Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:eduroam:easyroam:vlan_in_easyroam [2024/05/30 10:42] Ralf Paffrathde:eduroam:easyroam:vlan_in_easyroam [2024/09/23 14:48] (aktuell) Ralf Paffrath
Zeile 1: Zeile 1:
 ==== Für Admins: Konfiguration von VLAN's in easyroam ==== ==== Für Admins: Konfiguration von VLAN's in easyroam ====
 === Ausgangslage === === Ausgangslage ===
-Selbstverständlich lassen sich auch VLAN's in easyroam konfigurieren. Ausgangskonfiguration ist typische RadSec Anbindung eines eduroam IdP's in easyroam am Beispiel des radsecproxy:+Selbstverständlich lassen sich auch VLAN's in easyroam konfigurieren. Ausgangskonfiguration ist eine typische RadSec Anbindung eines eduroam SP's in easyroam am Beispiel des radsecproxy:
  
 <alert>/etc/radsec/radsecproxy.conf</alert> <alert>/etc/radsec/radsecproxy.conf</alert>
- 
 <code> <code>
 ListenUDP               *:1812 ListenUDP               *:1812
Zeile 14: Zeile 13:
 LogLevel                5 LogLevel                5
  
-####### lokal WLAN stuff ####+####### local WLAN stuff ####
  
 client wlan_controllser { client wlan_controllser {
Zeile 22: Zeile 21:
 } }
 ########## PKI stuff #### ########## PKI stuff ####
 +
 tls eduroamPKI { tls eduroamPKI {
         CACertificateFile  /etc/radsec/certs/eduroam-ca/eduroam-root-ca.pem         CACertificateFile  /etc/radsec/certs/eduroam-ca/eduroam-root-ca.pem
Zeile 74: Zeile 74:
 LogLevel                5 LogLevel                5
  
-####### lokal WLAN stuff ####+####### local WLAN stuff ####
  
 client wlan_controllser { client wlan_controllser {
Zeile 90: Zeile 90:
  addAttribute           64:13  addAttribute           64:13
  addAttribute           65:6  addAttribute           65:6
- addAttribute           81:'64'+ addAttribute           81:'64
 } }
  
Zeile 154: Zeile 154:
 LogLevel                5 LogLevel                5
  
-####### lokal WLAN stuff ####+####### local WLAN stuff ####
  
 client wlan_controllser { client wlan_controllser {
Zeile 207: Zeile 207:
  
 realm /@easyroam(-pca)?<instistut-realm>$/ { realm /@easyroam(-pca)?<instistut-realm>$/ {
-        server localhost-add-vlan+        server localloop
 } }
  
Zeile 215: Zeile 215:
  server tld3  server tld3
 }</code> }</code>
 +
 +Der neu hinzukommende radsecproxy: 
  
 <alert>/etc/radsec/radsecproxy_add_vlan.conf</alert> <alert>/etc/radsec/radsecproxy_add_vlan.conf</alert>
Zeile 231: Zeile 233:
  addAttribute           64:13  addAttribute           64:13
  addAttribute           65:6  addAttribute           65:6
- addAttribute           81:'64'+ addAttribute           81:'64
 } }
  
Zeile 250: Zeile 252:
  
 ###### PKI stuff #### ###### PKI stuff ####
 +
 tls eduroamPKI { tls eduroamPKI {
         CACertificateFile  /etc/radsec/certs/eduroam-ca/eduroam-root-ca.pem         CACertificateFile  /etc/radsec/certs/eduroam-ca/eduroam-root-ca.pem
Zeile 256: Zeile 259:
  
 ####### Federationsserver stuff #### ####### Federationsserver stuff ####
 +
 server  tld1 { server  tld1 {
         host  193.174.75.134         host  193.174.75.134
Zeile 282: Zeile 286:
  
 ###### realm stuff ##### ###### realm stuff #####
 +
 realm realm /@easyroam(-pca)?<instituts-realm>$/ { realm realm /@easyroam(-pca)?<instituts-realm>$/ {
  server tld1  server tld1
Zeile 292: Zeile 297:
 === Der Test === === Der Test ===
  
-Mit eapol_test lässt sich belegen, dass die Attribute für VLAN's korrekt im Access-Accept Paket hinzugefügt werden.+Mit eapol_test lässt sich belegen, dass die Attribute für VLAN's korrekt dem Access-Accept Paket hinzugefügt werden.
  
 <code> <code>
Zeile 346: Zeile 351:
  
 <code> <code>
-RADIUS message: code=1 (Access-Request) identifier=9 length=512 +Sending RADIUS message to authentication server 
-   Attribute 1 (User-Name) length=47 +RADIUS message: code=1 (Access-Request) identifier=9 length=518 
-      Value: '6090495638272782046@easyroam-pca.hs-bremen.de'+   Attribute 1 (User-Name) length=53 
 +      Value: '6090495638272782046@easyroam-pca.institute-realm.de'
    Attribute 4 (NAS-IP-Address) length=6    Attribute 4 (NAS-IP-Address) length=6
       Value: 127.0.0.1       Value: 127.0.0.1
Zeile 362: Zeile 368:
       Value: 'CONNECT 11Mbps 802.11b'       Value: 'CONNECT 11Mbps 802.11b'
    Attribute 79 (EAP-Message) length=255    Attribute 79 (EAP-Message) length=255
-      Value: 025301520d001cc745f566f6e1db7da12a54b3a704752605db18a5feadfc6b712a5752cc55fa4d30b1ea6939e554c125abad9baa021de89084170a4a5329ff921de081d66f5e723f40218b2bf02d920861f0d8a58d5eee192a15b9efe30b4e88c088a164820e39defa4d4932f378c63c5ff6dd81aa9dc1e99074d5b0b55e4610f43921f9b87635e0b25d459932e487b4b1922c72908c61446426322e045572d1c4993055af0d6cf6802c8f309a1f9a8938569c55c7d56c342a2db8d62f476fa0bd675b1b1fb11bed8fa250d74b784fcce6c08926661c5ebbdeacf9efed92fd93754b7609b7b21031139b1d009a4a283eca43c4eea2834194e3be0106a0+      Value: 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
    Attribute 79 (EAP-Message) length=87    Attribute 79 (EAP-Message) length=87
-      Value: 658b2a75e1a604eba14b471703030045a45488cbd0bb4f384f3eac28b508c5570cda191777a1f52e441777b7157b9523f79460c14a6b36ac0a822e8d87c06987e9c544ec042d800bd89d6d4e4316f503fe9ffb4993+      Value: 0d318a30b3ca7daa1c4e36170303004583ff81e5939f69e193ab8eb441c5596a33a8c21418616d3617c15cc00afaf421739c11bc1771ee8548b945907904e7e2a396b84df50ce7e5c64a12feebd330741c9d90c52e
    Attribute 24 (State) length=18    Attribute 24 (State) length=18
-      Value: dc601456d433191b4f47ced99740beb9+      Value: 2168c43f29b9c9eafd8c90d2473fe380
    Attribute 80 (Message-Authenticator) length=18    Attribute 80 (Message-Authenticator) length=18
-      Value: 4da1f1ff96885d12ffcedd294abf0d28+      Value: 80e122ef58f88e4963afead78911076b
 Next RADIUS client retransmit in 3 seconds Next RADIUS client retransmit in 3 seconds
 EAPOL: SUPP_BE entering state RECEIVE EAPOL: SUPP_BE entering state RECEIVE
-Received 180 bytes from RADIUS server+Received 186 bytes from RADIUS server
 Received RADIUS message Received RADIUS message
-RADIUS message: code=3 (Access-Reject) identifier=9 length=180+RADIUS message: code=3 (Access-Reject) identifier=9 length=186
    Attribute 79 (EAP-Message) length=6    Attribute 79 (EAP-Message) length=6
-      Value: 04530004+      Value: 04d10004
    Attribute 80 (Message-Authenticator) length=18    Attribute 80 (Message-Authenticator) length=18
-      Value: e41108844ff36ce95446be4533ebc58a +      Value: 1738d193c2cf0bba54fb9f5f3cf07647 
-   Attribute 18 (Reply-Message) length=136 +   Attribute 18 (Reply-Message) length=142 
-      Value: 'Certificate CN 6174679189648274680@easyroam-pca.dfn.de does not match specified value (6090495638272782046@easyroam-pca.hs-bremen.de)!'+      Value: 'Certificate CN 6174679189648274680@easyroam-pca.dfn.de does not match specified value (6090495638272782046@easyroam-pca.institute-realm.de)!'
 STA 01:02:03:04:05:06: Received RADIUS packet matched with a pending request, round trip time 1.01 sec</code> STA 01:02:03:04:05:06: Received RADIUS packet matched with a pending request, round trip time 1.01 sec</code>
  
 === Kombinieren === === Kombinieren ===
-Die angeführten Beispiele lassen sich beliebig kombinieren. In den Beispielen werden zwei Uplinks zu den Föderationsservern etabliert. Es ist aber auch möglich mit einem Beinchen zu den Föderationsservern VLAN's für die eigenen easyroam Nutzenden zu konfigurieren. Auch gezielt, easyroam Nutzende (extern/interne) in privilegierte VLAN's zu leiten, ist möglich. Das entscheidet jedoch lokal jeder Admin selbst.+Die angeführten Beispiele lassen sich beliebig kombinieren. Zu beachten ist jedoch, dass lokale Loops konfiguriert werden können. Externe Loops, die den eduroam Betrieb gefährden könnten, sind ausgeschlossen, da unsere Server in der Regel mit einem Reject oder Accept antworten. In den Beispielen werden zwei Uplinks zu den Föderationsservern etabliert. Es ist aber auch möglich mit einem Beinchen zu den Föderationsservern VLAN's für die eigenen easyroam Nutzenden zu konfigurieren. Auch gezielt, easyroam Nutzende (extern/interne) in privilegierte VLAN's zu leiten, ist möglich. Das entscheidet jedoch lokal jeder Admin selbst.
  • Zuletzt geändert: vor 10 Monaten