tinsel

oh, sorry das habe ich wohl übelesen.

mit was?

@ Data nein es geht durch aus ohne L2TP. Man halt aber kein extra Interface sondern schraubt direkt in den Einstellungen der jeweiligen LAN Verbindung rum.

gut idee Andreas kann mir jemand zufällig sagen ob der ACS die VLAN-ID's auch aus LDAP rausnehmen kann?

gut das hier das Thema wieder aufgefrischt wurde :) kann mir jemand zufällig sagen ob der ACS die VLAN-ID's auch aus LDAP rausnehmen kann?

sicher? sollte auch Client -> VPN Server gehen. Zu mindest habe ich es mit hilfe win2000--> Linux VPN Server so gemacht. Die einstellungen alle richtig zu machen ist etwas mühselig. Außer du nimmst das so genannte Müller-Tool (http://vpn.ebootis.de/). Kann aber keine aussage treffen ob das auch mit einem nicht Linux VPN-Server zusammen arbeitet.

leider funktioniert es beim Boot noch nicht wirklich d.h. hatte ich gehofft das ihr mehr Erfolg habt

hätte noch mal eine Frage habt ihr mit dem Windows Client einen Auth bei boot erreicht oder immer erst nach dem vollständigen hochfahren

wie wichtig kommt auf deine Umgebung an. Das Serverzertifikat ist im Grunde genommen das gleiche wie bei einer SSL geschützen http Verbindung. Dort prüfst du oder auch nicht ob der Server der ist der er vorgibt zu sein.

keine Ahnung ob euch das Hilft : http://www.windowsitpro.com/Article/ArticleID/44917/44917.html?Ad=1

Ich arbeite zur Zeit nur mid EAP-MD5 und als Ziel ist EAP-PEAP geplant. EAP-TLS soll nicht verwendet werden da der aufwand für ein PKI zu groß wäre.

öhm welche Service Packs habt ihr installiert? Bin mir nicht 100%ig Sicher aber ich glaube im SP1 oder SP2 gab es ein Update für 802.1x

was habt ihr für die Zertifikatserstellung benutzt? Zufällig Win2k Server? Ich hab Zertifikate eigentlich immer in einer Linux Umgebung erstellt soll aber für Test Zwecke das ganze mal mit Win2k probieren. Der Zertifikatsdienst läuft auch schon und ich komme auch auf hostname/certsrv aber was, muss ich wo, klicken das ich ein Zertifikat bekomme *verwirrtist*

mm kann ich leider nicht nachvollziehen. In deinem Anderen Threat hast du glaube ich geschrieben, das du Probleme mit dem XP Client hast. Könnte es daran liegen das du vll.den Zertifikaten "nicht Vertraust", da du das Zertifikat der RootCA nicht zu den vertrauenswürdigen Zertifizierungsstellen hinzugefügt hast? Eine Frage von mir noch Das Radius Protokoll fordert zwingend einen Benutzername+PW, oder? Die CallerID reicht nicht um bestimmte Aktionen auszulösen?

ob das mit der Internetverbindungsfreigabe funktioniert kann ich dir nicht sagen. Ich würde dafür lieber eine Proxyserver nehmen z.B. JanaProxy und die beiden WRT's über WDS mit einander Verberbinden

könnest du den Debug vom Auth auf Port 0/20 mit angeben? Was du jetzt gepostet hast sieht aus wie Port 0/13

mm also wenn ich den cisco ACS richtig verstanden habe müsstest du für den ACs und den Client jeweils ein Zertifikat erstellen. Du musst natürlich den Zertifikaten einer CA auch vertrauen (erledings wo man das im ACS sagt, kann ich dir nicht aus dem Kopf sagen) ich vermute du hast als UserVerwaltung ein ADS Laufen, oder? Bzw. benutzt die Windows Userverwaltung. Wenn dem so ist schaue mal im Benutzerprofil bei RAS dort sollte Einwahlerlauben aktiviert sein.

mm wenn ich das richtig verstanden habe können die Clients sich erst authentifizieren wenn a) die User Anmeldung erfolgt oder b) man ein Maschinen Konto einrichtet aber dann scheint die Authentifizierung erst nach dem DHCP zu kommen ....

Hallo kann mir jemand sagen ob die eingebauten Clients für die 802.1x Authentifizierung von Windows XP und W2k eine Authen. schon im Bootprozess erlauben oder nicht.

ging voran mehr infos ab Freitag wenn dann die Implementation ins Live System realiesiert wurde noch eine Frage Win2k und WinXP unterstützen nach ein paar Patches auch 802.1x Authentifizierung. Kann mir jemand sagen ob diese Clients auch Authentifizierung beim Boot unterstützen? Das Problem ist ja solange der Port Unauthorized kein Verkehr durch den Port geht. Somit auch DHCP, WindowsDomain anmeldung ect. flach fällt. Es gibt zwar 3. Anbieter Client die im Bootprozzess die Auth. machen aber ich kann das im moment nicht testen da mein Testsystem heute früh von mir abgebaut wurde und dieses Problem gerade bei einer Projektbesprechung durch gegangen wurde.

irgend wie habe ich das gefühl das ich an der falschen stelle suche. Denke mal liegt doch an der Switch Config - kann mal jemand sein Meinnung darüber äußern? Current configuration : 3985 bytes ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname xxx ! aaa new-model aaa authentication login default line enable aaa authentication dot1x default group radius enable secret 5 xxxx. enable password 7 xxxx ! ip subnet-zero ip domain-name xxx.xxx ! ! spanning-tree extend system-id no spanning-tree vlan 65 … no spanning-tree vlan 255 ! ! interface FastEthernet0/1 switchport mode trunk no ip address ! interface FastEthernet0/2 switchport access vlan dynamic switchport mode access no ip address spanning-tree portfast ! interface FastEthernet0/3 switchport mode access no ip address ! interface FastEthernet0/4 no ip address ! interface FastEthernet0/5 no ip address shutdown ! interface FastEthernet0/6 no ip address ! interface FastEthernet0/7 no ip address ! interface FastEthernet0/8 no ip address ! interface FastEthernet0/9 switchport mode access no ip address dot1x port-control auto ! interface FastEthernet0/10 no ip address ! interface FastEthernet0/11 no ip address ! interface FastEthernet0/12 no ip address ! interface GigabitEthernet0/1 no ip address ! interface GigabitEthernet0/2 no ip address ! interface Vlan1 ip address xxx.xxx.xxx.209 255.255.255.0 no ip route-cache ! ip default-gateway xxx.xxx.xxx.1 ip http server ! snmp-server engineID local 800000090300000BBE855001 snmp-server group grp_snmp v3 auth snmp-server community xxx RO snmp-server enable traps snmp linkdown linkup snmp-server host xxx.xxx.xxx.101 version 2c pub radius-server host xxx.xxx.xxx.2 auth-port 1812 acct-port 1813 key xxx radius-server retransmit 3 ! line con 0 ip netmask-format decimal line vty 0 4 password 7 xxxxx line vty 5 15 password 7xxxxxx ! ntp clock-period 17179903 ntp server xxx.xxx.xxx.196 end zusätzlich noch die sh version Cisco Internetwork Operating System Software IOS C2950 Software (C2950-I6Q4L2-M), Version 12.1(11)EA1, RELEASE SOFTWARE (fc1) Copyright © 1986-2002 by cisco Systems, Inc. Compiled Wed 28-Aug-02 10:25 by antonino

was theor. gehen müsste, ein Modem an den SerialPort anschließen und das Modem anwählen dann landest du auf der Console. Wie und ob man da noch was am Switch einrichten muss kann ich aber leider nicht sagen.

nach 2 Tagen probieren habe ich gerade die falsche stelle gefunden :) war in der users: Auth-Type :=Local nach dem ich das heraus genommen habe funktioniert es. Stellt sich nun die nächste frage wie übergebe ich die Atribute richtig? Mit Replay-Message = "Hello", Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = 33 scheint es nicht zu funktionieren *edit* ich schaue mir gerade den debug auf dem switch an 03:05:16: Attribute 64 6 0000000D 03:05:16: Attribute 65 6 00000006 03:05:16: Attribute 81 4 33334F06 Attribute 64 und 65 in Ordnung nur Attribute 81 sollte eigentlich 00000021 sein. Deswegen noch mal Freeradius im Debug Modus aufgerufen und gesehen das er beim Reply die 33 in "33" umwandelt.

Hallo folgendes ich möchte Dynamische VLAN's mit 802.1x realisieren. Leider bleibe ich im Moment schon beim Radiusauth hängen. Ich benutze Freeradius. Wenn ich mit ntradping mein Auth Versuch starte funktioniert es auch. Danach habe ich das ganze mit Hilfe des AEGIS Clients Probiert und den entsprechenden Port Konfiguriert. Leider bekomme ich jetzt immer diese Fehlemeldung von Freeradius das Problem ist wohl --> auth: No User-Password or CHAP-Password attribute in the request Nur habe ich keine Ahnung was ich falsch gemacht habe..... Switch ist ein 2950 IOS 12.1(11)EA1 Hier der Radius Debug 01:56:30: RADIUS: ustruct sharecount=1 01:56:30: RADIUS: Initial Transmit FastEthernet0/9 id 23 xxx.xxx.xxx.2:1812, Acce ss-Request, len 98 01:56:30: Attribute 4 6 A41499D1 01:56:30: Attribute 5 6 0000C359 01:56:30: Attribute 61 6 0000000F 01:56:30: Attribute 1 6 74657374 01:56:30: Attribute 31 19 30302D30 01:56:30: Attribute 6 6 00000002 01:56:30: Attribute 79 11 02090009 01:56:30: Attribute 80 18 9775B185 01:56:32: RADIUS: Received from id 23 xxx.xxx.xxx.xxx:1812, Access-Reject, len 27 01:56:32: Attribute 18 7 48656C6C thx for Help

Versuche einfach mal andere Übertragungsraten vll. hilft das. Ich hatte das Problem bei einem falsch gesetzen ConfigRegister bei mir hat es dann mit 19,2 kbit/s funktioniert