RADIUS Fallback Vlan funktioniert nicht

**FireMail** · 2. März 2023

Hi,

ich habe eine funktionierende RADIUS Mac Authentifizierung eingerichtet und ein Fallback VLAN (#99) eingerichtet. Dieses VLAN ist als Guest mit DHCP konfiguriert inkl. entsprechendem Voucer Code Portal.

Wenn ich der MAC des TestPCs das VLAN #99 zuordne, funktioniert das auch tadellos. Wenn ich aber die MAC entferne und den TestPC neu verbinde, bekommt der TestPC vom DHCP des #99 VLAN keine IP zugewiesen. Es greift also nicht wirklich der "Fallback" auf der #99 VLAN? Ich finde auch keine brauchbaren Logs dazu per SSH und stehe etwas an

Danke im Voraus für eure Hilfe

**bic** · 2. März 2023

Zitat von FireMail

Wenn ich aber die MAC entferne und den TestPC neu verbinde, bekommt der TestPC vom DHCP des #99 VLAN keine IP zugewiesen.

Woher weiß der PC, dass er ins #99 Netz soll und wie soll er dies anstellen? (ich frage für einen Freund )

**FireMail** · 2. März 2023

Zitat von bic

Woher weiß der PC, dass er ins #99 Netz soll und wie soll er dies anstellen? (ich frage für einen Freund )

Über den RADIUS Server. Dort den User hinzufügen und das VLAN vergeben sowie Tunnel Type 13, Tunnel Medium Type 6.

Wenn die MAC entfernt ist (also kein Auth per MAC erfolgreich durchgeführt hat), greift das Fallback VLAN (Konfigurierbar unter Settings -> Networks -> Global Switch Settings -> Fallback VLAN bzw. per Switch wenn du Global nicht nutzen willst)

**FireMail** · 2. März 2023

Hier noch ein Auszug aus dem RADIUS Debug, der Non-Auth klappt also, ich finde nur keine Fallback Infos außer dem DEFAULT match

Code

(0) Received Access-Request Id 250 from 10.0.0.201:46504 to 10.0.0.1:1812 length 114
(0)   NAS-IP-Address = 10.0.0.201
(0)   User-Name = "<REDACTED>"
(0)   Called-Station-Id = "<REDACTED2>"
(0)   Calling-Station-Id = "<REDACTED3>"
(0)   User-Password = "<REDACTED>"
(0)   NAS-Port = 5
(0)   NAS-Port-Type = Ethernet
(0)   Framed-MTU = 1522
(0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(0)   authorize {
(0)     policy filter_username {
(0)       if (&User-Name) {
(0)       if (&User-Name)  -> TRUE
(0)       if (&User-Name)  {
(0)         if (&User-Name =~ / /) {
(0)         if (&User-Name =~ / /)  -> FALSE
(0)         if (&User-Name =~ /@[^@]*@/ ) {
(0)         if (&User-Name =~ /@[^@]*@/ )  -> FALSE
(0)         if (&User-Name =~ /\.\./ ) {
(0)         if (&User-Name =~ /\.\./ )  -> FALSE
(0)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))  {
(0)         if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/))   -> FALSE
(0)         if (&User-Name =~ /\.$/)  {
(0)         if (&User-Name =~ /\.$/)   -> FALSE
(0)         if (&User-Name =~ /@\./)  {
(0)         if (&User-Name =~ /@\./)   -> FALSE
(0)       } # if (&User-Name)  = notfound
(0)     } # policy filter_username = notfound
(0)     [preprocess] = ok
(0)     [chap] = noop
(0)     [mschap] = noop
(0)     [digest] = noop
(0) suffix: Checking for suffix after "@"
(0) suffix: No '@' in User-Name = "<REDACTED>", looking up realm NULL
(0) suffix: No such realm "NULL"
(0)     [suffix] = noop
(0) eap: No EAP-Message, not doing EAP
(0)     [eap] = noop
(0) files: users: Matched entry DEFAULT at line 2
(0)     [files] = ok
(0)     [expiration] = noop
(0)     [logintime] = noop
(0) pap: WARNING: No "known good" password found for the user.  Not setting Auth-Type
(0) pap: WARNING: Authentication will fail unless a "known good" password is available
(0)     [pap] = noop
(0)   } # authorize = ok
(0) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject
(0) Failed to authenticate the user
(0) Login incorrect (No Auth-Type found: rejecting the user via Post-Auth-Type = Reject): [<REDACTED>] (from client client-client-<redacted> port 5 cli <REDACTED3>)
(0) Using Post-Auth-Type Reject
(0) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(0)   Post-Auth-Type REJECT {
(0) attr_filter.access_reject: EXPAND %{User-Name}
(0) attr_filter.access_reject:    --> <REDACTED>
(0) attr_filter.access_reject: Matched entry DEFAULT at line 11
(0)     [attr_filter.access_reject] = updated
(0)     [eap] = noop
(0)     policy remove_reply_message_if_eap {
(0)       if (&reply:EAP-Message && &reply:Reply-Message) {
(0)       if (&reply:EAP-Message && &reply:Reply-Message)  -> FALSE
(0)       else {
(0)         [noop] = noop
(0)       } # else = noop
(0)     } # policy remove_reply_message_if_eap = noop
(0)   } # Post-Auth-Type REJECT = updated
(0) Delaying response for 1.000000 seconds
Waking up in 0.3 seconds.
Waking up in 0.6 seconds.
(0) Sending delayed response
(0) Sent Access-Reject Id 250 from 10.0.0.1:1812 to 10.0.0.201:46504 length 20
Waking up in 3.9 seconds.
(0) Cleaning up request packet ID 250 with timestamp +24

Alles anzeigen

Edit: Scheint auch als würde das Fallback VLAN #99 nirgendwo in einer Config definiert:

Code

/etc/freeradius/3.0# grep -rinw ./ -e 'Group-id'
./mods-available/ldap:118:#             reply:Tunnel-Private-Group-ID   := 'radiusTunnelPrivategroupId'
./mods-config/files/authorize:17:        Tunnel-Private-Group-Id = 69

**bic** · 2. März 2023

Zitat von FireMail

Über den RADIUS Server. Dort den User hinzufügen und das VLAN vergeben sowie Tunnel Type 13, Tunnel Medium Type 6.

Ja schön, aber sorry, ich kann mir immer noch nicht vorstellen, wie Du den PC per Benutzerauthentifikation in ein bestimmtes Vlan bugsieren willst, zumal die üblichen PC-NICs nicht Vlan-fähig sind (jetzt frage ich doch für mich selbst )

**FireMail** · 2. März 2023

Zitat von bic

Ja schön, aber sorry, ich kann mir immer noch nicht vorstellen, wie Du den PC per Benutzerauthentifikation in ein bestimmtes Vlan bugsieren willst, zumal die üblichen PC-NICs nicht Vlan-fähig sind (jetzt frage ich doch für mich selbst )

Auweh, ich glaub ich habe mich nicht richtig ausgedrückt - der Switchport übernimmt dann das VLAN Tagging, nicht der PC wird ins Vlan gezogen - sorry für meine fehlerhafte ausdrucksweise

**chha** · 13. März 2023

Ich kann diese Problem ebenfalls nachstellen, das Fallback VLAN wird nicht benutzt.
Ich dachte erst es liegt am Radius oder so, aber ich habe genau das gleiche Problem, sobald das Fallback VLAN greife würde, bekomme ich zwar eine IP aus dem entsprechenden VLAN aber habe keinerlei Netzwerkzugriff.
Auf den Switchen bei mir ist die neueste Firmware.

Ich habe das ganze vor einigen Monaten bei einem anderen Standort eingerichtet, da hatten die Switche noch eine Firmware älter, damit hat es scheinbar Problemlos funktioniert. Die Switche sind jetzt auch auf dem aktuellen Firmware stand und es funktioniert weiterhin.

Willkommen! Melden Sie sich an oder registrieren Sie sich.

RADIUS Fallback Vlan funktioniert nicht

Ähnliche Themen

UDM SE, RADIUS Server mit 802.1X Port Based Authentifikation einrichten

Probleme bei Port Aggregation & Radius Server

Externer RADIUS Mac-abhängige VLAN Zuweisung

802.1X Fallback VLAN

Wlan Netzwerke zusammenlegen, aber auf VLANS aufteilen

Tags

3 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 80

Wer war online 112