IEEE 802.1x Catalyst 2950 mit NPS Windows 2008 RC2

[metastabil 10]

Hallo Community,

ich habe folgendes Problem,

ich habe meinen 2950 Switch wie folgt eingerichtet:

 

(config)#aaa new model

(config)#radius-server host 192.168.4.140

(config)#radius-server key sehrgeheim

(config)#aaa authentication dot1x default group radius

(config)#dot1x system-auth-control

(config)#interface fa 0/1

(config-if)#switchport access vlan 10

(config-if)#switchport mode access

(config-if)#dot1x port-control auto

(config-if)#dot1x auth-fail vlan 99

 

Auf meinem Windows 2008 RC2 Server läuft der NPS Dienst (Radius)

Wenn ich mich jetzt versuche von meinem Client (Win7 Pro) über den Authdienst 802.1x (verkabeltes Netzwerk) am Switch anzumelden funktioniert das nicht, ich werde in das vlan 99 geswitcht.

Ich bin mir ziemlich sicher das an der konfiguration beim Switch nicht verkehrt ist, jedoch habe ich die Vermutung das ich beim Radius was falsch gemacht habe. Hat einer von Euch eventuell einen Leitfaden zum Einrichten des Radius (WIN2008RC2) bzw einen Vorschlag oder einen Hinweis?

 

Gruß

[Dunkelmann 96]

Lesetipp:

Download: Demonstrate NAP 802.1X Enforcement in a Test Lab - Microsoft Download Center - Download Details

 

Diagnose:

Windows-Logs

Netzwerkmonitor oder Wireshark

debug dot1x

[metastabil 10]

Debug Schnipsel:

 

00:30:03: dot1x-ev:Transmitting an EAPOL frame on FastEthernet0/1

00:30:03: dot1x-packet:Tx EAP-Request(Id), id 7, ver 1, len 5 (Fa0/1)

00:30:03: dot1x-registry:registry:dot1x_ether_macaddr called

00:30:03: dot1x-packet:Tx sa=0009.438b.4d01, da=0180.c200.0003, et 888E (Fa0/1)

00:30:33: dot1x-sm:Fa0/1:0000.0000.0000:dot1x_process_txWhen_expire called

00:30:33: dot1x_auth Fa0/1: during state auth_connecting, got event 19(txWhen_expire)

00:30:33: @@@ dot1x_auth Fa0/1: auth_connecting -> auth_connecting

00:30:33: dot1x-sm:Fa0/1:0000.0000.0000:auth_connecting_connecting_action called

00:30:33: dot1x-ev:dot1x_post_message_to_auth_sm: Tx for req_id for supplicant 0000.0000.0000

[blackbox 10]

Hi,

 

schau mal hier - habe ich mir mal in den BookMarks gespeichert Link-1 und Link-2

[metastabil 10]

Ich habe den NPS wie in der Anleitung konfiguriert, in der Anleitung (dafür vielen Dank an blackbox ) für den NPS wird beschrieben wie man eine Anmeldung auf dem Cisco Gerät mit AD realisiert.

Laut Wireshark bekomme ich dort vom NPS eine gültige Antwort zurück, leider aber trotzdem kein Zugriff auf den Switch, mag daran liegen das ich keinen RSA Key generieren und somit kein SSH nutzen kann.

Habe die Konfoguration auf dem Switch also einwenig geändert sodass ich mit dem IEEE802.1x den NPS Ansprechen kann.

 

aaa authentication dot1x default group NPSSERVER

 

Habe natürlich fleissig Wireshark laufen lassen und festgestellt das ich eine Ablehnung von NPS Server bekomme wenn der Switch die Anmeldung von dem WIn Client an den NPS übermittelt. Also denke ich das eine Windows Einstellung nicht so ist wie sie für dot1x sein soll.

 

Hat da einer vielleicht Erfahrung mit?

 

Gruß

Meta

[Otaku19 33]

im Normalfall sollten die Logs am Authenticationserver weiterhelfen, der Switch als Authenticator sieht nicht so viel was da passiert, am Weg dazwischen sieht man garnichts da alles verschlüsselt wird und der Client sagt einem genau garnichts :)

 

Wenn man 802.1X das erste Mal konfiguriert und auch den Supplicant auf Windows das erste Mal einschaltet, verwendet man meist noch kein Zertifikat, der Client verlangt aber eines dem er auch vertraut. Wenn dem so ist, dann schalte die Zertifikatsüberprüfung am Client einfach mal aus. Damit bekommt man schon mal eine Authentifizierung nur mittels Username/Password hin

[Dunkelmann 96]

Gibt es auf dem NPS im Anwendungsprotokoll eine Meldung?

Machmal hat Windows ein Problem, den NAS-Porttyp korrekt zu identifizieren :suspect:

 

Einige Radius Clients können auch fragmentierte Pakete vom NPS ablehnen.

Mit dem Radius Attribut "Framed-MTU" auf "1344" kann das Problem umgangen werden. Das Attribut wird auf dem NPS in der Richtlinie gesetzt.

[metastabil 10]

Habe nochmal alles geloggt bzw die logs vom NPS geprüft. Der Client meldet sich korrekt an jedoch auch gleich wieder ab. Zusätzlich erfolgt keine zuweisung in irgend ein vlan. Der port geht auf Fehler.

[metastabil 10]

So, habe es mit einem 2960CG 8TS L und einem freeRadius auf Linux noch mal eingerichtet und siehe da es funktioniert. Wie das einrichten des NPS funktioniert, da bin ich leider kein stück weiter gekommen. Anbei poste ich nochmal teile meiner Switchconfig, falls jemand die noch benötigen sollte.

 

version 12.2

no service pad

service timestamps debug datetime msec

service timestamps log datetime localtime

no service password-encryption

!

hostname 2960GC

!

boot-start-marker

boot-end-marker

!

enable secret 5 xxxxxx

enable password xxxx

!

!

!

aaa new-model

!

!

aaa authentication dot1x default group radius

aaa authorization network default group radius

!

!

!

aaa session-id common

clock timezone CET 1

clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00

authentication mac-move permit

!

dot1x system-auth-control

!

spanning-tree mode rapid-pvst

spanning-tree portfast bpduguard default

spanning-tree extend system-id

!

!

!

!

vlan internal allocation policy ascending

!

!

!

interface GigabitEthernet0/1

description Port mit 802.1x Auth.

switchport mode access

authentication port-control auto

dot1x pae authenticator

spanning-tree portfast

!

interface GigabitEthernet0/10

switchport mode trunk

!

interface Vlan1

ip address 192.168.xx.xx 255.255.255.0

!

radius-server host 192.168.xx.xx auth-port 1812 acct-port 1813 key xxxxxx

radius-server key xxxxxx

radius-server vsa send authentication

!

[blackbox 10]

Hi,

 

müsste das ganze auch mit NPS mal aufbauen - habe ich nur irgendwann mal mit angefangen aber irgendwie aus den Augen verloren. In meiner Testumgebung habe ich es noch nie gegen einen Windows Radius laufen - max. mal für MAC Auth.

[metastabil 10]

Mach das mal würde mich brennend interessieren. Wenn du kannst mach davon mal nen Video von ;)

[Hannes91 10]

Hallo,

 

wir haben 802.1x mit Computer und Userzertifikaten am laufen.

Auf w2k8 R2 mit 2960 Switchen...uns haben meist die Logs auf dem NPS weitergeholfen.

Wir machen port authentication, also geben mit dem NPS eine vlan-id zurück an den Switch sodass der Client immer im "richtigen" Vlan landet.

 

Gruß

[metastabil 10]

Hannes91, hast du da mal ne übersicht was ihr da eingerichtet habt, also auf dem NPS?

 

Gruß

[Hannes91 10]

Hannes91, hast du da mal ne übersicht was ihr da eingerichtet habt, also auf dem NPS?

 

Gruß

 

Hi,

 

nächste Woche bin ich wieder in der Firma dann könnte ich mal auzüge aus der Konfiguration posten. Vielleicht auch schon ende dieser Woche.

 

Im Groben:

- NPS ist im AD regestiert, zuteilung der Vlans anhand Computer-Gruppen

- In der Verbindungsanforderungsrichtlinie müssen die selben authentifizierungsmethoden durchgelassen werden wie du in den Netzwerkrichtlinien nutzt.

- Natürlich muss der Switch als Radius Client eingetragen sein

- Es gibt eine Default Verbindungsanforderungsrichtlinie...irgendwas mit

dem Windows Kennwort, die muss aufjedenfall aktiv sein und existieren.

 

Wie willst du denn authentifizieren? Auch mit Zertifikaten?

 

Gruß

[metastabil 10]

Joar würde das auch mit Zertifikaten machen.

 

Vielen Dank schonmal.