Jump to content
Калькуляторы

SNR-S2982G-8T настройка 802.1x

Reply to this topic

XomA   

XomA
Posted

Добрый день!

Пытаюсь проверить функционирование 802.1x на коммутаторе SNR-S2982G-8T.

Не получается настроить рабочий конфиг.

Есть следующая схема:

image.thumb.png.49a0e34d117226d3df3eaef9dd39083e.png

Конфигурация коммутатора: 

radius-server authentication host 192.168.1.55 key 0 test123
aaa enable

dot1x enable

Interface Ethernet1/0/3
 dot1x enable
 dot1x port-method portbased
exit

interface Vlan1
 ip address 192.168.1.1 255.255.255.0
exit

Настройка freeradius:

Файл Clients.conf 

...
client private-network-1 {
        ipaddr          = 192.168.1.0/24
        secret          = test123
        shortname       = net192
}
...

Файл users 

nag     Cleartext-Password := "nag"
        Tunnel-Type = 13,
        Tunnel-Medium-Type = 6,
        Tunnel-Private-Group-ID = 1

 

tcpdump на linux в момент авторизации, приходит Access-Request от коммутатора, уходит Access-Challenge в стороону коммутатора, на этом все. 

#tcpdump udp -n
10:04:59.256743 IP 192.168.1.1.3071 > 192.168.1.55.1812: RADIUS, Access-Request (1), id: 0x02 length: 109
10:04:59.257769 IP 192.168.1.55.1812 > 192.168.1.1.3071: RADIUS, Access-Challenge (11), id: 0x02 length: 80

На АРМ авторизация не происходит, идут постоянные запросы логина/пароля и в конце неудачная аутентификация.

 

 

Если в данной схеме коммутатор SNR заменить на Русьтелетех со следующим конфигом, то все работает. 

dot1x system-auth-control

radius-server host 192.168.1.55 key test123

interface gigabitethernet1/0/3
 dot1x port-control auto
exit

interface vlan 1
 ip address 192.168.1.1 255.255.255.0
exit

 

Удачная авторизация на коммутаторе: 

14~01-Dec-2020 14:28:23 %LINK-W-Down:  gi1/0/3
01-Dec-2020 14:28:26 %SEC-W-PORTUNAUTHORIZED: Port gi1/0/3 is unAuthorized
01-Dec-2020 14:28:26 %LINK-I-Up:  gi1/0/3
01-Dec-2020 14:28:30 %STP-W-PORTSTATUS: gi1/0/3: STP status Forwarding
01-Dec-2020 14:28:33 %SEC-I-PORTAUTHORIZED: Port gi1/0/3 is Authorized

#show dot1x users
                          MAC               Auth   Auth   Session        VLAN Filter
Port     Username         Address           Method Server Time
-------- ---------------- ----------------- ------ ------ -------------- ---- ------
gi1/0/3  nag              70:8b:cd:8e:ef:e6 802.1X Remote 00:01:17

Лог на radius сервере: 

Thu Apr 18 06:41:30 2024 : Info: Ready to process requests
Thu Apr 18 06:42:10 2024 : Auth: (8)   Login OK: [nag/<via Auth-Type = eap>] (from client net192 port 0 via TLS tunnel)
Thu Apr 18 06:42:10 2024 : Auth: (9) Login OK: [nag/<via Auth-Type = eap>] (from client net192 port 51 cli 70-8B-CD-8E-EF-E6)

 

т.е. настройки клиента на винде и freeradius корректные и отрабатывают на другом коммутаторе.

 

Настройка 802.1x на SNR пробовал разные. И с документации и с wiki - результат всегда одинаковый.

Как еще можно попробовать настроить? Может у кого есть рабочий конфиг для данной связки.

 

p.s. задача не использовать 802.1x в работе, а просто показать, что функционал рабочий и забыть о нем.

Share this post

Link to post
Share on other sites

Vladimir Efimtsev   

Vladimir Efimtsev
Posted

@XomA, здравствуйте!

Функционал точно рабочий.

Попробуйте выполнить следующее:

 

1. обновите прошивку до последней рекомендованной (скачать можно отсюда https://data.nag.wiki/SNR Switches/Firmware/SNR-S2982G/recommended/), затем проверьте аутентификацию еще раз.

 

2. Добавьте команду 'authentication line vty login radius local' (если вы еще ее не применили).

 

3. Подскажите также, правильно ли понял, что в качестве суппликанта у вас используется клиент с ОС Windows? Дело в том, что по умолчанию Windows использует метод аутентификации EAP-PEAP, а Freeradius использует по умолчанию метод EAP-MD5, поэтому необходимо либо на freeradius-сервере в поле "default_eap_type" сменить значение на peap, либо изменить параметры на Windows-клиенте.

Share this post

Link to post
Share on other sites

XomA   

XomA
Posted (edited)

Спасибо за ответы!

 

Действительно дело оказалось в настройке Freeradius, в файле /etc/freeradius/3.0/mods-enabled/eap поменял в двух местах:
в секции eap и подсекции ttls значение "default_eap_type = md5" на "default_eap_type = peap" и авторизация прошла.

 

Минимальный рабочий конфиг коммутатора получился такой: 

radius-server authentication host 192.168.1.55 key 0 test123
aaa enable
dot1x enable

interface ethernet 1/0/3
 dot1x enable
 dot1x port-method userbased standard
exit

interface Vlan1
 ip address 192.168.1.1 255.255.255.0
exit

 

Edited by XomA

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Коммутаторы SNR, коммутаторы Orion Networks