High-Tech Santé Médecine Droit-Finances

Auto-Entrepreneur

Comment faire ?

Rechercher : dans
Par :

Mon radius ne renvoie pas de vlan id

Dernière réponse le 18 mai 2009 à 09:18:42 Haazel, le 11 mai 2009 à 15:31:03 
 Signaler ce message aux modérateurs

Bonjour,

Dans le cadre de mon stage de fin d'étude, je dois mettre en place une authentification radius mac au sein de l'entreprise.

Je dispose pour cela d'un serveur Freeradius et d'un switch Allied Telesis AT-8000GS/48.

Après de nombreux problème de configuration de freeradius, j'ai enfin réussi à lui faire envoyé un access-accept au switch.
Cependant, maintenant c'est le switch qui me rejette puisqu'il ne reçoit pas le vlan id qui est pourtant bien écrit dans mon fichier users:


Switch:

01-Aug-2007 02:38:53 %SEC-W-SUPPLICANTUNAUTHORIZED: MAC 00:08:74:3e:7a:99 was re
jected on port g11 because Radius accept message does not contain VLAN ID


Fichier users:

0008743e7a99 Auth-Type :=Accept, User-Password == "0008743e7a99"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 2


Je ne vois pas de quoi ça peut venir, une aide serait donc la bien venue :)

Configuration: Windows XP
Firefox 3.0.1

Meilleures réponses pour « Mon radius ne renvoie pas de vlan id » dans :
Configurer le nombre de sonneries avant le renvoi sur messagerie VoirProblème Comment configurer le nombre de sonnerie avant le renvoi vers une messagerie sur le service de téléphonie sur IP de Free ? Solution Il faut tout d'abord se rendre sur le site de Free Aller dans la rubrique Mon Compte Se rendre sur...
Télécharger Ezy I-D –ID card badging system Voir
Télécharger ID AntiPopup VoirVotre navigation Web est souvent perturbée par des publicité intempestives ou ce qu’on appelle communément des popups. ID AntiPopup est un outil de filtrage et de blocage de popups intempestives sur Internet. Il fonctionne principalement avec...
Télécharger Advanced ID Creator Professional Voir
VLAN - Réseaux virtuels VoirIntroduction aux VLAN Un VLAN (Virtual Local Area Network ou Virtual LAN, en français Réseau Local Virtuel) est un réseau local regroupant un ensemble de machines de façon logique et non physique. En effet dans un réseau local la communication...
RADIUS VoirIntroduction au protocole RADIUS Le protocole RADIUS (Remote Authentication Dial-In User Service), mis au point initialement par Livingston, est un protocole d'authentification standard, défini par un certain nombre de RFC. Le fonctionnement de...
Posez votre question Répondre

1

Nico le Vosgien, le 11 mai 2009 à 17:59:47

Bonjour,

Quand tu regardes les logs de ton radius : les attributs sont biens envoyes dans la réponse ?

Parfois, c'est le dictionnaire qui n'est pas à jour et qui ne contient pas les attributs en question ...

   
Répondre à Nico le Vosgien

2

Haazel, le 12 mai 2009 à 09:48:46

Dans les logs je n'ai rien de très pertinent... :

"Tue May 12 09:17:03 2009 : Info: Using deprecated naslist file. Support for this will go away soon."


Mais ce que je trouve curieux c'est que si dans mon fichier users , au niveau de l'attribut

"Tunnel-Private-Group-ID ", je met par exemple Tunnel-Private-Group-ID = "Vlan 2"

Mo switch me sort :

"Invalid attribute 81 ignored - wrong length"

Donc le switch reconnait pourtant que "Vlan 2" devrait correspondre a un numéro de vlan.
Pour moi ça veut dire qu'il reçoit bien l'information non?

   
Répondre à Haazel

3

Nico le Vosgien, le 12 mai 2009 à 11:44:41

Logiquement, tu devrais avoir un file log radius qui te log les échanges exactes avec le switch : access-request, response, accounting ....

Mais oui, vu comment ton switch réagit, on peut supposer qu'il reçoit bien l'attribut.

Après, question bête de ma part, tu es bien certain que ces attributs sont gérés/ interprétés par ton switch ?

   
Répondre à Nico le Vosgien

4

Haazel, le 12 mai 2009 à 13:55:36

Normalement je l'ai configuré pour de l'authentification mac et, avec

"dot1x radius-attributes vlan"

dans la config je suppose qu'il s'attend à recevoir des info de la part du radius pour attribuer un vlan...

   
Répondre à Haazel

5

Nico le Vosgien, le 12 mai 2009 à 14:18:31

Et tu es ok au niveau du type de tes attributs ?


Tunnel-Type = VLAN,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 2

t'es bien certain que le medium type est un integer et pas une sring du genre 'IEEE-802' ?

Verifie peut être de ce coté là ...

   
Répondre à Nico le Vosgien

6

Haazel, le 12 mai 2009 à 14:46:23

En fait les 2 fonctionnent, d'ailleurs, quand je met

Tunnel-Medium-Type = 6,

En mode débug radius affiche :


rad_recv: Access-Request packet from host 192.168.254.239:49154, id=0, length=118
NAS-IP-Address = 192.168.254.239
NAS-Port-Type = Ethernet
NAS-Port = 11
User-Name = "0008743e7a99"
Acct-Session-Id = "05000157"
Calling-Station-Id = "00-08-74-3E-7A-99"
EAP-Message = 0x0200001101303030383734336537613939
Message-Authenticator = 0xf6772d56780e0de3672d58d279547e6f
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 5
modcall[authorize]: module "chap" returns noop for request 5
users: Matched entry 0008743e7a99 at line 26
modcall[authorize]: module "files" returns ok for request 5
modcall: leaving group authorize (returns ok) for request 5
rad_check_password: Found Auth-Type Accept
rad_check_password: Auth-Type = Accept, accepting the user
Sending Access-Accept of id 0 to 192.168.254.239 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "3"
Finished request 5
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire request list ---
Cleaning up request 5 ID 0 with timestamp 4a096f4b
Nothing to do. Sleeping until we see a request.

   
Répondre à Haazel

7

Haazel, le 12 mai 2009 à 14:50:28

Je précise que

Tunnel-Private-Group-Id:0 = "3"

dans le mode débug est normal, j'ai remplacé le numéro de vlan "2" par "3" dans users pour tester si le vlan 2 qui est déja guest vlan ne posait pas problème

   
Répondre à Haazel

8

Nico le Vosgien, le 12 mai 2009 à 18:58:09

En effet.

Je ne vois pas trop d'où peut provenir le souci.

Ne connaissant pas du tout ton switch et sa config ...

Tu peux aussi être fasse à un bug : version ? ...etc ...

   
Répondre à Nico le Vosgien

9

Haazel, le 13 mai 2009 à 09:16:31

Version : 1.188.2.4.2.12

et pour la config du switch j'ai ça :

interface range ethernet g(1-12)
spanning-tree cost 100
exit
vlan database
vlan 2-3
exit
interface range ethernet g(21,23)
switchport access vlan 2
exit
interface vlan 3
dot1x auth-not-req
exit
interface vlan 2
dot1x guest-vlan
exit
dot1x system-auth-control
interface range ethernet g(1-12)
dot1x re-authentication
exit
interface range ethernet g(1-12)
dot1x mac-authentication mac-only
exit
interface range ethernet g(1-12)
dot1x radius-attributes vlan
exit
interface range ethernet g(1-12)
dot1x port-control auto
exit
ip dhcp snooping vlan 1
ip dhcp snooping vlan 2
ip dhcp snooping vlan 3
interface ethernet g11
dot1x guest-vlan enable
exit
interface vlan 2
ip address 192.168.254.239 255.255.255.0
exit
ip default-gateway 192.168.254.1
radius-server host 192.168.254.113 key testing
aaa authentication dot1x default radius

   
Répondre à Haazel

10

Nico le Vosgien, le 13 mai 2009 à 19:04:35

Bonjour,

quand je disais ne pas connaître , je parlais du constructeur telesis et donc la config type ;)

Par contre , je vois qu'au niveau aaa tu as

"aaa authentication dot1x default radius"

Tu as essayé d'ajouter en plus l'authorization via radius ?

   
Répondre à Nico le Vosgien

11

Haazel, le 14 mai 2009 à 09:35:30

Ah au temps pour moi^^

Pour ce qui est de "l'authorization", je ne peux pas la configurer. Authentication et accounting oui mais pas authorization...

   
Répondre à Haazel

12

Haazel, le 15 mai 2009 à 14:24:07

C'est bon j'ai trouvé!!! :D

En fait j'ai configuré en eap-md5 et j'ai mis "Auth-type := EAP" et ça marche!!!

Merci pour les conseils^^

   
Répondre à Haazel

13

Nico le Vosgien, le 15 mai 2009 à 22:36:18

Une bonne chose alors ! :)

Pas de quoi : c'est toi qui as trouvé la solution hein !!

   
Répondre à Nico le Vosgien

14

 Haazel, le 18 mai 2009 à 09:18:42

Peut-être mais c'est quand même grâce aux conseils et surtout au soutient moral que j'ai trouvé la solution^^

   
Répondre à Haazel
Posez votre question Répondre
Ils ont besoin de votre aide