PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : dynamische VLAN-Zuordnung



molfa
14.09.2014, 15:53
Ich möchte den Synology Radius-Server benutzen, um eine dynamische VLAN-Zuordnung an meinem VLAN-Switch (Cisco SG-300) zu erreichen. Ich möchte für mein kleines Heimnetz keine LDAP oder AD-Umgebung aufbauen. Das scheint mir "oversized". Ich habe bisher nicht herausbekommen, wie ich die "Tunnel"-Attribute zu einem Nutzer anlegen kann. Bei näherer Betrachtung der Radius-Installation scheint der perfekte Platz für meine User-Config die Datei

"/usr/local/synoradius/rad_users"

zu sein. Hier habe ich folgende Testconfig abgelegt:

"Test" Cleartext-Password := "vlan10"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10

Das Syntax habe ich in einem Artikel auf administrator.de gefunden: http://www.administrator.de/contentid/154402

Leider scheint der Radius-Server meine Angaben zu ignorieren:

"SYNOUserGet failed (input name [Test] ..."

Er sucht also nach einem lokalen Benutzer mit dem Namen "Test", den es nicht gibt. Und selbst wenn es ihn gäbe, sehe ich keine Stelle, wo ich die VLAN-Informationen ablegen könnte.

Hat jemand eine Idee, wie ich weiterkommen kann?

Besten Dank,
molfa

JudgeDredd
14.09.2014, 18:55
Hallo molfa,

ich habe bei mir zu Hause zwar kein VLAN im Einsatz, aber ich habe den RADIUS ein wenig "modifiziert" um Benutzer verschiedenen SSID's zuzuordnen.
Bedeutet:
Es gibt mehrere WLAN SSID (z.B. Alpha, Bravo, Charlie etc ...)
Die User werden nun in den Hunt-Group's (Sind aber auf der Syno nicht aktiviert) zugeordnet.

Dazu habe in der Datei "/volumeX/@appstore/RadiusServer/etc/raddb/huntgroups" die Gruppen nach IP-Adresse des AccessPoints festgelegt.
z.B.:

Alpha NAS-IP-Address == 10.0.0.1
Bravo NAS-IP-Address == 10.0.1.1
Charlie NAS-IP-Address == 10.0.2.1

In der Datei "/volumeX/@appstore/RadiusServer/etc/raddb/eap.conf" noch die Einträge:

"copy_request_to_tunnel" und "use_tunneled_reply"
auf " = yes" gesetzt.

Als letztes in der Datei:
"/volumeX/@appstore/RadiusServer/etc/raddb/users"

DEFAULT Ldap-Group == "LDAP_Alpha, Huntgroup-Name = Alpha, Auth-Type := EAP
DEFAULT Ldap-Group == "LDAP_Bravo, Huntgroup-Name = Bravo, Auth-Type := EAP
DEFAULT Ldap-Group == "LDAP_Charlie, Huntgroup-Name = Charlie, Auth-Type := EAP
DEFAULT Auth-Type := Reject
am Anfang eingefügt.

Dann die obigen Dateien und "/volumeX/@appstore/RadiusServer/etc/raddb/modules/preprocess" (sofern noch nicht geschehen) mit chmod 755 ausführbar gemacht (bin mir aber nicht sicher, ob es wichtig ist)

Wie nun aber die korrekte Konfig für Benutzer direkt im RADIUS erfolgt kann ich nicht genau sagen, aber evtl. hilft es Dir weiter.

Mit meiner Konfiguration erreiche ich jetzt, das nur Benutzer in der jeweiligen LDAP-Gruppe das entsprechende WLAN nutzen können.

Gruß,
Andreas

molfa
15.09.2014, 12:18
Danke erstmal für Deine Antwort.

Die Datei "/volumeX/@appstore/RadiusServer/etc/raddb/users" hat ja einen include auf die von mir geänderte Datei "/usr/local/synoradius/rad_users". Von da wundert es mich, dass Deine Änderungen Berücksichtigung finden und meine nicht. Ich habe mal den Synology-Support kontaktiert. Mal sehen, ob das weiterhilft.

JudgeDredd
15.09.2014, 12:40
Ich habe mal den Synology-Support kontaktiert.
Ja, das hatte ich seinerzeit auch versucht, allerdings viel die Antwort eher bescheiden aus: "... wird von uns so nicht supportet. Nur was über die WebUI einstellbar ist".

Ich ändere die Dateien unterhalb "/usr/local/synoradius" nicht, weil bei einem Paketupdate die Änderungen wieder verloren gehen.

Müsste denn nicht zumindest in Deiner Version noch ein "Auth-Type" rein ? Sowas wie z.B. EAP, deren Weiterleitung ich auch in "/volumeX/@appstore/RadiusServer/etc/raddb/eap.conf" durch den Tunnel leite.

molfa
15.09.2014, 14:11
Müsste denn nicht zumindest in Deiner Version noch ein "Auth-Type" rein ? Sowas wie z.B. EAP, deren Weiterleitung ich auch in "/volumeX/@appstore/RadiusServer/etc/raddb/eap.conf" durch den Tunnel leite.

Soweit ich weiß, ist der Radius-Server smart genug, das selbst zu erkennen. Aber Genaueres weiß ich da auch nicht.

Ich wollte bei meiner Umsetzung in etwa das erreichen, was unter folgender URL beschrieben wird:

http://www.administrator.de/contentid/154402

cu, molfa

JudgeDredd
16.09.2014, 06:47
Hast Du denn schon einmal versucht Dir das RADIUS Log anzusehen ?

Wenn Du in der Datei:
"/volumeX/@appstore/RadiusServer/syno_bin/RadiusServer.sh"

Aus der Zeile:

StartRAD()
...
/var/packages/RadiusServer/target/sbin/radiusd
...
ein

"/var/packages/RadiusServer/target/sbin/radiusd -X >{VerzeichnisDeinerWahl}/RadiusDebugLog.txt"machst und den RADIUS mit

"/volumeX/@appstore/RadiusServer/syno_bin/RadiusServer.sh restart"

neu startest, dann kannst Du im Log schon einiges erkennen.

molfa
16.09.2014, 09:50
Ja, das ist ein guter Vorschlag. Das werde ich versuchen. Danke!