The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"802.1x и NPS"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Изначальное сообщение [ Отслеживать ]

"802.1x и NPS"  +/
Сообщение от Majestyk (ok), 09-Ноя-18, 12:14 
День добрый. Настраиваю 802.1x на коммутаторе cisco 2960. Radius настроен на NPS (2012 R2).
Вообщем суть проблемы в том, что не назначается vlan после аутентификации (Vlan Group:  N/A). Уже незнаю в какую сторону рыть.

Interface:  FastEthernet0/1
          MAC Address:  e0d5.5e5d.5099
           IP Address:  Unknown
            User-Name:  user@domain.local
               Status:  Authz Success
               Domain:  DATA
       Oper host mode:  multi-domain
     Oper control dir:  both
        Authorized By:  Authentication Server
           Vlan Group:  N/A
      Session timeout:  3600s (local), Remaining: 3525s
       Timeout action:  Reauthenticate
         Idle timeout:  N/A
    Common Session ID:  0AC80C6C00000037041F856A
      Acct Session ID:  0x00000042
               Handle:  0x1C000037

Runnable methods list:
       Method   State
       dot1x    Authc Success

Вот настройки порта

interface FastEthernet0/1
switchport mode access
authentication host-mode multi-domain
authentication open
authentication port-control auto
authentication periodic
dot1x pae authenticator
dot1x timeout quiet-period 10
dot1x timeout server-timeout 5
dot1x timeout tx-period 5
spanning-tree portfast

Со стороны сервера NPS выставлены такие параметры:
Framed-MTU: 1344
Tunnel-Medium-Type: 802
Tunnel_Pvt-Group-ID: 5
Tunnel-Type: VLAN
Tunnel-Tag:5

Аутентификация настроена EAP (PEAP), сертификаты у всех есть.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "802.1x и NPS"  +/
Сообщение от ShyLion (ok), 09-Ноя-18, 13:23 
дурацкий вопрос - вилан 5 есть на свиче? :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "802.1x и NPS"  +/
Сообщение от Majestyk (ok), 09-Ноя-18, 13:56 
> дурацкий вопрос - вилан 5 есть на свиче? :)

Конечно есть. Для проверки на другом порту его назначал и тыкал туда ПК, и всё норм было (без 802.1х на том порту)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "802.1x и NPS"  +1 +/
Сообщение от ShyLion (ok), 12-Ноя-18, 08:23 
>> дурацкий вопрос - вилан 5 есть на свиче? :)
> Конечно есть. Для проверки на другом порту его назначал и тыкал туда
> ПК, и всё норм было (без 802.1х на том порту)

Вот мои эксперименты с dot1x, сразу скажу что в продакшен не пошло, хотелось сделать зависимый от пользователя доступ, а работает это плохо, по крайней мере мне на 7-ке не понравилось с этим жить.


macro name dot1x
authentication event fail action authorize vlan 16
authentication event no-response action authorize vlan 16
authentication port-control auto
dot1x pae authenticator
dot1x timeout tx-period 5
dot1x max-req 1
dot1x max-reauth-req 1
@
!
aaa new-model
!
!
aaa group server radius 8021x
server-private 10.131.10.180 auth-port 1812 acct-port 1813 key 7 xxxx
!
aaa authentication dot1x default group 8021x
aaa authorization network default group 8021x
aaa accounting dot1x default start-stop group 8021x
!
dot1x system-auth-control
dot1x guest-vlan supplicant
!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "802.1x и NPS"  +/
Сообщение от Majestyk (ok), 13-Ноя-18, 10:54 
>[оверквотинг удален]
>  server-private 10.131.10.180 auth-port 1812 acct-port 1813 key 7 xxxx
> !
> aaa authentication dot1x default group 8021x
> aaa authorization network default group 8021x
> aaa accounting dot1x default start-stop group 8021x
> !
> dot1x system-auth-control
> dot1x guest-vlan supplicant
> !
>

это на какой cisco проводили эксперимент? у меня на 2960 всё отлично проходит, а вот на 3750 проблемы, не авторизует порт, при выводе debug dot1x errors пишет:


4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.200.127:1812,1813 is not responding.
4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.200.127:1812,1813 has returned.

shared key совпадает, радиус пингует, 2960 (на котором работает) изначально работает через эту 3750, тобеж vlanы есть
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "802.1x и NPS"  +/
Сообщение от ShyLion (ok), 13-Ноя-18, 11:37 
> это на какой cisco проводили эксперимент? у меня на 2960 всё отлично

на 2960 и 3560

> проходит, а вот на 3750 проблемы, не авторизует порт, при выводе
> debug dot1x errors пишет:
>

 
> 4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.200.127:1812,1813 is not responding.
> 4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.200.127:1812,1813 has returned.
>

> shared key совпадает, радиус пингует, 2960 (на котором работает) изначально работает через
> эту 3750, тобеж vlanы есть

а на радиусе этот свитч прописан?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "802.1x и NPS"  +/
Сообщение от Majestyk (ok), 13-Ноя-18, 12:57 
>[оверквотинг удален]
> на 2960 и 3560
>> проходит, а вот на 3750 проблемы, не авторизует порт, при выводе
>> debug dot1x errors пишет:
>>
 
>> 4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.200.127:1812,1813 is not responding.
>> 4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.200.127:1812,1813 has returned.
>>

>> shared key совпадает, радиус пингует, 2960 (на котором работает) изначально работает через
>> эту 3750, тобеж vlanы есть
> а на радиусе этот свитч прописан?

да, клиента там добавлял. разница вот в том, что там синтаксис команд другой, версия IOS - 12.2(18)SE1

тут к примеру тот же самый

authentication port-control auto
это
dot1x port-control auto

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "802.1x и NPS"  +/
Сообщение от Majestyk (ok), 13-Ноя-18, 13:41 
>[оверквотинг удален]
> на 2960 и 3560
>> проходит, а вот на 3750 проблемы, не авторизует порт, при выводе
>> debug dot1x errors пишет:
>>
 
>> 4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.200.127:1812,1813 is not responding.
>> 4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.200.127:1812,1813 has returned.
>>

>> shared key совпадает, радиус пингует, 2960 (на котором работает) изначально работает через
>> эту 3750, тобеж vlanы есть
> а на радиусе этот свитч прописан?

вот основные настройки


aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
!
vlan 5
name Office

interface GigabitEthernet1/0/13
description Test
switchport mode access
dot1x pae authenticator
dot1x port-control auto
dot1x max-reauth-req 3
dot1x reauthentication
spanning-tree portfast
!
interface GigabitEthernet1/0/15
description Uplink Trunk
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,6,12,95,96
switchport mode trunk
no keepalive
!
interface Vlan12
description Manage
ip address 10.10.12.104 255.255.255.0
!
ip default-gateway 10.10.12.1
!
ip radius source-interface Vlan12
!
radius-server host 10.10.12.127 auth-port 1812 acct-port 1813 key 7 111B18011E0718


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "802.1x и NPS"  +/
Сообщение от ShyLion (ok), 13-Ноя-18, 14:16 
> вот основные настройки

ну, судя по гайду вроде все правильно

а на радуис-то улетают запросы?

debug radius

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "802.1x и NPS"  +/
Сообщение от Majestyk (ok), 13-Ноя-18, 14:43 
>> вот основные настройки
> ну, судя по гайду вроде все правильно
> а на радуис-то улетают запросы?
> debug radius

запросы летят...


4w1d: RADIUS:  AAA Unsupported     [161] 21
4w1d: RADIUS:   47 69 67 61 62 69 74 45 74 68 65 72 6E 65 74 31  [GigabitEthernet1]
4w1d: RADIUS:   2F 30 2F                                         [/0/]
4w1d: RADIUS(00000019): Storing nasport 50113 in rad_db
4w1d: RADIUS(00000019): Config NAS IP: 10.10.12.104
4w1d: RADIUS/ENCODE(00000019): acct_session_id: 28573696
4w1d: RADIUS(00000019): sending
4w1d: RADIUS(00000019): Send Access-Request to 10.10.12.127:1812 id 21645/80, len 169
4w1d: RADIUS:  authenticator 5D 21 F5 56 A0 6A 27 27 - DA F8 FA BE BD 22 D8 39
4w1d: RADIUS:  User-Name           [1]   29  "user@domain.local"
4w1d: RADIUS:  Service-Type        [6]   6   Framed                    [2]
4w1d: RADIUS:  Framed-MTU          [12]  6   1998
4w1d: RADIUS:  Called-Station-Id   [30]  19  "00-14-6A-8C-DE-8D"
4w1d: RADIUS:  Calling-Station-Id  [31]  19  "E0-D5-5E-5D-50-99"
4w1d: RADIUS:  EAP-Message         [79]  34
4w1d: RADIUS:   02 03 00 20 01 72 2E 73 6F 6B 6F 6C 69 6E 73 6B  [??? ?user]
4w1d: RADIUS:   69 79 40 6C 75 67 61 63 6F 6D 2E 6C 6F 63 61 6C  [@domain.local]
4w1d: RADIUS:  Message-Authenticato[80]  18
4w1d: RADIUS:   B9 F6 71 D2 5B E6 A1 83 E5 D2 F3 B2 9D B9 EC C0  [??q?[???????????]
4w1d: RADIUS:  NAS-Port            [5]   6   50113
4w1d: RADIUS:  NAS-Port-Type       [61]  6   Eth                       [15]
4w1d: RADIUS:  NAS-IP-Address      [4]   6   10.10.12.104
4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/80
4w1d: %RADIUS-4-RADIUS_DEAD: RADIUS server 10.10.12.127:1812,1813 is not responding.
4w1d: %RADIUS-4-RADIUS_ALIVE: RADIUS server 10.10.12.127:1812,1813 has returned.
4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/80
4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/80
4w1d: RADIUS: No response from (10.10.12.127:1812,1813) for id 21645/80
4w1d: RADIUS/DECODE: parse response no app start; FAIL
4w1d: RADIUS/DECODE: parse response; FAIL
csc-3750-km_02#
4w1d: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/13, changed state to down
4w1d: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/13, changed state to up
4w1d: RADIUS:  AAA Unsupported     [161] 21
4w1d: RADIUS:   47 69 67 61 62 69 74 45 74 68 65 72 6E 65 74 31  [GigabitEthernet1]
4w1d: RADIUS:   2F 30 2F                                         [/0/]
4w1d: RADIUS(0000001A): Storing nasport 50113 in rad_db
4w1d: RADIUS(0000001A): Config NAS IP: 10.10.12.104
4w1d: RADIUS/ENCODE(0000001A): acct_session_id: 28573696
4w1d: RADIUS(0000001A): sending
4w1d: RADIUS(0000001A): Send Access-Request to 10.10.12.127:1812 id 21645/81, len 169
4w1d: RADIUS:  authenticator 5C 90 AA 04 B8 8A 2B 4D - A7 AB 32 B2 0A 9B B5 DE
4w1d: RADIUS:  User-Name           [1]   29  "user@domain.local"
4w1d: RADIUS:  Service-Type        [6]   6   Framed                    [2]
4w1d: RADIUS:  Framed-MTU          [12]  6   1998
4w1d: RADIUS:  Called-Station-Id   [30]  19  "00-14-6A-8C-DE-8D"
4w1d: RADIUS:  Calling-Station-Id  [31]  19  "E0-D5-5E-5D-50-99"
4w1d: RADIUS:  EAP-Message         [79]  34
4w1d: RADIUS:   02 02 00 20 01 72 2E 73 6F 6B 6F 6C 69 6E 73 6B  [??? ?user]
4w1d: RADIUS:   69 79 40 6C 75 67 61 63 6F 6D 2E 6C 6F 63 61 6C  [@domain.local]
4w1d: RADIUS:  Message-Authenticato[80]  18
4w1d: RADIUS:   4A 00 BD C6 CF DC F6 09 56 F0 EC 02 63 15 92 E7  [J???????V???c???]
4w1d: RADIUS:  NAS-Port            [5]   6   50113
4w1d: RADIUS:  NAS-Port-Type       [61]  6   Eth                       [15]
4w1d: RADIUS:  NAS-IP-Address      [4]   6   10.200.12.104
4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/81
4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/81
4w1d: RADIUS: Retransmit to (10.10.12.127:1812,1813) for id 21645/81
4w1d: RADIUS: No response from (10.10.12.127:1812,1813) for id 21645/81
4w1d: RADIUS/DECODE: parse response no app start; FAIL
4w1d: RADIUS/DECODE: parse response; FAIL

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "802.1x и NPS"  +/
Сообщение от Majestyk (ok), 13-Ноя-18, 16:07 
>> вот основные настройки
> ну, судя по гайду вроде все правильно
> а на радуис-то улетают запросы?
> debug radius

добавил вот такое и cisco увидела таки сервер радиуса, но только одна запись появилась на самом радиусе

aaa group server radius RDS
server 10.200.12.127 auth-port 1812 acct-port 1813

aaa authentication dot1x default group RDS


4w1d: RADIUS:  AAA Unsupported     [161] 21
4w1d: RADIUS:   47 69 67 61 62 69 74 45 74 68 65 72 6E 65 74 31  [GigabitEthernet1]
4w1d: RADIUS:   2F 30 2F                                         [/0/]
4w1d: RADIUS(00000020): Storing nasport 50113 in rad_db
4w1d: RADIUS(00000020): Config NAS IP: 10.200.12.104
4w1d: RADIUS/ENCODE(00000020): acct_session_id: 28573696
4w1d: RADIUS(00000020): sending
4w1d: RADIUS(00000020): Send Access-Request to 10.200.12.127:1812 id 21645/88, len 169
4w1d: RADIUS:  authenticator 8C 9F 00 16 BD B2 43 19 - 4C D4 CD A9 46 43 33 2A
4w1d: RADIUS:  User-Name           [1]   29  "r.sokolinskiy@lugacom.local"
4w1d: RADIUS:  Service-Type        [6]   6   Framed                    [2]
4w1d: RADIUS:  Framed-MTU          [12]  6   1998
4w1d: RADIUS:  Called-Station-Id   [30]  19  "00-14-6A-8C-DE-8D"
4w1d: RADIUS:  Calling-Station-Id  [31]  19  "E0-D5-5E-5D-50-99"
4w1d: RADIUS:  EAP-Message         [79]  34
4w1d: RADIUS:   02 04 00 20 01 72 2E 73 6F 6B 6F 6C 69 6E 73 6B  [??? ?r.sokolinsk]
4w1d: RADIUS:   69 79 40 6C 75 67 61 63 6F 6D 2E 6C 6F 63 61 6C  [iy@lugacom.local]
4w1d: RADIUS:  Message-Authenticato[80]  18
4w1d: RADIUS:   65 D8 9F C2 46 40 F4 E7 67 B6 95 52 35 D4 C4 A9  [e???F@??g??R5???]
4w1d: RADIUS:  NAS-Port            [5]   6   50113
4w1d: RADIUS:  NAS-Port-Type       [61]  6   Eth                       [15]
4w1d: RADIUS:  NAS-IP-Address      [4]   6   10.200.12.104
4w1d: RADIUS: Retransmit to (10.200.12.127:1812,1813) for id 21645/88
4w1d: RADIUS: Retransmit to (10.200.12.127:1812,1813) for id 21645/88
4w1d: RADIUS: Retransmit to (10.200.12.127:1812,1813) for id 21645/88
4w1d: RADIUS: No response from (10.200.12.127:1812,1813) for id 21645/88
4w1d: RADIUS/DECODE: parse response no app start; FAIL
4w1d: RADIUS/DECODE: parse response; FAIL

а это то, что в логе радиуса

Код причины:    49
Причина:    RADUIS-запрос не соответствует каким-либо настроенным политикам запросов на подключение (CRP).

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "802.1x и NPS"  +/
Сообщение от ShyLion (ok), 14-Ноя-18, 12:43 
Очевидно, что проблема не в 802.1x, а в недружбе радиуса и кисы.

Радиус похоже не находит подходящей политки. Вероятно у тебя политика требует наличия/значения каких-то атрибутов, которых нет в запросе. Проверь политику.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "802.1x и NPS"  +/
Сообщение от Majestyk (ok), 14-Ноя-18, 15:25 
обновил 3750 до последней прошивки, Version 12.2(55)SE12 и всё заработало, правда надо поднастроить параметры таймаута

на последней прошивке уже и команды как на 2960 работают

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "802.1x и NPS"  +/
Сообщение от ShyLion (ok), 14-Ноя-18, 16:08 
> обновил 3750 до последней прошивки, Version 12.2(55)SE12 и всё заработало, правда надо
> поднастроить параметры таймаута
> на последней прошивке уже и команды как на 2960 работают

Ждем отчета как оно в длительной эксплаутации. Попробуй винду просто перегрузить, например.
У меня от такого часто впадал процесс в ступор, толи свитч 802.1x не инициировал, толи винда. Лечилось только передергиванием линка.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "802.1x и NPS"  +/
Сообщение от Majestyk (ok), 15-Ноя-18, 10:49 
ну пока после нескольких ребутов работает норм, всё подхватывает, единственное что добавил время на таймауте, чтобы успевал аутентифицировать нормально
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

3. "802.1x и NPS"  +/
Сообщение от ShyLion (ok), 12-Ноя-18, 08:17 
> Вот настройки порта

а где настройки не порта?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "802.1x и NPS"  +/
Сообщение от Majestyk (ok), 12-Ноя-18, 08:29 
>> Вот настройки порта
> а где настройки не порта?

разобрался, спасибо за проявленный интерес к проблеме!

Проблема была в том, что не прописан был параметр:
aaa authorization network default group radius

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "802.1x и NPS"  +/
Сообщение от ShyLion (ok), 12-Ноя-18, 13:17 
>>> Вот настройки порта
>> а где настройки не порта?
> разобрался, спасибо за проявленный интерес к проблеме!
> Проблема была в том, что не прописан был параметр:
> aaa authorization network default group radius

как использовать собираешься? на комп авторизация или на пользователя?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "802.1x и NPS"  +/
Сообщение от Majestyk (ok), 12-Ноя-18, 14:46 
в продакшн, на группы компьютеров будет распространение, vlanы автоматом будут назначаться по департаментам
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "802.1x и NPS"  +/
Сообщение от ShyLion (ok), 12-Ноя-18, 16:06 
> в продакшн, на группы компьютеров будет распространение, vlanы автоматом будут назначаться
> по департаментам

ну если по компам, то наверное взлетит

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

6. "802.1x и NPS"  +/
Сообщение от Majestyk (ok), 12-Ноя-18, 08:35 
Вдруг кому тоже надо будет, то вот основные параметры (Cisco) необходимые для работы:

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
radius-server host 10.10.12.127 auth-port 1812 acct-port 1813 key radius

настройки порта:
switchport mode access
authentication host-mode multi-domain
authentication open
authentication port-control auto
authentication periodic
dot1x pae authenticator
dot1x timeout quiet-period 10
dot1x timeout server-timeout 5
dot1x timeout tx-period 5
spanning-tree portfast

Со стороны NPS

Сертификаты чтобы были на клиентском ПК и сервере NPS

Атрибуты Radius
Framed-MTU: 1344
Tunnel-Medium-Type: 802
Tunnel_Pvt-Group-ID: 5 (номер вашего влана)
Tunnel-Type: VLAN
Tunnel-Tag:1

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "802.1x и NPS"  +/
Сообщение от ShyLion (ok), 12-Ноя-18, 11:58 
> Framed-MTU: 1344

а MTU зачем уменьшать?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "802.1x и NPS"  +/
Сообщение от Majestyk (ok), 12-Ноя-18, 14:55 
>> Framed-MTU: 1344
> а MTU зачем уменьшать?

ну на сайте поддержки "окон" пишут так: To avoid the fragment issues, you can set the attribute value to 1,344.
А ещё и видео где колумбийский товарищ делал такое (по нему изначально всё делал), он тоже использовал этот параметр.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "802.1x и NPS"  +/
Сообщение от ShyLion (ok), 12-Ноя-18, 16:05 
>>> Framed-MTU: 1344
>> а MTU зачем уменьшать?
> ну на сайте поддержки "окон" пишут так: To avoid the fragment issues,
> you can set the attribute value to 1,344.
> А ещё и видео где колумбийский товарищ делал такое (по нему изначально
> всё делал), он тоже использовал этот параметр.

попробуй без

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor