Radius dynamische VLAN-Zuordnung

Status
Für weitere Antworten geschlossen.

molfa

Benutzer
Mitglied seit
26. Apr 2011
Beiträge
58
Punkte für Reaktionen
0
Punkte
0
Ich möchte den Synology Radius-Server benutzen, um eine dynamische VLAN-Zuordnung an meinem VLAN-Switch (Cisco SG-300) zu erreichen. Ich möchte für mein kleines Heimnetz keine LDAP oder AD-Umgebung aufbauen. Das scheint mir "oversized". Ich habe bisher nicht herausbekommen, wie ich die "Tunnel"-Attribute zu einem Nutzer anlegen kann. Bei näherer Betrachtung der Radius-Installation scheint der perfekte Platz für meine User-Config die Datei

"/usr/local/synoradius/rad_users"

zu sein. Hier habe ich folgende Testconfig abgelegt:

"Test" Cleartext-Password := "vlan10"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10

Das Syntax habe ich in einem Artikel auf administrator.de gefunden: http://www.administrator.de/contentid/154402

Leider scheint der Radius-Server meine Angaben zu ignorieren:

"SYNOUserGet failed (input name [Test] ..."

Er sucht also nach einem lokalen Benutzer mit dem Namen "Test", den es nicht gibt. Und selbst wenn es ihn gäbe, sehe ich keine Stelle, wo ich die VLAN-Informationen ablegen könnte.

Hat jemand eine Idee, wie ich weiterkommen kann?

Besten Dank,
molfa
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.064
Punkte für Reaktionen
8
Punkte
64
Hallo molfa,

ich habe bei mir zu Hause zwar kein VLAN im Einsatz, aber ich habe den RADIUS ein wenig "modifiziert" um Benutzer verschiedenen SSID's zuzuordnen.
Bedeutet:
Es gibt mehrere WLAN SSID (z.B. Alpha, Bravo, Charlie etc ...)
Die User werden nun in den Hunt-Group's (Sind aber auf der Syno nicht aktiviert) zugeordnet.

Dazu habe in der Datei "/volumeX/@appstore/RadiusServer/etc/raddb/huntgroups" die Gruppen nach IP-Adresse des AccessPoints festgelegt.
z.B.:
Rich (BBCode):
Alpha   NAS-IP-Address == 10.0.0.1
Bravo   NAS-IP-Address == 10.0.1.1
Charlie NAS-IP-Address == 10.0.2.1

In der Datei "/volumeX/@appstore/RadiusServer/etc/raddb/eap.conf" noch die Einträge:
Rich (BBCode):
"copy_request_to_tunnel" und "use_tunneled_reply"
auf " = yes" gesetzt.

Als letztes in der Datei:
"/volumeX/@appstore/RadiusServer/etc/raddb/users"
Rich (BBCode):
DEFAULT Ldap-Group == "LDAP_Alpha, Huntgroup-Name = Alpha, Auth-Type := EAP
DEFAULT Ldap-Group == "LDAP_Bravo, Huntgroup-Name = Bravo, Auth-Type := EAP
DEFAULT Ldap-Group == "LDAP_Charlie, Huntgroup-Name = Charlie, Auth-Type := EAP
DEFAULT Auth-Type := Reject
am Anfang eingefügt.

Dann die obigen Dateien und "/volumeX/@appstore/RadiusServer/etc/raddb/modules/preprocess" (sofern noch nicht geschehen) mit chmod 755 ausführbar gemacht (bin mir aber nicht sicher, ob es wichtig ist)

Wie nun aber die korrekte Konfig für Benutzer direkt im RADIUS erfolgt kann ich nicht genau sagen, aber evtl. hilft es Dir weiter.

Mit meiner Konfiguration erreiche ich jetzt, das nur Benutzer in der jeweiligen LDAP-Gruppe das entsprechende WLAN nutzen können.

Gruß,
Andreas
 

molfa

Benutzer
Mitglied seit
26. Apr 2011
Beiträge
58
Punkte für Reaktionen
0
Punkte
0
Hallo JudgeDredd

Danke erstmal für Deine Antwort.

Die Datei "/volumeX/@appstore/RadiusServer/etc/raddb/users" hat ja einen include auf die von mir geänderte Datei "/usr/local/synoradius/rad_users". Von da wundert es mich, dass Deine Änderungen Berücksichtigung finden und meine nicht. Ich habe mal den Synology-Support kontaktiert. Mal sehen, ob das weiterhilft.
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.064
Punkte für Reaktionen
8
Punkte
64
Ich habe mal den Synology-Support kontaktiert.
Ja, das hatte ich seinerzeit auch versucht, allerdings viel die Antwort eher bescheiden aus: "... wird von uns so nicht supportet. Nur was über die WebUI einstellbar ist".

Ich ändere die Dateien unterhalb "/usr/local/synoradius" nicht, weil bei einem Paketupdate die Änderungen wieder verloren gehen.

Müsste denn nicht zumindest in Deiner Version noch ein "Auth-Type" rein ? Sowas wie z.B. EAP, deren Weiterleitung ich auch in "/volumeX/@appstore/RadiusServer/etc/raddb/eap.conf" durch den Tunnel leite.
 

molfa

Benutzer
Mitglied seit
26. Apr 2011
Beiträge
58
Punkte für Reaktionen
0
Punkte
0
Müsste denn nicht zumindest in Deiner Version noch ein "Auth-Type" rein ? Sowas wie z.B. EAP, deren Weiterleitung ich auch in "/volumeX/@appstore/RadiusServer/etc/raddb/eap.conf" durch den Tunnel leite.

Soweit ich weiß, ist der Radius-Server smart genug, das selbst zu erkennen. Aber Genaueres weiß ich da auch nicht.

Ich wollte bei meiner Umsetzung in etwa das erreichen, was unter folgender URL beschrieben wird:

http://www.administrator.de/contentid/154402

cu, molfa
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.064
Punkte für Reaktionen
8
Punkte
64
Hast Du denn schon einmal versucht Dir das RADIUS Log anzusehen ?

Wenn Du in der Datei:
"/volumeX/@appstore/RadiusServer/syno_bin/RadiusServer.sh"

Aus der Zeile:
Rich (BBCode):
StartRAD()
...
/var/packages/RadiusServer/target/sbin/radiusd
...
ein
Rich (BBCode):
"/var/packages/RadiusServer/target/sbin/radiusd -X >{VerzeichnisDeinerWahl}/RadiusDebugLog.txt"
machst und den RADIUS mit

"/volumeX/@appstore/RadiusServer/syno_bin/RadiusServer.sh restart"

neu startest, dann kannst Du im Log schon einiges erkennen.
 

molfa

Benutzer
Mitglied seit
26. Apr 2011
Beiträge
58
Punkte für Reaktionen
0
Punkte
0
Logging

Ja, das ist ein guter Vorschlag. Das werde ich versuchen. Danke!
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat