Radius Active Directory

[invite231269ff]

Bonjour,
j'ai à configurer un serveur Radius pour une entreprise et je dois utiliser avec celui-ci un Serveur Active Directory, afin d'utiliser les comptes utilisateurs déjà existants.

J'ai effectuer quelques recherches et il faudrait apparament utiliser un serveur Samba afin de gérer la liaison entre Radius et Active Directory, et il faudrait de plus une connexion NTLM entre ces deux serveurs.

Je m'y perd un peu ^^ n'ayant encore jamais effectuer ce genre de configuration, je viens donc requérir votre aide

La structure en place peut être décrit comme suit (Radius à placer dans le même réseau que AD):


serveur AD --------------> cisco 2950 ----------------->Switch(live Box)-----------> offre Equant ----------------> cisco 2950 ----------> client

J'espère avoir été clair merci d'avance pour vos réponses
-----

[Towl]

Oui il faut bien faire tout ce que tu dis. Par contre, je te conseille de mettre la connexion NTLM sur un autre VLAN de celui de radius, histoire de n'avoir acces qu'au radius lors de l'authentification et pas au radius et à l'AD.

un petit schema bien visible : http://wiki.freeradius.org/FreeRADIU...egration_HOWTO


Par contre, mettre les clients d'un coté d'un VPN, le radius de l'autre, faut voir quelles sont les termes du contrat avec orange. Il peut etre génant de ne plus pouvoir se connecter si le VPN tombe

[invite231269ff]

oki merci juste deux autres petites questions ^^
J'avais configurer un schéma plus simple pour faire des tests avec juste :

Radius -------------- Cisco 2950 -------------- client

et il était nécessaire de configurer le Switch comme suivant pour qu'il puisse communiquer avec le serveur :

aaa new-model
aaa authentification dot1x default group radius
dot1x system-auth-control
aaa authorization network default group radius
radius server host @ip-raius auth-port 1812 acct-port 1813 key secret-partagé-avec-le-NAS

Cette configuration est-elle à reproduire sur un Switch et si oui est plutôt sur le Switch côté client ou le Switch coté Serveur Radius ?


et euu concernant la gestion des Vlan côté Serveurs, donc radius samba dans un vlan et AD dans un autre mais concernant la connexion "client" dois-je la mettre dans le Vlan Radius/samba, dans le Vlan AD ou dans un autre Vlan ?

[Towl]

Cette configuration est-elle à reproduire sur un Switch et si oui est plutôt sur le Switch côté client ou le Switch coté Serveur Radius

Je suis pas spécialiste du 802.1x, mais je dirais que oui, c'est a reproduire sur un switch.
Après, ca dépend ou tu veux mettre du 802.1x. Si tu veux que tes serveurs s'authentifie, tu en mets partout (mais vive la galere à tout configurer )
Sinon, tu n'en mets que la ou tu en a besoin, donc coté client je présure

et euu concernant la gestion des Vlan côté Serveurs, donc radius samba dans un vlan et AD dans un autre mais concernant la connexion "client" dois-je la mettre dans le Vlan Radius/samba, dans le Vlan AD ou dans un autre Vlan ?

Je ne sais aps l'architecture que tu veux mettre en place, mais je dirais un truc du genre :
... --> (vlan radius) SERVEUR RADIUS <-- vlan RADIUS / SMB --> serveur SAMBA <-- vlan AD --> serveur AD

Sachant que si radius et samba sont sur la meme machine, pas besoin de vlan

[A voir en vidéo sur Futura]

[invite231269ff]

Oki super merci =) jvé entammer tout sa et je reviens ^^ si jamais jmy paume ^^

[invite231269ff]

re bonjour ==D

Bon ya eu quelque changement ^^ vu que j'utilise windows serveur 2003 j'configurer un IAS et pas un freeRadius donc pas besoin de samba. J'ai fait mes configs de test comme suit :



J'ai configuré l'ensemble = serveur Radius, serveur Active Directory, switch Cisco 2950, et client afin d'effectuer des tests d'authentification.

client ====> switch 2950 ===> autre Switch===> réseau éxistant ( AD, Radius .... )


J'ai configurer le serveur Radius pour qu'il utilise l'authentification MS-CHAP v2 et je l'ai inscrit et relié à Active Directory par une connection NTLM afin d'utiliser les comptes préexistant. Je n'ai rien configurer de spécial sur AD car il est déjà en place j'ai juste crée un utilisateur avec les droits basiques.

Concerant le Switch j'ai crée deux vlans dont un de quarantaine en cas d'echec d'authentification l'utilisateur y sera banni ( je ne fais mes test qu'avec les 5 premiers ports et le dernier étant relié a un autre Switch me raccordant au réseau préexistant où se trouve mes serveur Radius et AD).
Voici donc la config du Switch côté client.

Code:

Current configuration : 2206 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname SwitchTest
!
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
enable secret 5 $1$ZkVB$0gQadcrkxzPd3q.A.4BhV1
enable password secret
!
ip subnet-zero
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
interface FastEthernet0/1
 switchport access vlan 2
 switchport mode access
 duplex half
 dot1x port-control auto
 dot1x auth-fail vlan 3
 spanning-tree portfast
!
interface FastEthernet0/2
 switchport access vlan 2
 switchport mode access
 dot1x port-control auto
 dot1x auth-fail vlan 3
 spanning-tree portfast
!
interface FastEthernet0/3
 switchport access vlan 2
 switchport mode access
 dot1x port-control auto
 dot1x auth-fail vlan 3
 spanning-tree portfast
!
interface FastEthernet0/4
 switchport access vlan 2
 switchport mode access
 dot1x port-control auto
 dot1x auth-fail vlan 3
 spanning-tree portfast
!
interface FastEthernet0/5
 switchport access vlan 2
 switchport mode access
 dot1x port-control auto
 dot1x auth-fail vlan 3
 spanning-tree portfast
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
 switchport access vlan 2
 switchport mode trunk
 duplex half
!
interface Vlan1
 no ip address
 no ip route-cache
 shutdown
!
interface Vlan2
 no ip address
 no ip route-cache
!
interface Vlan3
 no ip address
 no ip route-cache
 shutdown
!
ip http server
radius-server host 172.16.0.1 auth-port 1812 acct-port 1813 key gtrnet
radius-server retransmit 3
!
line con 0
line vty 0 4
 password telnet
line vty 5 15
 password telnet
!
!
end

j'ai mis le max d'info s'il en faut plus ba demander moi ^^

Maintenant j'aimerais tester le fonctionnement de tous sa , vérifier le basculement dans le vlan de quarantaine et je ne vois pas comment m'y prendre pour être sûr! quelqu'un aurais un idée ?

[Towl]

Ca m'a l'air correct a premiere vue.

Pour tester, tu peux tenter de mettre un PC sur le port 1 qui réussis son authentification, et un sur le port 2 qui ne la passe pas. Si les PC ne communiques pas entre eux, c'est que ca marche

Sinon,sur la conf, 2-3 trucs qui me paraissent "étrange" :
- enable password secret --> si je me souviens bien, tu actives le mode enable avec le mot de passe 'secret'. Tu en as déjà un en MD5 (ligne au dessus), donc a priori ca ne sert à rien (juste à avoir le passe en clair dans la conf, ce qui est mal )

- duplex half --> il y a une raison ?

- switchport access vlan 2 ; switchport mode trunk ---> ce n'est pas plutot une config à base de switchport mode trunk ; switchport trunk native vlan 2 ? (pas de routeur sous la main, donc je sais pas ce que ca donne dans la conf, ni si c'est la bonne syntaxe)

- tes connexions vty, je te conseille de les mettre en 'login local' plutot que par mot de passe. Il te suffit comme ca d'ajouter un utilisateur (ou plus )


Et bien entendu, virer le serveur http une fois en prod En cas de besoin, tu pourras toujours le reactiver par la connexion vty

[invite231269ff]

Encore merci pour ton aide ^^
donc concernant ce qui est étrange ^^ :
- secret n'est pas le mot de passe pour activer le mode enable ^^ lors de la configuration initiale du switch j'ai pu enregistrer un autre mot de passe

- Concernant le half duplex c'est juste que mon Switch côté client était en full et que lorsque je l'ai connecté à l'autre Switch me donnant l'accès au réseau j'ai eu une erreur de "duplex mismatch" et en mettant mon switch coté client en half duplex cette erreur a disparu.

-Concernant le mode trunk c'est vrai que se serait ptete mieu ^^

- je n'ai jamais utilisé les connections vty donc je ne sais pas :X

- et Pourquoi virer le serveur http, j'ai configurer le Switch pour qu'il communique avec le serveur Radius si j'enlève ces lignes il ne pourra pu le faire no ?



En tout cas encore merci , mon maitre de stage au vu du fait que sa fait deux semaines que je trime sur cette config ma réorienté ^^, il veut faire de l'authentification niveau 2 sur sites distants et il semblerait donc que le filtrage par addresse mac ( centralisé dans la mesure du possible ) soit bien plus simplen je vais donc me pencher dessus maintenant mes tes conseils me sont toujours précieux ^^

[Towl]

secret n'est pas le mot de passe pour activer le mode enable ^^ lors de la configuration initiale du switch j'ai pu enregistrer un autre mot de passe

Tu es sur, sur certains routeur/switchs tu peux avoir plusieurs mot de passe pour le mode enable
et enable password secret ressemble furieusement à la commande pour activer le password 'secret' en clair.

En gros, tu as 3 facons destocker un mdp (toto) dans un cisco :
enable password toto <-- mot de passe en clair
enable password 7 toto <-- mot de passe chiffré mais tres facilement réversible
enable secret toto <-- mot de passe haché en MD5 (le meilleur)

- Concernant le half duplex c'est juste que mon Switch côté client était en full et que lorsque je l'ai connecté à l'autre Switch me donnant l'accès au réseau j'ai eu une erreur de "duplex mismatch" et en mettant mon switch coté client en half duplex cette erreur a disparu.

C'est un switch configurable ? Si oui, force les liens en 100 fulls de chaque coté. Plus les switchs / routeurs sont chers, moins il gèrent bien l'auto neg :s

- je n'ai jamais utilisé les connections vty donc je ne sais pas :X

si tu ne les utilisent pas, désactive les

- et Pourquoi virer le serveur http, j'ai configurer le Switch pour qu'il communique avec le serveur Radius si j'enlève ces lignes il ne pourra pu le faire no ?

Un serveur web de configuration de switch / routeur, c'était (et c'est surement encore) une vrai passoire niveau sécurité. Donc si tu mets du 802.1x pour la sécurité d'un coté, mais que tu ouvres en grand la porte ailleurs, c'est moyen
Essaye si possible d'utiliser ssh (si le switch supporte le chiffrement), sinon un telnet, mais depuis un vlan d'admin accessible que par certains postes bien particulier

En tout cas encore merci , mon maitre de stage au vu du fait que sa fait deux semaines que je trime sur cette config ma réorienté ^^, il veut faire de l'authentification niveau 2 sur sites distants et il semblerait donc que le filtrage par addresse mac ( centralisé dans la mesure du possible ) soit bien plus simplen je vais donc me pencher dessus maintenant

Dommage tu ne devait plus en etre tres loin à vue de nez. Enfin pour la config du switch Surtout qu'une fois que c'est configurer tu n'as plus rien a faire, c'est ce qui est agréable sur le 802.1x par rapport à l'ajout d'addresse MAC. Et puis c'est quand meme plus performant .

En tout cas, bon courage

[invite231269ff]

loool ba c'est sur niveau sécurité Radius est plus performant mais d'après la situation de l'entreprise si importante soit-elle ( dont je ne dirais rien ^^) il faut juste un filtrage basique car des hackeurs du fond de la compagne déjà il n'y en a pas beaucoup ^^ mais en plus il n'aurait rien de spécial en nous piratant ^^
( et pis comme sa j'en apprend un peu plus sur les deux méthodes )

Je reviens avec une nouvelle interrogation =), je suis donc passer à l'utilisation de VMPS( open VMPS), qui m'a l'air ma fois très simple à configurer même si rentrer toutes les adresses MAC et les adresses des switchs va être long


Imaginons la situation suivante :
Sur un port de switch manageable est connecté un hub (donc non manageable) et la première machine connectée à ce hub fait basculer le port dans le Vlan de « quarantaine » ( parce que son adresse MAC n'est pas dans la liste )
Comment faire pour permettre aux autres utilisateurs branchés sur ce hub ( qui ont une adresse MAC "valide", présente dans la liste ) de pouvoir se connecter au réseau ?

Vu que le port va être "bloquer" Comment les autres vont avoir accès au réseau :X

Voila mon principal soucis ( pour le moment ) ^^

Merci d'avance
cordialement le pti stagière ^^

[Towl]

Je ne sais pas trop comment marche ce truc, mais il y a peu de chance qu'il prenne ce cas en compte. Enfin, ca reste à tester
S'il ne prends pas ce cas en compte, bah la c'est développement d'un outil maison basé sur VMPS, ce qui peut prendre un temps certain

[invite231269ff]

A ba j'imagine que sa peut être long :X ( surtout quand on n'a pas l'habitude de ce genre de chose ^^) bon je vais comme même continuer à me renseigner mais j'avoue que sinon je vois pas comment régler la chose :X

[invite231269ff]

Bon je fais une nouvelle fois appel à vos services
Je cherche un moyen pour que le serveur reçoive des mises de la part des commutateurs concernant les machines connectées, j'imagine qu'il va falloir faire un script mais je vois pas du tout comment faire ni comment l'intégrer à mon serveur VMPS !?

( enfin si cela est vraiment nécessaire, c'est une demande de mon maître de stage ^^, mais vu que à chaque fois qu'un pc va se connecter il va fournir un demande ; je me pose la question de l'utilité de la chose ^^)


Encore merci d'avance
cdt Nozraj.

[Towl]

Je cherche un moyen pour que le serveur reçoive des mises de la part des commutateurs concernant les machines connectées,

Hum il manquerais pas des mots ? car la, la phrase ne me dit rien qui vaille

S'il s'agit de prévenir le serveur dès qu'une nouvelle interface devient up, regarde du coté du SNMP ou du coté des logs.
S'il s'agit de prévenir le serveur dès qu'une @ MAC se connecte sur un port déjà up, il faut peut etre regarder du coté de syslog, quitte à activer le mode debug sur les interfaces pour avoir cela.
S'il s'agit de pusher des configs à partir du serveur, regarde du coté de SNMP + tftp.

Ensuite, effectivement, il faut scriptouiller tout ca. Mais comme je comprends pas les besoins, je peux pas te donner de pistes sur le scripts

[invite231269ff]

oué dsl j'ai été un ti peu vite =) pardonne moi donc je reprend :

Je cherche un moyen pour que le serveur reçoive des mises à jour des adresses MAC de la part des commutateurs.
Donc que périodiquement les switchs renvoient les adresses MAC des machines connectées sur eux, au serveur; pour vérifier que les clients connectés sont toujours accepté sur le réseau.

Est ce que cela le serveur le fait tout seul ou faut-il un script ? (et si oui euu moi et ces trucs ^^ )


voil

[Towl]

Je dirais qu'il serait plus facile de faire le contraire, à savoir que le serveur interroge le commutateur plutôt que le commut. fasse cela (en général, a part les logs type debug, ils sont incapables de faire cela).
Plusieurs solutions s'offrent à toi, par ordre de simplicité :
- requetes arp demandant une réponse (arp who-has par exemple). Ne fait pas intervenir le commut., assez standard
- requete SNMP, à condition qu'une MIB te permette d'acceder à ce type de données (ca m'étonnerais, mais on sait jamais)
- faire un script telnet/ssh qui se connecte au commut. et fasse des show arp table, récupére les données et les traitent.


Après d'un point de vue interet, j'ai du mal à le saisir. Il existe différentes protection pour se protéger des redondances d'adresse MAC (dhcp snooping, arp inspection...)
Pourquoi aurais tu besoins de connaitre les adresses MAC connectées au commut ?

[invite231269ff]

C'est pour mettre à jour la table d'adresses centralisé du serveur VMPS.
Enfin après je me demandais si sa servait vraiment vu que dès qu'une nouvelle machine va se connecter, il y aura une requête du commutateur vers le serveur pour envoyer l'adresse MAC, la vérifier, et basculer la machine dans le bon vlan.

Sachant qu'à la base c'est mon tuteur qui voulais savoir s'il y avait des mises à jour périodiques re-vérifiant en gros les adresses sur les commutateurs. Et comme il n'y en a pas je me renseignais sur un moyen d'en faire.



cordialement

[Towl]

Le principe du VMPS, c'est justement de 'banir' les mac inconnues, pour éviter que des gens non authorisés se connecte. Et accessoiement, mettre les gens reconnus dans le bon vlan.
Si tu mets à jour automatiquement les adresses à partir du commut', tu perdras l'un des intéret du vmps .

[invite231269ff]

Oui mais je ne veux pas mettre à jour avec toutes les adresses de tous les PC connectés ^^, parce que effectivement sa autoriserais tout le monde


huum
Comment expliquer sa ^

Disons que périodiquement il faudrait que les commutateurs envoie un pti récapitulatif des ports occupés et quelles adresses sont dessus, pour vérifier si les adresses des PC connectés au switch sont toujours bonnes ^^ plutôt que d'attendre qu'un nouveau PC se connecte au switch pour envoyer un requête au serveur.

Pour vérifier en gros si les adresses MAC sont toujours bonnes ( un autre exemple en cas de modification de la table d'adresse du VMPS, une mise à jour de ce type permettrai de vérifier si tel ou tel adresse est toujours autorisé )

J'ai essayé d'être clair dit moi si ya encore une zone d'ombre lool ( c'est dur le matin avec manque de sommeil )

et encore merci de m'aider

[Towl]

Dans ce cas la, le plus simple c'est de faire un petit script shell qui s'occupe de tout récuperer.
Un exemple vite fait en bash (en supposant que tu utilise telnet, sinon, regarder du coté de la commande openssl)

Code:

#!/bin/bash
# telnet_script.sh
echo username
echo pass

echo en
echo show arp

Et ensuite tu execute la commande
nc <IP> <port> -e <script> > arp.txt
Ex:

Code:

nc 10.0.0.254 23 -e telnet_script.sh > arp.txt

[invite231269ff]

Oki merci ,
juste histoire d'être sûr ^^ :

L'adresse IP c'est celle du commutateur ?!

Dsl d'avoir toujours plein de question ^^ mais openSSL c'est pas pour le cryptage de mail ?

a pi une autre question =) concernant les vlans cette fois

Le port sur lequel je vais brancher le cable qui va relier mon switchclient( pour mon test) à un autre switch qui lui me reliera au réseau, je peux le laisser dans le vlan par défaut et le mettre en mode trunk.
Sachant que les autres ports sont en mode dynamique, et seront placé dans le vlan4 si l'authentification s'effectue, et bloquer sinon.

Mais si je le met dans le vlan4 (où seront tous les autres ports en mode dynamique) sa marchera ou pas ? =)
( pas d'intérêt particulier juste pour savoir ^^)

Encore et toujours merci pour ton aide

cdt .

[Towl]

L'adresse IP c'est celle du commutateur ?!

Yep bien entendu

Dsl d'avoir toujours plein de question ^^ mais openSSL c'est pas pour le cryptage de mail ?

Nop, OpenSSL, c'est LA boite à outil pour la crypto. Cela permet de générer des certificats, des clés publiques / privées, de faire un serveur ssl, un client ssl (l'equivalent du telnet sur un serveur HTTPS par exemple), ...

Le port sur lequel je vais brancher le cable qui va relier mon switchclient( pour mon test) à un autre switch qui lui me reliera au réseau, je peux le laisser dans le vlan par défaut et le mettre en mode trunk.

Hum.. vaste question. Je dirais en trunk, vlan natif le vlan de rejet. Et lorsqu'un client legitime est connecté, tu passe son port sur le switch client en access vlan 4 (au lieu de access vlan rejet).
Mais la, comme ca, pas facile de trouver la bonne réponse, puisque tout dépend de ce que tu souhaites faire ensuite, de la facilité (ou non) de ce que tu souahites mettre en oeuvre, etc..

Mais si je le met dans le vlan4 (où seront tous les autres ports en mode dynamique) sa marchera ou pas ? =)
( pas d'intérêt particulier juste pour savoir ^^)

T'aurais pas un schema (meme en ASCII art) pour montrer les connexions / protocoles, car j'avoue que je commence à m'y perdre

[invite231269ff]

Alors alors ^^
Bon j'ai tout programmer sa m'a l'air de marcher ma fois ^^ je met ma config, si tu y voix quelques amélioration à apporter je suis preneur( et pis si sa peut servir à quelqu'un d'autre aussi)


Donc voila ma config Switch pour commencer :
j'explique vite fait il y a les reste de ma conf pour Radius que j'ai garder au cas où ( autrement dit les ports de 2 à 5 sont configurés pour Radius) et j'ai mis en dynamique les ports 9 à 16 pour VMPS.
J'ai effectuer des tests sur 3 ports différents, le 9 en mode access, le 10 en mode Trunk, et le 11 sans mode de switchport : sa marche sur le port 10 uniquement =), les autres ports ne sont donc pas terminé d'être configuré ^^

De plus le port 1 est encore sur le vlan par défaut et est relié à un autre switch nommé ( Ciscotte ^^) qui sert de lien pour le reste du réseau ( jvais faire un schéma à la fin :P)

Switch#show run
Current configuration : 2708 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
enable secret 5 $1$ZkVB$0gQadcrkxzPd3q.A.4BhV1
enable password *****
!
ip subnet-zero
!
!
vmps reconfirm 120
vmps server ****.****.****.**** primary ( adresse du serveur principal)
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
interface FastEthernet0/1
switchport mode trunk
duplex half
!
interface FastEthernet0/2
switchport access vlan 2
switchport mode access
dot1x port-control auto
dot1x auth-fail vlan 3
spanning-tree portfast
!
interface FastEthernet0/3
switchport access vlan 2
switchport mode access
dot1x port-control auto
dot1x auth-fail vlan 3
spanning-tree portfast
!
interface FastEthernet0/4
switchport access vlan 2
switchport mode access
dot1x port-control auto
dot1x auth-fail vlan 3
spanning-tree portfast
!
interface FastEthernet0/5
switchport access vlan 2
switchport mode access
dot1x port-control auto
dot1x auth-fail vlan 3
spanning-tree portfast
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
switchport access vlan dynamic
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/10
switchport access vlan dynamic
switchport mode trunk
spanning-tree portfast
!
interface FastEthernet0/11
switchport access vlan dynamic
spanning-tree portfast
!
interface FastEthernet0/12
switchport access vlan dynamic
spanning-tree portfast
!
interface FastEthernet0/13
switchport access vlan dynamic
spanning-tree portfast
!
interface FastEthernet0/14
switchport access vlan dynamic
spanning-tree portfast
!
interface FastEthernet0/15
switchport access vlan dynamic
spanning-tree portfast
!
interface FastEthernet0/16
switchport access vlan dynamic
spanning-tree portfast
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
switchport mode trunk
duplex half
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan2
no ip address
no ip route-cache
shutdown
!
interface Vlan3
no ip address
no ip route-cache
shutdown
!
interface Vlan4
ip address 192.168.10.1 255.255.255.0
no ip route-cache
!
ip http server
radius-server host ***.***.***.*** auth-port 1812 acct-port 1813 key ******
radius-server retransmit 3
!
line con 0
line vty 0 4
password ******
line vty 5 15
password *******
!
!
end

Mes vlans :
(Vlan 2 et 3 sont donc pour Radius et le 4 est celui utilisé pour le serveur VMPS)

Switch#show vlan

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23, Fa0/24
2 acces_reseau active Fa0/2, Fa0/3, Fa0/4, Fa0/5
3 quarantaine active
4 VMPS active

Configuration de vmps sur le switch :

Switch#show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconfirm Interval: 120 min
Server Retry Count: 3
VMPS domain server: ****.****.****.**** (primary, current)
( adressse du serveur VMPS)
Reconfirmation status
---------------------
VMPS Action: other

Le VTP :

Switch#show vtp status
VTP Version : 2
Configuration Revision : 17
Maximum VLANs supported locally : 128
Number of existing VLANs : 8
VTP Operating Mode : Server
VTP Domain Name : test
VTP Pruning Mode : Disabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0xF1 0xAD 0x51 0x50 0xF5 0xA3 0x73 0xE8
Configuration last modified by 192.168.10.1 at 3-1-93 01:01:04
Local updater ID is 192.168.10.1 on interface Vl4 (lowest numbered VLAN interfac
e found)

et maintenant la conf du fichier vlan.db( qui remplace pour moi vmpsd.conf):

!vmps domain <domain-name>
! The VMPS domain must be defined.
!vmps mode { open | secure }
! The default mode is open.
!vmps fallback <vlan-name>
!vmps no-domain-req { allow | deny }
!
! The default value is allow.

vmps domain test
vmps mode open
vmps fallback --NONE--
vmps no-domain-req deny

!
!MAC Addresses
!
vmps-mac-addrs
!
! address <addr> vlan-name <vlan_name>
!
!PC de test ---- dans le vlan VMPS
address ****.****.****.**** vlan-name VMPS
( adresse MAC de ma machine de test)

! netreg extension - default vlan
!address 0010.a49f.30e1 vlan-name --DEFAULT--
! disabled - no access
!address 0010.a49f.30e2 vlan-name --NONE--
! vlan TEST restricted
!address 0010.a49f.30e3 vlan-name TEST
! vlan TEST1 unrestricted
!address 0010.a49f.30e4 vlan-name TEST1

!
!Port Groups
!
!vmps-port-group <group-name>
! default-vlan <vlan-name>
! fallback-vlan <vlan-name>
! device <device-id> { port <port-name> | all-ports }
!

vmps-port-group portgroup1
! default-vlan VLAN1
! fallback-vlan VLAN2
! device 10.0.0.1 port 2/4
! device 10.0.0.2 all-ports

!
!
!VLAN groups
!
!vmps-vlan-group <group-name>
! vlan-name <vlan-name>
!

!vmps-vlan-group vlangroup1
!vlan-name VMPS
! vlan-name vlan1
!
!VLAN port Policies
!
!vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> }
! { port-group <group-name> | device <device-id> port <port-name> }
!

!vmps-port-policies vlan-group vlangroup1
! port-group portgroup1

J'avais crée des groupes de ports et de vlans mais en fait sa à l'air de fonctionner sans ( donc il sont en commentaire dans le fichier)^^

Passons au schéma =P :



Voili =) j'ai mis tout je crois et désolé pour la longueur du post

Merci d'avance ^^ encore et encore

[invite231269ff]

Rectification =) cela ne fonctionne pas je n'arrive pas à interdire l'accès au réseau , c'est à dire que lorsque son adresse MAC n'est pas dans la liste sur le serveur VMPS il accède tout de même au réseau :X

[Towl]

Comme dit précédement, je ne connais pas vmps, mais a priori, un petit truc me choque : Ton port fa0/10 est en trunk. Je l'aurais mis en access.
Dans la config actuelle, il accepte tous les vlans, et les trames non taggées (donc les communications de la machines) sont assimilées au vlan 1. Enfin je suppose que c'est ce que donne le mode acces dynamic mode trunk.
Mais la dedans, je pourrais pas trop t'aider, j'ai un peu en horreur tout ce qui est configuration automatique (VTP & co)

[invite231269ff]

Mais le mode lorsque je test sur le port 9, donc avec le mode access sa ne fonctionne pas
Mais en tous cas encore merci pour tous ^^ tu m'a déjà bien aider

Et si jamais yen a sur le forum qui s'y connaissent sur VMPS je dis pas non ^^

[invite231269ff]

Sinon à part Radius et VMPS il y a une autre solution envisageable pour une sécurisation niveau 2 sur site distant sans passer par un réseau public ? ( je dis sa pour écarter la solution du VPN ^^)

[invite231269ff]

Un pti UP =) et des nouvelles j'ai quelque peut changer la configuration de test autrement dit que je ne passe pu par le switch Ciscotte pour avoir accès au réseau je m'y connecte directement.


Le blocage des ports fonctionne ^^, mes ports sont en "switchport vlan dynamic" et en "access", il y a un domaine de Vtp même s'il ne s'avère pas nécessaire, et j'utilise le vlan 1 "vlan par défaut" comme vlan "d'accès au réseau".

Il reconnait l'adresse mais la bloque à chaque fois même lorsque celle-ci est présente dans la liste du serveur VMPS(et devrais donc être accepté), j'ai effectué des captures avec Etherreal et j'ai pu observer le paquet requête envoyé par le switch au serveur :

Le switch envoie le port sur lequel est connecté le pc de test (Fa0/5 par exemple), il envoie le nom de domaine et il envoie un --NONE-- dont je ne trouve pas l'origine, et bien sur il envoie l'adresse MAC.

Le message de réponse du serveur est peu explicite si bien que je ne peux le décortiquer, on y voit aucune information

Voila
Je suis quasi au bout de ce que j'ai à faire ^^ plus qu'une petite étape

[invite231269ff]

Bon la parole divine du dieu de l'informatique s'est exprimer ^^ tout fonctionne mes confs sont bonnes la seule erreur concerne le nom du Vlan "--DEFAULT--" il ne faut pas l'écrire comme sa mais "default", si jamais quelqu'un fait du VMPS ou a cette erreur ^^ voila la solution ==)

PS: les messages du switch n'était pas utile ^^


Encore merci pour tous ^^ maintenant je passe au déploiement sur le parc !!

[Towl]

et j'utilise le vlan 1 "vlan par défaut" comme vlan "d'accès au réseau".

La règle d'or de la configuration cisco : ne jamais utiliser le VLAN 1. Pas mal d'attaques sont plus facilement réalisable si le vlan 1 est activé, certains protocoles de management débordent parfois sur ce vlan..
Et puis, comme c'est le vlan par défaut, il est très facile d'oublier de le désactiver sur certains ports trunk.

Et bonne chance pour ton déploiement