonfigurowany jak poniżej:

console(config)# interface ethernet g10
console(config-if)# dot1x port-control auto

A u ciebie jest coś takiego:

interface ethernet 1/g10
spanning-tree portfast
switchport mode general
dot1x guest-vlan 158
dot1x unauth-vlan 301


Pozdrawiam
hm

Tomek

unread,
Sep 27, 2010, 3:42:40 PM9/27/10
to
W dniu 2010-09-26 10:44, mHuba pisze:

> On 25 Wrz, 10:04, Tomek<tomek_w_1...@--usunto---gazeta.pl> wrote:
>> Czesc
>>

> Witam, może warto konfigurować zgodnie z instrukcją


> http://www.dell.com/downloads/global/products/pwcnt/en/5324_auth_using_winxp.pdf
>
> Tam np. port jest skonfigurowany jak poniżej:
>
> console(config)# interface ethernet g10
> console(config-if)# dot1x port-control auto
>
> A u ciebie jest coś takiego:
>
> interface ethernet 1/g10
> spanning-tree portfast
> switchport mode general
> dot1x guest-vlan 158
> dot1x unauth-vlan 301
>
>
> Pozdrawiam
> hm

Czesc

ustawienia portu sa ok, jest jakis problem z komunikacja pomiedzy
radiusem a switchem. Do tej pory testowalem eap/peap teraz zmienilem na
eap-md5. Po poprawnej autoryzacji, radius wysyla info min o vlanie:


radiusd -X mowi tak:

[eap] Request found, released from the list
[eap] EAP/md5
[eap] processing type md5
[eap] Freeing handler
++[eap] returns ok


Login OK: [felek6] (from client client1 port 10 cli 00:0a:e4:ba:eb:4a)

+- entering group post-auth {...}
++[exec] returns noop
Sending Access-Accept of id 209 to 10.8.1.146 port 49152
Service-Type = Framed-User
Framed-MTU = 1514
Tunnel-Type:0 := VLAN
Tunnel-Medium-Type:0 := IEEE-802
Tunnel-Private-Group-Id:0 := "58"
EAP-Message = 0x03020004
Message-Authenticator = 0x00000000000000000000000000000000
User-Name = "felek6"


switch na konsoli caly czas wypluwa te same bledy, nie zmienia vlanu.
Nie robi mo roznicy czy port jest w trybie access czy general. Jutro
bede testowal innego radiusa, niestety ten przykladowy z pdf'a zostal
juz przejety przez Junipera i skomercjalizowany. Poszukam czegos
freeware'owego.


mHuba

unread,
Sep 27, 2010, 6:51:49 PM9/27/10
to
Witam
To co wypluwa switch to nie są błędy tylko pewnie nie masz
skonfigurowanego serwera do "Accountingu", do prawidłowego działania
wcale ich nie potrzebujesz.
Jak możesz włącz debug protokołu 802.1x i radius na switchu i zrób
analizę.
Jeżeli piszesz że autoryzacja przebiega pomyślnie tylko nie potrafi
przydzielić VLANu to problem może być w formacie parametru.
Wiem ze radius może zwracać parametry z ID VLANu typu string lub
integer.
Z komunikacją pomiędzy switchem a radiusem też wszystko jest OK bo jak
widzisz problem leży tylko w przydzielaniu do właściwego VLANu.
Również pisałeś że z dlinkiem działało OK to dlaczego obwiniasz
serwer ? Moim zdaniem wina leży po stronie konfiguracyjnej switcha.

Pozdrawiam
hm

0 new messages