{"id":658,"date":"2025-08-19T15:15:54","date_gmt":"2025-08-19T14:15:54","guid":{"rendered":"https:\/\/www.shakral.de\/blog\/?p=658"},"modified":"2025-10-08T09:56:53","modified_gmt":"2025-10-08T08:56:53","slug":"radius-anmeldungen-an-switchen","status":"publish","type":"post","link":"https:\/\/www.shakral.de\/blog\/2025\/08\/19\/radius-anmeldungen-an-switchen\/","title":{"rendered":"RADIUS-Anmeldungen an Switchen"},"content":{"rendered":"

Demo-Lab Bericht f\u00fcr eine Kundenanfrage mit einem relativen Wildwuchs an Switchherstellern und Modellen. Durch diese Gegenheiten ist kein zentrales Management-Tool m\u00f6glich, daher die Idee durch zentrale RADIUS-User zumindest etwas Nachvollziehbarkeit anhand der Usernamen in die Log-Files zu bringen. <\/p>\n\n\n\n

Aufbau<\/h2>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n

IPFire wurde als Test-VM auf VMware Workstation installiert mit zwei Netzwerkkarten, beide als Bridge mit NIC1 im MGMT-Netz und NIC2 im eigenen RADIUS-Netz. Beide Switche h\u00e4ngen eigenst\u00e4ndig im MGMT-Netz, das RADIUS-Netz ist zwischen den Switchen Daisy-Chained.<\/p>\n\n\n\n

DISCLAIMER: IPFire ist in Virtuellen Maschinen nur f\u00fcr Test-Installationen freigegeben. <\/p>\n\n\n\n

IPFire<\/h2>\n\n\n\n

Installation & Einrichtung<\/h3>\n\n\n\n

Paket-Installation<\/h3>\n\n\n\n

Im Pakfire Paketmanager einfach freeradius ausw\u00e4hlen, die weiteren Pakete als Abh\u00e4ngigkeiten werden automatisch mit installiert.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Konfig-Files<\/h3>\n\n\n\n
<\/td>radiusd.conf<\/td>Hauptkonfigurationsdatei<\/td><\/tr>
<\/td>clients.conf<\/td>Zugriffssteuerung der Switche<\/td><\/tr>
\/mods-config\/files<\/td>authorize<\/td>User-Verwaltung<\/td><\/tr>
<\/td><\/td><\/td><\/tr>
<\/td><\/td><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Clients.conf<\/h4>\n\n\n\n

hier wird das Switch-Managment-Netz mit einem globalem Secret eingetragen. Mit dedizierten IP-Adressen kann man hier auch f\u00fcr jeden Switch ein eigenes Secret-Passwort vergeben, wie in private-Network-2 beispielshaft angegeben.<\/p>\n\n\n

\nclient private-network-1 {\n        ipaddr          = 192.168.172.0\/24\n        secret          = Netgear1234\n}\n\nclient private-network-2 {\n        ipaddr          = 192.168.173.172\n        secret          = EigenesSecretfuereinzelnenSwitch\n}\n<\/pre><\/div>\n\n\n
authorize<\/h4>\n\n\n\n
in dieser Datei werden die ganzen User angelegt und verwaltet.<\/p>\n\n\n\n
Im ersten Beispiel User Bob mit dem Klartext-Passwort.
Im zweiten Beispiel der md5user mit dem MD5-Verschl\u00fcsselten Kennwort.<\/p>\n\n\n\n
Beide mit Service-Type 6, was als Admin\/Manager User interpretiert wird (7 entspricht operator, ein View-Only-Account)<\/p>\n\n\n
\nbob     Cleartext-Password := "hello"\n        Service-Type := 6\nmd5user MD5-Password := "40050a6ca49538867149a76220e6ac7f"\n        Service-Type := 6\n<\/pre><\/div>\n\n\n
Passwort verschl\u00fcsseln<\/h3>\n\n\n\n
mit folgendem Konsolen-Befehl kann das Passwort MD5-Verschl\u00fcsselt werden:<\/p>\n\n\n
\necho -n md5passwort| md5sum | awk '{print $1}'\n<\/pre><\/div>\n\n
\n
\"\"<\/figure><\/div>\n\n\n
Doing-Kniffe<\/h3>\n\n\n\n
Dienste starten<\/h4>\n\n\n
\n\/etc\/rc.d\/init.d\/freeradius {start|stop|reload|restart|status}\n<\/pre><\/div>\n\n\n
\"\"<\/figure>\n\n\n\n
UPD-Ports<\/h4>\n\n\n
\n\n<\/pre><\/div>\n\n\n
Live-View Debugging<\/h4>\n\n\n
\n\/usr\/sbin\/radiusd -X -d \/etc\/raddb\n<\/pre><\/div>\n\n\n
RADTEST <\/h4>\n\n\n
\nradtest username password localhost 0 testing123\n<\/pre><\/div>\n\n\n
Logfiles<\/h4>\n\n\n\n
Logfiles:<\/p>\n\n\n\n
    \n
  • \/var\/log\/freeradius\/radius.log<\/li>\n\n\n\n
  • \/var\/log\/radius\/radius.log.<\/li>\n<\/ul>\n\n\n\n
    Switch-Konfig<\/h2>\n\n\n\n
    Netgear M4250<\/h3>\n\n\n
    \naaa authentication login "HGS11-Radius" enable local radius line\nip http authentication radius local\nip https authentication radius local\n\nradius server host auth "192.168.172.1" name "IPFire-VM"\nradius server key auth "192.168.172.1" encrypted 7441de56fbccc31018440a2d7ebb6c6dca84c95e92e996fafa929edbed17c945e91fb2e8458168dec8786113759853556e7ab1033d6407b565cd14ca660e8a2d\nradius server primary "192.168.172.1"\naaa server radius dynamic-author\nexit\n\nline console\naaa authentication login "HGS11-Radius" enable local radius line\nip http authentication radius local\nip https authentication radius local\n\n\nradius server host auth "192.168.172.1" name "IPFire-VM"\nradius server key auth "192.168.172.1" encrypted 7441de56fbccc31018440a2d7ebb6c6dca84c95e92e996fafa929edbed17c945e91fb2e8458168dec8786113759853556e7ab1033d6407b565cd14ca660e8a2d\nradius server primary "192.168.172.1"\naaa server radius dynamic-author\nexit\nline console\nlogin authentication HGS11-Radius\nexit\n\nline telnet\nlogin authentication HGS11-Radius\nexit\n\nline ssh\nlogin authentication HGS11-Radius\nexit\n\nexit\n\nline telnet\nexit\n\nline ssh\nlogin authentication HGS11-Radius\nexit\n\n<\/pre><\/div>\n\n\n
    Aruba-OS 2530<\/h3>\n\n\n
    \nradius-server host 192.168.172.1 key "Netgear1234"\n\naaa authentication login privilege-mode\naaa authentication web login radius local\naaa authentication ssh login radius local\naaa authentication ssh enable radius local\n<\/pre><\/div>","protected":false},"excerpt":{"rendered":"
    Demo-Lab Bericht f\u00fcr eine Kundenanfrage mit einem relativen Wildwuchs an Switchherstellern und Modellen. Durch diese Gegenheiten ist kein zentrales Management-Tool m\u00f6glich, daher die Idee durch zentrale RADIUS-User zumindest etwas Nachvollziehbarkeit anhand der Usernamen in...<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,99,98],"tags":[122,43,92,127,128,125,121,126],"class_list":["post-658","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-aruba","category-netzwerk","tag-aruba","tag-cli","tag-firewall","tag-ipfire","tag-labumgebung","tag-netgear","tag-netzwerk","tag-radius"],"_links":{"self":[{"href":"https:\/\/www.shakral.de\/blog\/wp-json\/wp\/v2\/posts\/658","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.shakral.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.shakral.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.shakral.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.shakral.de\/blog\/wp-json\/wp\/v2\/comments?post=658"}],"version-history":[{"count":4,"href":"https:\/\/www.shakral.de\/blog\/wp-json\/wp\/v2\/posts\/658\/revisions"}],"predecessor-version":[{"id":667,"href":"https:\/\/www.shakral.de\/blog\/wp-json\/wp\/v2\/posts\/658\/revisions\/667"}],"wp:attachment":[{"href":"https:\/\/www.shakral.de\/blog\/wp-json\/wp\/v2\/media?parent=658"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.shakral.de\/blog\/wp-json\/wp\/v2\/categories?post=658"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.shakral.de\/blog\/wp-json\/wp\/v2\/tags?post=658"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}