Hi,
gibt es eigentlich im aktuellen Webinterface irgend eine Möglichkeit um den VPN Status von S2S VPN zu sehen? Per SSH geht das ja einfach, aber ich würde es gerne schneller visualisieren können
danke und lg,
Beiträge von FireMail
-
-
Ja schön, aber sorry, ich kann mir immer noch nicht vorstellen, wie Du den PC per Benutzerauthentifikation in ein bestimmtes Vlan bugsieren willst, zumal die üblichen PC-NICs nicht Vlan-fähig sind (jetzt frage ich doch für mich selbst
)Auweh, ich glaub ich habe mich nicht richtig ausgedrückt - der Switchport übernimmt dann das VLAN Tagging, nicht der PC wird ins Vlan gezogen - sorry für meine fehlerhafte ausdrucksweise
-
Hier noch ein Auszug aus dem RADIUS Debug, der Non-Auth klappt also, ich finde nur keine Fallback Infos außer dem DEFAULT match
Code
Alles anzeigen(0) Received Access-Request Id 250 from 10.0.0.201:46504 to 10.0.0.1:1812 length 114 (0) NAS-IP-Address = 10.0.0.201 (0) User-Name = "<REDACTED>" (0) Called-Station-Id = "<REDACTED2>" (0) Calling-Station-Id = "<REDACTED3>" (0) User-Password = "<REDACTED>" (0) NAS-Port = 5 (0) NAS-Port-Type = Ethernet (0) Framed-MTU = 1522 (0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default (0) authorize { (0) policy filter_username { (0) if (&User-Name) { (0) if (&User-Name) -> TRUE (0) if (&User-Name) { (0) if (&User-Name =~ / /) { (0) if (&User-Name =~ / /) -> FALSE (0) if (&User-Name =~ /@[^@]*@/ ) { (0) if (&User-Name =~ /@[^@]*@/ ) -> FALSE (0) if (&User-Name =~ /\.\./ ) { (0) if (&User-Name =~ /\.\./ ) -> FALSE (0) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) { (0) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) -> FALSE (0) if (&User-Name =~ /\.$/) { (0) if (&User-Name =~ /\.$/) -> FALSE (0) if (&User-Name =~ /@\./) { (0) if (&User-Name =~ /@\./) -> FALSE (0) } # if (&User-Name) = notfound (0) } # policy filter_username = notfound (0) [preprocess] = ok (0) [chap] = noop (0) [mschap] = noop (0) [digest] = noop (0) suffix: Checking for suffix after "@" (0) suffix: No '@' in User-Name = "<REDACTED>", looking up realm NULL (0) suffix: No such realm "NULL" (0) [suffix] = noop (0) eap: No EAP-Message, not doing EAP (0) [eap] = noop (0) files: users: Matched entry DEFAULT at line 2 (0) [files] = ok (0) [expiration] = noop (0) [logintime] = noop (0) pap: WARNING: No "known good" password found for the user. Not setting Auth-Type (0) pap: WARNING: Authentication will fail unless a "known good" password is available (0) [pap] = noop (0) } # authorize = ok (0) ERROR: No Auth-Type found: rejecting the user via Post-Auth-Type = Reject (0) Failed to authenticate the user (0) Login incorrect (No Auth-Type found: rejecting the user via Post-Auth-Type = Reject): [<REDACTED>] (from client client-client-<redacted> port 5 cli <REDACTED3>) (0) Using Post-Auth-Type Reject (0) # Executing group from file /etc/freeradius/3.0/sites-enabled/default (0) Post-Auth-Type REJECT { (0) attr_filter.access_reject: EXPAND %{User-Name} (0) attr_filter.access_reject: --> <REDACTED> (0) attr_filter.access_reject: Matched entry DEFAULT at line 11 (0) [attr_filter.access_reject] = updated (0) [eap] = noop (0) policy remove_reply_message_if_eap { (0) if (&reply:EAP-Message && &reply:Reply-Message) { (0) if (&reply:EAP-Message && &reply:Reply-Message) -> FALSE (0) else { (0) [noop] = noop (0) } # else = noop (0) } # policy remove_reply_message_if_eap = noop (0) } # Post-Auth-Type REJECT = updated (0) Delaying response for 1.000000 seconds Waking up in 0.3 seconds. Waking up in 0.6 seconds. (0) Sending delayed response (0) Sent Access-Reject Id 250 from 10.0.0.1:1812 to 10.0.0.201:46504 length 20 Waking up in 3.9 seconds. (0) Cleaning up request packet ID 250 with timestamp +24Edit: Scheint auch als würde das Fallback VLAN #99 nirgendwo in einer Config definiert:
Code/etc/freeradius/3.0# grep -rinw ./ -e 'Group-id' ./mods-available/ldap:118:# reply:Tunnel-Private-Group-ID := 'radiusTunnelPrivategroupId' ./mods-config/files/authorize:17: Tunnel-Private-Group-Id = 69 -
Woher weiß der PC, dass er ins #99 Netz soll und wie soll er dies anstellen? (ich frage für einen Freund
)Über den RADIUS Server. Dort den User hinzufügen und das VLAN vergeben sowie Tunnel Type 13, Tunnel Medium Type 6.
Wenn die MAC entfernt ist (also kein Auth per MAC erfolgreich durchgeführt hat), greift das Fallback VLAN (Konfigurierbar unter Settings -> Networks -> Global Switch Settings -> Fallback VLAN bzw. per Switch wenn du Global nicht nutzen willst)
-
Hi,
ich habe eine funktionierende RADIUS Mac Authentifizierung eingerichtet und ein Fallback VLAN (#99) eingerichtet. Dieses VLAN ist als Guest mit DHCP konfiguriert inkl. entsprechendem Voucer Code Portal.
Wenn ich der MAC des TestPCs das VLAN #99 zuordne, funktioniert das auch tadellos. Wenn ich aber die MAC entferne und den TestPC neu verbinde, bekommt der TestPC vom DHCP des #99 VLAN keine IP zugewiesen. Es greift also nicht wirklich der "Fallback" auf der #99 VLAN? Ich finde auch keine brauchbaren Logs dazu per SSH und stehe etwas an
Danke im Voraus für eure Hilfe
