Toon posts:

[Howto] FreeRadius + Mysql + VLAN

Pagina: 1
Acties:

zaterdag 5 juli 2008 12:56

Acties:

Verwijderd

Topicstarter
Hallo Tweakers,

Ben mijn Freeradius aan het 'tweaken' om gebruikers te koppelen aan verschillende VLAN maar ik ben door het vele uitzoekwerk even de draad kwijt geraakt, wellicht zijn er ook anderen tweakers die hiermee al eens gewerkt hebben en mij tips kunnen geven om dit goed voor elkaar te krijgen.

De situatie:

WLAN <> AP <> 802.q switch <> Freeradius voor accounting met MYSQL

Bovenstaande heb ik voor elkaar. Maar nu wil ik dus VLAN eraan toevoegen zodat de VLAN switch begrijpt dat een gast-gebruiker die inlogt op mijn WiFi accesspoint naar een andere VLAN wordt gestuurd. Hoe krijg ik dit voor elkaar?

Stap 2.

Een gebruiker logt in met usernaam@nietlokaal.nl. Deze gebruiker dient op een ander VLAN uit te komen en op een andere freeradius server, echter klopt hij nog steeds bij mijn lokale freeradius aan. Hoe kan ik dit rerouten naar een freeradius server buiten mijn eigen domein.

Thanks alvast voor de tips.

zaterdag 5 juli 2008 13:57

Acties:
  • Creepy
  • Registratie: Juni 2001
  • Laatst online: 23:01

Creepy

Tactical Espionage Splatterer

Ik tik het even door naar Netwerken . Waarom je dit in Programming plaatst is me echt een raadsel.
Move PRG -> Netwerken

En daarbij nog even snel: wat heb je nu zelf al geprobeerd om het wel voor elkaar te krijgen?

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

zaterdag 5 juli 2008 14:39

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 11-03 17:21

jvanhambelgium

Hmm, er zijn 2 dingen te overwegen :

1) PROXY-RADIUS -> De initiele request zal toekomen op je "hoofd" radius, maar op basis van het realm (@huppeldepup.nl) gaat er een nieuwe radius-access-request gemaakt worden richting een andere radius server (vb in een ISP omgeving zie je dit dikwijls wanneer connectiviteits-apparatuur door meerdere ISP's gebruikt gaat worden)

2) Reeds OP uw AP ergens een filtering zetten zodat er meerdere AAA-systemen kunnen gebruikt worden in functie van een bepaalde policy.

Je geeft vééél te weinig info om iets deftig te voorstellen.
Zoek de principes van proxy-radius (aan de hand van bepaalde realm,dnis, etc) maar eens op in de freeradius howto's. Ik heb geen ervaring met dit specifieke gratis product.

zaterdag 5 juli 2008 14:42

Acties:
  • Mayco
  • Registratie: Augustus 2002
  • Laatst online: 02-03 22:35

Mayco

Kijk eens naar de configuratie van eduroam, deze lijkt namelijk zeer sterk op wat je wil verwezenlijken (www.eduroam.be of www.eduroam.nl)

zaterdag 5 juli 2008 21:58

Acties:

Verwijderd

Topicstarter
EduRoam lijkt er wel op, echter dan met een eigen server.

Eigenlijk en volgens mij kan FreeRadius aan een gebruiker een bepaald VLAN nummer koppelen en deze teruggeven aan de VLAN switch waardoor hij weet dat hij via VLAN 40 (internet) dient te communiceren. Mocht de gebruiker van de administratie zijn dan dat hij via Radius een request krijgt om VLAN 2 te gebruiken.

Er wordt op freeradius gesproken over VMPS, maar volgens mij is dat alleen als de linux server op een VLAN trunk zit, en dat is hier niet het geval. De Radius server staat ergens anders en dient de Cisco PDSN switch instructies te geven om die specifieke gebruiker, toegang te laten verschaffen tot VLAN 2 of VLAN 40 via Radius authenticatie.

Hoop dat dit de situatie een beetje inzichtelijker geeft.

zaterdag 5 juli 2008 22:44

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 11-03 17:21

jvanhambelgium

Uiteraard kan dit, het komt er gewoon op neer de juiste RADIUS attributes terug te koppelen naar de RADIUS-client (in dit geval een switch, maar kan evengoed een wireless ap zijn, inbelserver of whatever)

OK, dus eigenlijk wil je "gewoon" dat een bepaalde user als attribuut gewoon een VLAN-ID krijgt ?
Of wil je nu effectief met meerder RADIUS machines werken ?? (indien wel is proxy-radius een noodzaak)

Wat je eigenlijk effe moet opzoeken zijn de ondersteunde AAA attributen van jouw switch. Dan weet je direct wel radius attribuut je nodig hebt om dit te verwezelijken.

Er zijn vele radius attributen om vb tijdens een login bepaalde ACL's mee te geven, bepaalde filters te activeren (zodat die bepaalde user WEL en een andere NIET iets kan doen). Je kan daar echt toffe truukjes mee doen...

zaterdag 5 juli 2008 22:46

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 11-03 17:21

jvanhambelgium

Welke switch heb je staan ???

zondag 6 juli 2008 13:14

Acties:

Verwijderd

Topicstarter
We hebben een Cisco vxr7206 switch staan, een alleskunner zeg maar. Volgens mij kun je vanaf deze switch al instellen dat bepaalde aliassen naar een bepaalde VLAN dienen te gaan. Zelf heb ik de VLAN's al ingesteld via:

code:
1
2
3
4
5
6
7
8
9
10
11

Enable                         
Configure terminal                 
Interface FastEthernet0/0.1 
Encapsulation dot1q 10
IP address 10.1.1.1 255.255.255.0  
Exit               
Interface FastEthernet0/0.2        
Encapsulation dot1q 11            
IP address 10.1.2.1 255.255.255.0  
Exit                               
Exit


Nu nog iets met aaa- server om de juist VLAN bij de juiste Radius terecht te laten komen.

Zelf zit ik te denken aan zoiets, alleen weet ik niet hoe een bepaalde @alias.nl te rerouten naar een bepaald VLAN met een bepaalde Radius server.

code:
1
2
3
4
5
6

aaa new-model
radius-server host 10.1.1.100 key P@ssw0rd
ip radius source-interface f0/0.1
aaa authentication login default group radius
local line vty 0 4 
login authentication default

zondag 6 juli 2008 14:12

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 11-03 17:21

jvanhambelgium

>Zelf zit ik te denken aan zoiets, alleen weet ik niet hoe een bepaalde @alias.nl te rerouten naar >een bepaald VLAN met een bepaalde Radius server.

Door activatie van AAA op de router/switch gaat ie gewoon al deze request doorsturen naar een RADIUS (of TACACS(+)) server(s). Deze RADIUS zet je beter in de management VLAN en moet je zeker uit de andere VLAN's houden ;-)

DAAR ga je bepalen door middel van een aantal policies welke attributen je na authenticatie gaat terugsturen naar de switch. Deze switch gaat dan pas het nodige doen om deze net geauthenticeerde gebruiker in een bepaalde VLAN te stoppen door de bepaalde RADIUS-attributen die terugkomen.

Het is tijd om je te verdiepen in het radius gebeuren (meer speciek de materie rond auth-request,auth-responses,attributes,realms,etc,etc en de implementatie hiervan in Freeradius) voor je verder gaat kunnen door...
Ik kan perfect hetgeen jij wilt in 5 minuten brouwen op vb een Lucent NavisRadius platform maar elke AAA-platform heeft z'n eigen manier om policies etc op te zetten.

PS : 7204VXR platform zijn geen echt native swichplatformen hé, je kan er wel wat moduultjes instoppen om zo een beperk aantal ports te krijgen.


Lees al eens http://www.ietf.org/rfc/rfc4675.txt (dit gaat over standaarden rond radius-attributes met betrekking tot dynamic vlan assignments etc voor 802 lan's)


Dus inkomende radius-request met jan@productie.bedrijf.nl kan totaal anders behandelt gaan worden als jefke@sales.bedrijf.nl waarin beide heren in andere VLAN's terecht komen, andere IP-addressen krijgen (ook weer via RADIUS-attributen) alsook andere DNS'ssen (ook weer via attributen etc,etc,etc,etc)

Dat is de manier waarop de professionals het doen ;-)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq