Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Freeradius Mac Auth + Allied Telesis AT-9000

Pagina: 1
Acties:

vrijdag 8 februari 2013 14:38

Acties:
  • IStealYourGun
  • Registratie: November 2003
  • Laatst online: 16-10 21:36

IStealYourGun

Доверяй, но проверяй

Topicstarter
Ik ben bezig met het implementeren van een Freeradius server die systemen toelaat op basis van hun MAC-adres. Het lijkt erop dat Freeradius de authenticatie goed afhandeld, maar de Switch zet de poort nooit in autherization state en laat dus ook geen traffic door:

Iemand hier ervaring mee en/of idee wat ik fout zou kunnen doen?

Debug Freeradius:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

Listening on authentication address <deleted> port 1812
Listening on command file /var/run/radiusd/radiusd.sock
Listening on authentication address 127.0.0.1 port 18120 as server inner-tunnel
Ready to process requests.
rad_recv: Access-Request packet from host 192.168.1.31 port 1, id=122, length=162
        User-Name = "00-1c-23-27-08-0d"
        User-Password = "00-1c-23-27-08-0d"
        NAS-IP-Address = 192.168.1.31
        NAS-Port = 5
        Called-Station-Id = "EC-CD-6D-4D-E1-4E"
        Calling-Station-Id = "00-1C-23-27-08-0D"
        Framed-MTU = 1336
        NAS-Port-Type = Ethernet
        Connect-Info = "100Mbps"
        Message-Authenticator = 0xbe8f96de37432d61efec45f764c99383
# Executing section authorize from file /etc/raddb/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
[suffix] No '@' in User-Name = "00-1c-23-27-08-0d", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop
[eap] No EAP-Message, not doing EAP
++[eap] returns noop
[files] users: Matched entry 00-1c-23-27-08-0d at line 4
++[files] returns ok
++[expiration] returns noop
++[logintime] returns noop
++[pap] returns updated
Found Auth-Type = PAP
# Executing group from file /etc/raddb/sites-enabled/default
+- entering group PAP {...}
[pap] login attempt with password "00-1c-23-27-08-0d"
[pap] Using clear text password "00-1c-23-27-08-0d"
[pap] User authenticated successfully
++[pap] returns ok
Login OK: [00-1c-23-27-08-0d/00-1c-23-27-08-0d] (from client ne0031 port 5 cli 00-1C-23-27-08-0D)
# Executing section post-auth from file /etc/raddb/sites-enabled/default
+- entering group post-auth {...}
++[exec] returns noop
Sending Access-Accept of id 122 to 192.168.1.31 port 1
Finished request 0.
Going to the next request


Switch AT-9000:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

# show dot1x all

802.1X Port-Based Authentication Enabled
  RADIUS server address (auth): <deleted>

Authentication Info for interface port1.0.5
  portEnabled: Enabled - portControl: Auto
  portStatus: UP
  reAuthenticate: Disabled
  reAuthPeriod: 3600
  PAE: quietPeriod: 60 - maxReauthReq: 2 - txPeriod: 30
  BE: suppTimeout: 30 - serverTimeout: 30
  CD: adminControlledDirections: both
  guestVlan: Disabled
  hostMode: Single-Host
  dot1x: Enabled
  protocolVersion: 1
  authMac: Enabled


Interface port1.0.5
  authenticationMethod: mac
  totalSupplicantNum: 1
  authorizedSupplicantNum: 0
    macBasedAuthenticationSupplicantNum: 1
    dot1xAuthenticationSupplicantNum: 0
    otherAuthenticationSupplicantNum: 0

  Supplicant name: 00-1c-23-27-08-0d
  Supplicant address: 001C.2327.080D
    authenticationMethod: mac
    portStatus: Unauthorized - currentId: 109
    abort:F fail:F start:T timeout:F success:F
    PAE: state: Authenticating - portMode: Auto
    PAE: reAuthCount: 2
    PAE: quietPeriod: 0 - maxReauthReq: 2
    BE: state: Response - reqCount: 0
    CD: adminControlledDirections: in

Authentication Statistics for interface port1.0.5
  EAPOL Frames Rx: 0 - EAPOL Frames Tx: 0
  EAPOL Start Frames Rx: 0 - EAPOL Logoff Frames Rx: 0
  EAP Rsp/Id Frames Rx: 0 - EAP Response Frames Rx: 0
  EAP Req/Id Frames Tx: 0 - EAP Request Frames Tx: 0
  Invalid EAPOL Frames Rx: 0 - EAP Length Error Frames Rx: 0
  EAPOL Last Frame Version Rx: 0 - EAPOL Last Frame Src: 0000.0000.0000

♥ Under Construction ♦ © 1985 - 2013 and counting. ♣ Born to be Root ★ In the end, we are all communists ♠ Please, don't feed me meat

zaterdag 9 februari 2013 14:21

Acties:
  • AK47
  • Registratie: Juli 2001
  • Laatst online: 04-05-2024

AK47

FreeRADIUS stuurt een access-accept en dat zou in principe voldoende moeten zijn. Wellicht dat je nog extra attributes moet meesturen, maar dat kan ik niet echt in de documentatie terugvinden. Zie ook dit PDF'je: http://www.alliedtelesis....ware/c613-16053-00-A1.pdf

PS: je weet overigens ook zeker dat de access-accept daadwerkelijk aankomt bij de switch? Je zou hiervan even een packet-trace moeten maken.

zaterdag 9 februari 2013 19:07

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 28-11 20:09

Equator

Crew Council

#whisky #barista

Wat heb je zelf al gedaan om je probleem op te lossen? Want je zal vast niet de eerste zijn die een dergelijke setup heeft gemaakt.
Het dumpen van een configuratie is eigenlijk not-done hier in Professional Networking & Servers

We verwachten op GoT een behoorlijke portie eigen inzet van de gebruikers.. Dat mis ik in je verhaal. Geef dus even aan wat je allemaal geprobeerd hebt, wat je zelf gevonden hebt en waarom dat geen oplossing was voor jou.

Overigens kan het erg helpen om een packetdump te maken van het eap-tls stuk. Daarin kan je iig uitsluiten dat de authenticatie goed gaat.

zaterdag 9 februari 2013 19:22

Acties:
  • IStealYourGun
  • Registratie: November 2003
  • Laatst online: 16-10 21:36

IStealYourGun

Доверяй, но проверяй

Topicstarter
Excuses voor de dump, heb hier al enkele dagen op zitten zoeken en verschillende dingen geprobeerd. O.a een dump van wat er op de verschillende poorten gebeurt en de Access-Accept arriveert wel degelijk, maar de switch negeert het gewoon. Wat me wel al is opgevallen bij andere Freeradius logs op het internet, is dat er daar steeds volledig wordt gecommuniceerd met poort 1812, zowel bij de server als de switch. Bij de AT-9000 is dat echter op poort 1. Beetje vreemd dat ze daarvoor kiezen, maar op zich natuurlijk mogelijk.

♥ Under Construction ♦ © 1985 - 2013 and counting. ♣ Born to be Root ★ In the end, we are all communists ♠ Please, don't feed me meat

dinsdag 12 februari 2013 11:15

Acties:
  • IStealYourGun
  • Registratie: November 2003
  • Laatst online: 16-10 21:36

IStealYourGun

Доверяй, но проверяй

Topicstarter
Een kleine bravo uniform mike papa.
Afbeeldingslocatie: http://tweakers.net/ext/f/sbb9H6ujtPYv0TWhTDKC6esS/full.png

Zoals dus eerder gemeld, pakketjes komen goed toe, dit is een dump van de uplink van de switch.

♥ Under Construction ♦ © 1985 - 2013 and counting. ♣ Born to be Root ★ In the end, we are all communists ♠ Please, don't feed me meat

woensdag 13 februari 2013 07:39

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 14:23

jvanhambelgium

IStealYourGun schreef op dinsdag 12 februari 2013 @ 11:15:
Een kleine bravo uniform mike papa.
[afbeelding]

Zoals dus eerder gemeld, pakketjes komen goed toe, dit is een dump van de uplink van de switch.
Euh ticketje openen bij de vendor hé ? Je hebt al mooi opzoekwerk gedaan, maar er komt een moment dat de fabrikant wat moeite mag steken in je probleem ;-)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq