URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1680
[ Назад ]

Исходное сообщение
"802.1x"
Отправлено tetst , 13-Апр-15 12:26

День добрый. настраиваю, а заодно и изучаю, протокол 802.1x на коммутаторе cisco 2950 (Version 12.1(22)EA14), в качестве сервера использую freeradius (FreeRADIUS Version 2.1.12) на ubuntu (серверная, последняя). Ubuntu поднята на виртуалке.
настройки циско:
aaa new-model
aaa authentication dot1x group group radius
aaa authorization network default group radius
dot1x system-auth-control
interface FastEthernet0/18 (смотрит в сторону сервера)
switchport mode access
!
interface FastEthernet0/19
switchport mode access
dot1x port-control auto
dot1x timeout tx-period 10
dot1x timeout reauth-period 3
dot1x guest-vlan 150
spanning-tree portfast
!
interface FastEthernet0/20
switchport mode access
dot1x port-control auto
dot1x timeout tx-period 10
dot1x timeout reauth-period 3
dot1x guest-vlan 150
spanning-tree portfast
!
interface FastEthernet0/21
switchport mode access
dot1x port-control auto
dot1x timeout tx-period 10
dot1x timeout reauth-period 3
dot1x guest-vlan 150
spanning-tree portfast

radius-server host 10.95.46.227 auth-port 1812 acct-port 1813
radius-server retransmit 3
radius-server key testing123
Но никаких обращений к серверу не происходит. Вопрос где ошибка?

Содержание

802.1x,tetst, 13:58 , 13-Апр-15
- 802.1x,cant, 17:15 , 13-Апр-15
  - 802.1x,ShyLion, 06:45 , 14-Апр-15
  - 802.1x,tetst, 09:42 , 14-Апр-15
802.1x,ShyLion, 06:46 , 14-Апр-15
802.1x,tetst, 10:58 , 14-Апр-15
- 802.1x,VolanD, 11:41 , 14-Апр-15
  - 802.1x,tetst, 12:28 , 14-Апр-15
    - 802.1x,ShyLion, 12:58 , 14-Апр-15
      - 802.1x,tetst, 13:09 , 14-Апр-15
        
        802.1x,VolanD, 13:23 , 14-Апр-15
        
        802.1x,tetst, 13:37 , 14-Апр-15
        
        802.1x,ShyLion, 15:37 , 14-Апр-15
        
        802.1x,tetst, 15:55 , 14-Апр-15
        
        802.1x,ShyLion, 18:08 , 14-Апр-15
        
        802.1x,tetst, 09:50 , 15-Апр-15
    - 802.1x,fantom, 13:54 , 14-Апр-15
      - 802.1x,tetst, 14:40 , 14-Апр-15
        
        802.1x,fantom, 14:42 , 14-Апр-15
        
        802.1x,tetst, 14:45 , 14-Апр-15
802.1x,VolanD, 13:58 , 14-Апр-15
- 802.1x,tetst, 14:42 , 14-Апр-15
  - 802.1x,ShyLion, 15:35 , 14-Апр-15
    - 802.1x,tetst, 15:59 , 14-Апр-15
      - 802.1x,ShyLion, 18:09 , 14-Апр-15
        
        802.1x,tetst, 09:03 , 15-Апр-15
      - 802.1x,tetst, 16:34 , 15-Апр-15
        
        802.1x,ShyLion, 06:59 , 16-Апр-15
        
        802.1x,tetst, 08:04 , 16-Апр-15
        
        802.1x,ShyLion, 11:17 , 16-Апр-15
        
        802.1x,tetst, 13:14 , 16-Апр-15
        
        802.1x,ShyLion, 14:58 , 16-Апр-15
        
        802.1x,tetst, 15:08 , 16-Апр-15

Сообщения в этом обсуждении

"802.1x"
Отправлено tetst , 13-Апр-15 13:58

в логах такая запись присутствует

AAA/AUTHEN/START (2793293335): port='FastEthernet0/19' list='Dot1x Acc List' action=LOGIN service=802.1x
AAA/AUTHEN/START (2793293335): non console login - defaults to local database
AAA/AUTHEN/START (2793293335): Method=LOCAL
AAA/AUTHEN (2793293335): User not found, end of method list
00:05:06: AAA/AUTHEN (2793293335): status = FAIL
00:05:06: dot1x-err:Dot1x Authentication failed (AAA_AUTHEN_STATUS_FAIL)

Я так понимаю циска за парой логин/пароль не на радиус лезет, а ищет у себя локально?
Почему? если указано aaa authentication dot1x group group radius

"802.1x"
Отправлено cant , 13-Апр-15 17:15

> Почему? если указано aaa authentication dot1x group group radius
... group group ... А это как синтаксисом команды истолковывается?
И оно так съедает?

"802.1x"
Отправлено ShyLion , 14-Апр-15 06:45

>> Почему? если указано aaa authentication dot1x group group radius
> ... group group ... А это как синтаксисом команды истолковывается?
> И оно так съедает?
У него два отдельных метода аторизации, один с именем "group"

"802.1x"
Отправлено tetst , 14-Апр-15 09:42

> ... group group ... А это как синтаксисом команды истолковывается?
> И оно так съедает?
если не указывать default оно само в такой вид приходит

"802.1x"
Отправлено ShyLion , 14-Апр-15 06:46

> aaa authentication dot1x group group radius
тут ошибка.
нужно:
aaa authentication dot1x default group radius

"802.1x"
Отправлено tetst , 14-Апр-15 10:58

ошибку с методом исправил (как писали выше). теперь в логах видно обращение к радиус серверу, но аутентификация не проходит.

статус порта


S1(config)#do sh dot1x int f0/21
Supplicant MAC <Not Applicable>
AuthSM State          = CONNECTING
BendSM State          = IDLE
Posture               = N/A
PortStatus            = UNAUTHORIZED
MaxReq                = 2
MaxAuthReq            = 2
HostMode              = Single
Port Control          = Auto
ControlDirection      = Both
QuietPeriod           = 60 Seconds
Re-authentication     = Disabled
ReAuthPeriod          = 3 Seconds
ServerTimeout         = 30 Seconds
SuppTimeout           = 30 Seconds
TxPeriod              = 10 Seconds
Guest-Vlan            = 150
AuthFail-Vlan         = 0
AuthFail-Max-Attempts = 3

"802.1x"
Отправлено VolanD , 14-Апр-15 11:41

>[оверквотинг удален]
> ServerTimeout         = 30 Seconds
> SuppTimeout           =
> 30 Seconds
> TxPeriod
>   = 10 Seconds
> Guest-Vlan
> = 150
> AuthFail-Vlan         = 0
> AuthFail-Max-Attempts = 3
>
А что радиус то говорит?

"802.1x"
Отправлено tetst , 14-Апр-15 12:28

> А что радиус то говорит?
Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network port 50021 cli 18-03-73-A6-0B-81)
настройки users
test<-->User-Password := "test"
<------>Framed-IP-Address = 192.168.2.5,
<------>Framed-IP-Netmask = 255.255.255.0,
<------>NAS-IP-Address = 10.95.46.230 (адрес циски)
<------>Tunnel-Type = 13,
<------>Tunnel-Medium-Type = 6,
<------>Tunnel-Private-Group-Id = 1

"802.1x"
Отправлено ShyLion , 14-Апр-15 12:58

>
test<-->User-Password := "test"
> <------>Framed-IP-Address = 192.168.2.5,
> <------>Framed-IP-Netmask = 255.255.255.0,
> <------>NAS-IP-Address = 10.95.46.230 (адрес циски)
>

На кой болт эта инфа каталисту, интересно?
radiusd -X

"802.1x"
Отправлено tetst , 14-Апр-15 13:09

>>
test<-->User-Password := "test"
>> <------>Framed-IP-Address = 192.168.2.5,
>> <------>Framed-IP-Netmask = 255.255.255.0,
>> <------>NAS-IP-Address = 10.95.46.230 (адрес циски)
>>

> На кой болт эта инфа каталисту, интересно?
> radiusd -X
ну с NAS-IP-Address = 10.95.46.230 - это в качестве экспериметна добавлено.
А Framed-IP-Address - сообщает адрес, который будит настроен у пользователя. Разве нет?

"802.1x"
Отправлено VolanD , 14-Апр-15 13:23

>>>
test<-->User-Password := "test"
>>> <------>Framed-IP-Address = 192.168.2.5,
>>> <------>Framed-IP-Netmask = 255.255.255.0,
>>> <------>NAS-IP-Address = 10.95.46.230 (адрес циски)
>>>

>> На кой болт эта инфа каталисту, интересно?
>> radiusd -X
> ну с NAS-IP-Address = 10.95.46.230 - это в качестве экспериметна добавлено.
> А Framed-IP-Address - сообщает адрес, который будит настроен у пользователя. Разве нет?
dot1x и настройка адреса?

"802.1x"
Отправлено tetst , 14-Апр-15 13:37

>>>>
test<-->User-Password := "test"
>>>> <------>Framed-IP-Address = 192.168.2.5,
>>>> <------>Framed-IP-Netmask = 255.255.255.0,
>>>> <------>NAS-IP-Address = 10.95.46.230 (адрес циски)
>>>>

>>> На кой болт эта инфа каталисту, интересно?
>>> radiusd -X
>> ну с NAS-IP-Address = 10.95.46.230 - это в качестве экспериметна добавлено.
>> А Framed-IP-Address - сообщает адрес, который будит настроен у пользователя. Разве нет?
> dot1x и настройка адреса?
А что разве радиус не может передать ip адрес?
Удаление этих строк никакого эффекта не дает

"802.1x"
Отправлено ShyLion , 14-Апр-15 15:37

> А что разве радиус не может передать ip адрес?
> Удаление этих строк никакого эффекта не дает
Каталисту глубоко фиолетово на IP адрес, он L2 устройтво. Клиенту радиус ответ в 802х не передается никак.

"802.1x"
Отправлено tetst , 14-Апр-15 15:55

> Клиенту радиус ответ в 802х не передается никак.
Вот этого предложения не понял

"802.1x"
Отправлено ShyLion , 14-Апр-15 18:08

>> Клиенту радиус ответ в 802х не передается никак.
> Вот этого предложения не понял
саппликант только предоставляет информацию для прохождения процедур аутентификации и авторизации. При этом радиус аттрибуты ходят между каталистом и радиусом. Каталист свитч, ему информация о IP адресе не нужна, это не PPP соединение.

"802.1x"
Отправлено tetst , 15-Апр-15 09:50

>>> Клиенту радиус ответ в 802х не передается никак.
>> Вот этого предложения не понял
> саппликант только предоставляет информацию для прохождения процедур аутентификации и
> авторизации. При этом радиус аттрибуты ходят между каталистом и радиусом. Каталист
> свитч, ему информация о IP адресе не нужна, это не PPP
> соединение.
Даже если убрать эти сторчки, аутентификация проходит неудачно

"802.1x"
Отправлено fantom , 14-Апр-15 13:54

>> А что радиус то говорит?
> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network
> port 50021 cli 18-03-73-A6-0B-81)
т.е. " Login incorrect:.... " вас не настораживает??

"802.1x"
Отправлено tetst , 14-Апр-15 14:40

>>> А что радиус то говорит?
>> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network
>> port 50021 cli 18-03-73-A6-0B-81)
> т.е. " Login incorrect:.... " вас не настораживает??
настрораживает, но я что-то не понимаю, где делаются настройки это затрагивающие. Cisco ведь получается NASом?

"802.1x"
Отправлено fantom , 14-Апр-15 14:42

>>>> А что радиус то говорит?
>>> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network
>>> port 50021 cli 18-03-73-A6-0B-81)
>> т.е. " Login incorrect:.... " вас не настораживает??
> настрораживает, но я что-то не понимаю, где делаются настройки это затрагивающие. Cisco
> ведь получается NASом?
Password - на радиусе должен быть, ему же надо с чем-то сверять то, что прилетит с клиента....

"802.1x"
Отправлено tetst , 14-Апр-15 14:45

>>>>> А что радиус то говорит?
>>>> Auth: Login incorrect: [test/<no User-Password attribute>] (from client test-network
>>>> port 50021 cli 18-03-73-A6-0B-81)
>>> т.е. " Login incorrect:.... " вас не настораживает??
>> настрораживает, но я что-то не понимаю, где делаются настройки это затрагивающие. Cisco
>> ведь получается NASом?
> Password - на радиусе должен быть, ему же надо с чем-то сверять
> то, что прилетит с клиента....
да понятно, что на радиусе. в каком конкретно конфигурационном файле?

"802.1x"
Отправлено VolanD , 14-Апр-15 13:58

Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией...

"802.1x"
Отправлено tetst , 14-Апр-15 14:42

> Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией...
Пока идет процесс вникания в технологию (изучение). Клиент под вин7

"802.1x"
Отправлено ShyLion , 14-Апр-15 15:35

>> Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией...
> Пока идет процесс вникания в технологию (изучение). Клиент под вин7
С точки зрения технологии, каталист самое простое, он просто посредник в EAP.
Через него суппликант (клиентское устройство) общается с радиусом.
Протоколов авторизации через EAP - херова гора.
В твоем случае EAP-PEAP с MSCHAPv2.
как я написал выше - дебаж на радиусе "radiusd -X", там будет ВСЕ написано.

"802.1x"
Отправлено tetst , 14-Апр-15 15:59

>>> Ну и, кстати, на WinXP клиентах напляшетесь вы с этой авторизацией...
>> Пока идет процесс вникания в технологию (изучение). Клиент под вин7
> С точки зрения технологии, каталист самое простое, он просто посредник в EAP.
> Через него суппликант (клиентское устройство) общается с радиусом.
> Протоколов авторизации через EAP - херова гора.
> В твоем случае EAP-PEAP с MSCHAPv2.
> как я написал выше - дебаж на радиусе "radiusd -X", там будет
> ВСЕ написано.
вот дебаг радиуса.
++[auth_log] returns ok
ERROR: No authenticate method (Auth-Type) found for the request: Rejecting the user
Failed to authenticate the user.
Login incorrect: [test/<no User-Password attribute>] (from client test-network port 50019 cli 18-03-73-A6-0B-81)
Using Post-Auth-Type Reject
Но в нем больше вопросов, чем ответов (пока).
Вопрос:Циска, как аутентификатор, в настройках радиуса никаким образом не присутствует?
UPD
radtest нормально отрабатывает
# radtest -x -t mschap test test  10.95.46.227 1812 testing123
Sending Access-Request of id 106 to 10.95.46.227 port 1812
        User-Name = "test"
        NAS-IP-Address = 127.0.1.1
        NAS-Port = 1812
        Message-Authenticator = 0x00000000000000000000000000000000
        MS-CHAP-Challenge = 0x8a5694309810f31d
        MS-CHAP-Response = 0x00010000000000000000000000000000000000000000000000004e69814c48e29a469e45bc9028072a0da64d65cc95cfb668
rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
        Tunnel-Type:0 = VLAN
        Tunnel-Medium-Type:0 = IEEE-802
        Tunnel-Private-Group-Id:0 = "1"
        Framed-IP-Address = 192.168.2.5
        Framed-IP-Netmask = 255.255.255.0
        MS-CHAP-MPPE-Keys = 0x01fc5a6be7bc69292066656e05c22f3a995ad9ecfed913d60000000000000000
        MS-MPPE-Encryption-Policy = 0x00000002
        MS-MPPE-Encryption-Types = 0x00000004

"802.1x"
Отправлено ShyLion , 14-Апр-15 18:09

freeradius вываливает тонны информации. ты хочешь чтобы тебе тут по трем строчкам причину нашли?
телепатов не бывает

"802.1x"
Отправлено tetst , 15-Апр-15 09:03

> freeradius вываливает тонны информации. ты хочешь чтобы тебе тут по трем строчкам
> причину нашли?
> телепатов не бывает
Он выдал не сильно больше, относительно гото что я привел. Я указал, на то что явно указывает на проблему. Впринципе могу привестиполный вывод.

"802.1x"
Отправлено tetst , 15-Апр-15 16:34

Проблему с аутентификацией решил так
authorize {
<------>eap {
<------><------>ok = return
<------>}
<------>files
<------>auth_log
}

и убрал mschap.
Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить vlan аутентифицированного порта?

"802.1x"
Отправлено ShyLion , 16-Апр-15 06:59

>[оверквотинг удален]
>
authorize {
> <------>eap {
> <------><------>ok = return
> <------>}
> <------>files
> <------>auth_log
> }

> и убрал mschap.
> Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить
> vlan аутентифицированного порта?
ты же делал уже:
rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
        Tunnel-Type:0 = VLAN
        Tunnel-Medium-Type:0 = IEEE-802
        Tunnel-Private-Group-Id:0 = "1"

"802.1x"
Отправлено tetst , 16-Апр-15 08:04

>[оверквотинг удален]
>> <------>auth_log
>> }
>> и убрал mschap.
>> Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить
>> vlan аутентифицированного порта?
> ты же делал уже:
> rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
>         Tunnel-Type:0 = VLAN
>         Tunnel-Medium-Type:0 = IEEE-802
>         Tunnel-Private-Group-Id:0 = "1"
я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый влан назначается

"802.1x"
Отправлено ShyLion , 16-Апр-15 11:17

>[оверквотинг удален]
>>> и убрал mschap.
>>> Порт теперь в аутентифицированном состоянии, но влан остался первым. Можно ли изменить
>>> vlan аутентифицированного порта?
>> ты же делал уже:
>> rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
>>         Tunnel-Type:0 = VLAN
>>         Tunnel-Medium-Type:0 = IEEE-802
>>         Tunnel-Private-Group-Id:0 = "1"
> я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый
> влан назначается
а вилан такой есть вообще на свиче?
и как ты проверяешь назначение вилана?

"802.1x"
Отправлено tetst , 16-Апр-15 13:14

>[оверквотинг удален]
>>>> vlan аутентифицированного порта?
>>> ты же делал уже:
>>> rad_recv: Access-Accept packet from host 10.95.46.227 port 1812, id=106, length=111
>>>         Tunnel-Type:0 = VLAN
>>>         Tunnel-Medium-Type:0 = IEEE-802
>>>         Tunnel-Private-Group-Id:0 = "1"
>> я потом поменял Tunnel-Private-Group-Id:0 = "101", но порт все равно в первый
>> влан назначается
> а вилан такой есть вообще на свиче?
> и как ты проверяешь назначение вилана?
sh vlan id 101VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
101  test_802.1x                      active

"802.1x"
Отправлено ShyLion , 16-Апр-15 14:58

>[оверквотинг удален]
>

sh vlan id 101 
> VLAN Name           
>            
>        Status    
> Ports 
> ---- -------------------------------- --------- ------------------------------- 
> 101  test_802.1x          
>            
>  active 
>

не уверен что вывод этой команды покажет динамическое назначение в вилан
по траффику проверял?

"802.1x"
Отправлено tetst , 16-Апр-15 15:08

>[оверквотинг удален]
>>
>>        Status
>> Ports
>> ---- -------------------------------- --------- -------------------------------
>> 101  test_802.1x
>>
>>  active
>>
> не уверен что вывод этой команды покажет динамическое назначение в вилан
> по траффику проверял?
а почему нет? по крайней мере назначение в гостевой влан показывает.
Да трафик проходит, по крайней мере могу пинговать хосты в первом влане