metastabil
-
Gesamte Inhalte
16 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von metastabil
-
-
Denke ich auch, wenn es nicht am Switch liegt, stimmen vielleicht irgendwelche einstellungen auf dem rechner nicht. Vielleicht ein falscher GW? Firewall blockt? etc.
-
So, habe eine neue Version bereit gestellt:
http://www.thun-edv.de/8021x_mit_NPS_Win_2008_RC_2.pdf
Viel Spass
-
Habe das gestern anhand meiner Anleitung noch einmal nach gestellt. Leider habe ich 2 kleine aber wichtige Schritte vergessen, werde in den nächsten Tag eine geänderte Version online stellen. Da ich mich gearde in einer Prüfungsvorbereitung befinde wird das wohl spätestens am 31.07 sein.
Gruß
-
So, habe eben mal schnell alles zusammen geschrieben.
Werde das die nächste Woche nochmal verfeinern, da ich diese Umgebung noch einmal einrichten werde. Trotzdem schon mal die Version zum nachstellen ;)
-
So habe das Problem gelöst, werde in den nächsten Tagen eine Detailreiche Anleitung veröffentlichen, sodass das jeder nach vollziehen kann.
Schon mal an dieser Stelle vielen Dank an alle die sich dieser Sache angenommen haben.
-
Joar würde das auch mit Zertifikaten machen.
Vielen Dank schonmal.
-
Hannes91, hast du da mal ne übersicht was ihr da eingerichtet habt, also auf dem NPS?
Gruß
-
Mach das mal würde mich brennend interessieren. Wenn du kannst mach davon mal nen Video von ;)
-
Ich hatte bisher das gleiche Problem,
seit dem ich einen Catalyst 2960CG 8TC L nutze ist das Problem nicht mehr vorhanden. Anscheinden liegt das Problem an den alten Geräten selbst. Der neue Switch kontrolliert ca alle 30 sekunden den Radius allerdings nur dann wenn er bei einer Authorisierung den Radius nicht erreichen konnte. Habe dies bezüglich leider keine Zeilen in der config gefunden, denke daher das das eine automatische Erweiterung im IOS ist.
Gruß
-
So, habe es mit einem 2960CG 8TS L und einem freeRadius auf Linux noch mal eingerichtet und siehe da es funktioniert. Wie das einrichten des NPS funktioniert, da bin ich leider kein stück weiter gekommen. Anbei poste ich nochmal teile meiner Switchconfig, falls jemand die noch benötigen sollte.
version 12.2no service pad
service timestamps debug datetime msec
service timestamps log datetime localtime
no service password-encryption
!
hostname 2960GC
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxx
enable password xxxx
!
!
!
aaa new-model
!
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
!
!
aaa session-id common
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
authentication mac-move permit
!
dot1x system-auth-control
!
spanning-tree mode rapid-pvst
spanning-tree portfast bpduguard default
spanning-tree extend system-id
!
!
!
!
vlan internal allocation policy ascending
!
!
!
interface GigabitEthernet0/1
description Port mit 802.1x Auth.
switchport mode access
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
!
interface GigabitEthernet0/10
switchport mode trunk
!
interface Vlan1
ip address 192.168.xx.xx 255.255.255.0
!
radius-server host 192.168.xx.xx auth-port 1812 acct-port 1813 key xxxxxx
radius-server key xxxxxx
radius-server vsa send authentication
!
-
Ich selbst habe C2950 inkl LWL Uplink 3548XL, ASA5505, C836 Router, C2960GC 8TC als Homelap.
Aber vom Prinzip her reicht der PacketTracer für den CCNA aus. Allerdings nicht mehr für den CCNA Security und alle weiteren Prüfungen. Empfehlenswert ist dann noch der GNS3 im zusammenwirken mit echter Hardware ;)
Gruß
-
Habe nochmal alles geloggt bzw die logs vom NPS geprüft. Der Client meldet sich korrekt an jedoch auch gleich wieder ab. Zusätzlich erfolgt keine zuweisung in irgend ein vlan. Der port geht auf Fehler.
-
Ich habe den NPS wie in der Anleitung konfiguriert, in der Anleitung (dafür vielen Dank an blackbox ) für den NPS wird beschrieben wie man eine Anmeldung auf dem Cisco Gerät mit AD realisiert.
Laut Wireshark bekomme ich dort vom NPS eine gültige Antwort zurück, leider aber trotzdem kein Zugriff auf den Switch, mag daran liegen das ich keinen RSA Key generieren und somit kein SSH nutzen kann.
Habe die Konfoguration auf dem Switch also einwenig geändert sodass ich mit dem IEEE802.1x den NPS Ansprechen kann.
aaa authentication dot1x default group NPSSERVER
Habe natürlich fleissig Wireshark laufen lassen und festgestellt das ich eine Ablehnung von NPS Server bekomme wenn der Switch die Anmeldung von dem WIn Client an den NPS übermittelt. Also denke ich das eine Windows Einstellung nicht so ist wie sie für dot1x sein soll.
Hat da einer vielleicht Erfahrung mit?
Gruß
Meta
-
Debug Schnipsel:
00:30:03: dot1x-ev:Transmitting an EAPOL frame on FastEthernet0/1
00:30:03: dot1x-packet:Tx EAP-Request(Id), id 7, ver 1, len 5 (Fa0/1)
00:30:03: dot1x-registry:registry:dot1x_ether_macaddr called
00:30:03: dot1x-packet:Tx sa=0009.438b.4d01, da=0180.c200.0003, et 888E (Fa0/1)
00:30:33: dot1x-sm:Fa0/1:0000.0000.0000:dot1x_process_txWhen_expire called
00:30:33: dot1x_auth Fa0/1: during state auth_connecting, got event 19(txWhen_expire)
00:30:33: @@@ dot1x_auth Fa0/1: auth_connecting -> auth_connecting
00:30:33: dot1x-sm:Fa0/1:0000.0000.0000:auth_connecting_connecting_action called
00:30:33: dot1x-ev:dot1x_post_message_to_auth_sm: Tx for req_id for supplicant 0000.0000.0000
-
Hallo Community,
ich habe folgendes Problem,
ich habe meinen 2950 Switch wie folgt eingerichtet:
(config)#aaa new model
(config)#radius-server host 192.168.4.140
(config)#radius-server key sehrgeheim
(config)#aaa authentication dot1x default group radius
(config)#dot1x system-auth-control
(config)#interface fa 0/1
(config-if)#switchport access vlan 10
(config-if)#switchport mode access
(config-if)#dot1x port-control auto
(config-if)#dot1x auth-fail vlan 99
Auf meinem Windows 2008 RC2 Server läuft der NPS Dienst (Radius)
Wenn ich mich jetzt versuche von meinem Client (Win7 Pro) über den Authdienst 802.1x (verkabeltes Netzwerk) am Switch anzumelden funktioniert das nicht, ich werde in das vlan 99 geswitcht.
Ich bin mir ziemlich sicher das an der konfiguration beim Switch nicht verkehrt ist, jedoch habe ich die Vermutung das ich beim Radius was falsch gemacht habe. Hat einer von Euch eventuell einen Leitfaden zum Einrichten des Radius (WIN2008RC2) bzw einen Vorschlag oder einen Hinweis?
Gruß
Cisco ASA 5505 - 1x VPN / 1x Internet
in Cisco Forum — Allgemein
Geschrieben
Die ASA hat schon vorteile ich würde da auch eine Bastellösung bevorzugen sowie blackbox dieses beschrieben hat.