Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 4291 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Client VLAN - Radius & Static

comebacktomorrow
Hi all,
I was really hoping I could just bang my head enough or google enough and find a answer, but alas, I'm out of ideas so I humbly ask for some help!

So my my UTM setup is working across multiple VLANs quite well - both wired and wireless, on one hand, and Radius authentication working nicely on the other. The point where I have fallen down, and is my hopefully last step, is on setting up Radius defined VLANs.

I've tested bridging to a VLAN ID - no trouble there, but as soon as I try and bridge to a VLAN ID that has been defined by radius, I loose all connectivity over WIFI - even if it is the same ID that was defined by static.

For instance, say the bridge to VLAN ID defined for the wireless network is 1.

Under Win2k12 R2 NPS I then add the attributes for setting VLAN over radius - Tunnel-Medium-Type =802, Tunnel-Type = VLAN, Tunnel-Private-Group-ID = 1

If I remove just "Tunnel-Private-Group-ID = 1", it works. If I add it back, it stops working. Ugh.

This is what I'm getting in the logs:
Without Tunnel-Private-Group-ID but bridging to VLAN1 by default :
2015:04:04-21:22:09 10.10.220.2 hostapd: wlan0: STA c8:85:50:ae:61:1d IEEE 802.11: authenticated
2015:04:04-21:22:09 10.10.220.2 hostapd: wlan0: STA c8:85:50:ae:61:1d IEEE 802.11: associated (aid 1)
2015:04:04-21:22:09 10.10.220.2 awelogger[26180]: id="4103" severity="info" sys="System" sub="WiFi" name="STA authentication" ssid="GatewayProduction" ssid_id="WLAN0.0" bssid="00:1a:8c:08:ea:10" sta="c8:85:50:ae:61:1d" status_code="0"
2015:04:04-21:22:09 10.10.220.2 awelogger[26180]: id="4104" severity="info" sys="System" sub="WiFi" name="STA association" ssid="GatewayProduction" ssid_id="WLAN0.0" bssid="00:1a:8c:08:ea:10" sta="c8:85:50:ae:61:1d" status_code="0"
2015:04:04-21:22:10 10.10.220.2 hostapd: wlan0: STA c8:85:50:ae:61:1d WPA: pairwise key handshake completed (RSN)
2015:04:04-21:22:10 10.10.220.2 hostapd: wlan0: STA c8:85:50:ae:61:1d IEEE 802.1X: authenticated - EAP type: 25 ((null))
2015:04:04-21:22:10 10.10.220.2 awelogger[26180]: id="4101" severity="info" sys="System" sub="WiFi" name="STA connected" ssid="GatewayProduction" ssid_id="WLAN0.0" bssid="00:1a:8c:08:ea:10" sta="c8:85:50:ae:61:1d"


And DHCP:
2015:04:04-21:22:11 firewall dhcpd: DHCPREQUEST for 10.10.200.201 from c8:85:50:ae:61:1d via eth1.1
2015:04:04-21:22:11 firewall dhcpd: DHCPACK on 10.10.200.201 to c8:85:50:ae:61:1d via eth1.1


Everything works as expected.

Same as above except Tunnel-Private-Group-ID set to VLAN1:
2015:04:04-21:26:50 10.10.220.2 hostapd: wlan0: STA c8:85:50:ae:61:1d IEEE 802.11: authenticated
2015:04:04-21:26:50 10.10.220.2 hostapd: wlan0: STA c8:85:50:ae:61:1d IEEE 802.11: associated (aid 1)
2015:04:04-21:26:50 10.10.220.2 awelogger[26180]: id="4103" severity="info" sys="System" sub="WiFi" name="STA authentication" ssid="GatewayProduction" ssid_id="WLAN0.0" bssid="00:1a:8c:08:ea:10" sta="c8:85:50:ae:61:1d" status_code="0"
2015:04:04-21:26:50 10.10.220.2 awelogger[26180]: id="4104" severity="info" sys="System" sub="WiFi" name="STA association" ssid="GatewayProduction" ssid_id="WLAN0.0" bssid="00:1a:8c:08:ea:10" sta="c8:85:50:ae:61:1d" status_code="0"
2015:04:04-21:26:51 10.10.220.2 hostapd: wlan0: STA c8:85:50:ae:61:1d RADIUS: VLAN ID 1
2015:04:04-21:26:51 10.10.220.2 hostapd: wlan0: STA c8:85:50:ae:61:1d WPA: pairwise key handshake completed (RSN)
2015:04:04-21:26:51 10.10.220.2 hostapd: wlan0: STA c8:85:50:ae:61:1d IEEE 802.1X: authenticated - EAP type: 25 ((null))
2015:04:04-21:26:51 10.10.220.2 awelogger[26180]: id="4101" severity="info" sys="System" sub="WiFi" name="STA connected" ssid="GatewayProduction" ssid_id="WLAN0.0" bssid="00:1a:8c:08:ea:10" sta="c8:85:50:ae:61:1d"


DHCP: Nothing. (Even if I manually assign a device, I still can't get any connectivity).

Would love for some pointers! Thanks. Dave


This thread was automatically locked due to age.
  • 0
    Okay. I figured it out!

    The naming of the interfaces under Interfaces & Routing is important!

    The interface names need to match what you've set as the VLAN names on your switch - it's not enough to have the number match.

    I guess the reason why I didn't think to try this earlier was because nothing else seems to care that my VLAN names weren't the same as what was defined under my interfaces under the UTM.

    If anyone can explain why, I'd be interesting in the explanation!

    Hope this helps someone else! - Dave
  • 0 in reply to comebacktomorrow
    Just as a further update, curiosity got the better of me - as far as I understand from a dot1q perspective, VLAN name shouldn't matter. So I changed the name to something not the VLAN name: it worked. So I changed all the names, now all but VLAN 1 work. Great [:S]

    Anyway, here is a log from a good Radius-VLAN login (first time) to log out: 
    2015:04:05-12:34:47 10.10.220.3 hostapd: wlan0: STA c8:85:50:ae:61:1d IEEE 802.11: authenticated

    2015:04:05-12:34:47 10.10.220.3 hostapd: wlan0: STA c8:85:50:ae:61:1d IEEE 802.11: associated (aid 1)

    2015:04:05-12:34:47 10.10.220.3 awelogger[1798]: id="4103" severity="info" sys="System" sub="WiFi" name="STA authentication" ssid="GatewayProduction" ssid_id="WLAN0.0" bssid="00:1a:8c:08:ea:10" sta="c8:85:50:ae:61:1d" status_code="0"

    2015:04:05-12:34:47 10.10.220.3 awelogger[1798]: id="4104" severity="info" sys="System" sub="WiFi" name="STA association" ssid="GatewayProduction" ssid_id="WLAN0.0" bssid="00:1a:8c:08:ea:10" sta="c8:85:50:ae:61:1d" status_code="0"

    2015:04:05-12:34:48 10.10.220.3 hostapd: wlan0: STA c8:85:50:ae:61:1d RADIUS: VLAN ID 21

    2015:04:05-12:34:48 10.10.220.3 kernel: [ 465.730000] device vlan21 entered promiscuous mode

    2015:04:05-12:34:48 10.10.220.3 kernel: [ 465.730000] brbr-lan.21: port 1(vlan21) entered forwarding state

    2015:04:05-12:34:48 10.10.220.3 kernel: [ 465.730000] brbr-lan.21: port 1(vlan21) entered forwarding state

    2015:04:05-12:34:48 10.10.220.3 kernel: [ 465.730000] device wlan0.21 entered promiscuous mode

    2015:04:05-12:34:48 10.10.220.3 kernel: [ 465.730000] brbr-lan.21: port 2(wlan0.21) entered forwarding state

    2015:04:05-12:34:48 10.10.220.3 kernel: [ 465.730000] brbr-lan.21: port 2(wlan0.21) entered forwarding state

    2015:04:05-12:34:48 10.10.220.3 kernel: [ 465.740000] brbr-lan.21: port 1(vlan21) entered forwarding state

    2015:04:05-12:34:48 10.10.220.3 kernel: [ 465.740000] brbr-lan.21: port 2(wlan0.21) entered forwarding state

    2015:04:05-12:34:51 10.10.220.3 awelogger[1798]: id="4105" severity="info" sys="System" sub="WiFi" name="STA WPA failure" ssid="GatewayProduction" ssid_id="WLAN0.0" bssid="00:1a:8c:08:ea:10" sta="c8:85:50:ae:61:1d" reason_code="2"

    2015:04:05-12:34:53 10.10.220.3 hostapd: wlan0: STA c8:85:50:ae:61:1d IEEE 802.11: disassociated


    Why VLAN1 isn't working... No idea. And now I wish I made a rollback point [:(]
  • 0
    VLAN 1 is reserved for communication between APs and the UTM.  Use a different Tag/ID.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Unfiltered HTML