Bonjour à tous,
 
Actuellement en stage de réseaux, et ne connaissant pas grand chose dans ce domaine, je dois configurer le service Radius, déjà en place pour le wifi, pour que lorsqu'un utilisateur se connecte avec une prise ethernet, le service le reconnaisse et le connecte au VLAN auquel il fait parti.
 
J'ai déjà toute la documentation sur comment marche un service Radius, mais je ne trouve pas grand chose pour ce qu'il s'agit de le configurer. Je sais ce qu'est le 802.1x, le protocole EAP, un switch, un routeur, un Vlan et tout ce genre de chose, mais je n'ai aucune expérience pratique et technique dans ces domaines.  
 
Je suis donc à la recherche de guides, tutoriels qui me permettraient de comprendre la mise en place d'un service Radius avec tous les paramètres nécessaires et de ce dont j'ai besoin de savoir, savoir-faire pour configurer les prises Ethernet.
 
Je précise que j'ai déjà cherché, mais je ne sais pas d'où partir pour avancer concrètement dans ce projet.
 
Merci d'avance pour vos réponses,
Cordialement

regarde sur le site du constructeur de tes switchs, y'a souvent des procédures pour ce genre de truc.

J'ai regardé mais je n'ai rien trouvé d'intéressant. Cependant j'ai appris que le radius était sur Windows server 2012 R2 standard avec une base de données sous Active Directory.
 
J'ai trouvé quelques vidéos explicatives mais si quelqu'un a des guides ou des infos je suis preneur

https://technet.microsoft.com/fr-fr [...] 31853.aspx
 
Après si tu connais la théorie, tu sais ce que tu dois configurer, il te manque juste la méthode. Pour ça bah pour configurer le switch tu regardes la doc du switch, pour configurer le serveur radius tu regardes la doc du serveur radius, etc.
 
Mais comme tu le présentes, on a l'impression que tu demandes à ce qu'on fasse ton boulot ou qu'on fasse une recherche google pour toi

Merci tout d'abord.
 
Cependant, quand je dis que je connais la théorie, c'est juste ce à quoi tel équipement sert, et non tout le reste. Et si je demande des indications c'est parce que je cherche depuis deux jours mais je ne sais absolument pas d'où partir réellement.

Bonjour,
 
peux-tu nous en dire plus sur le matériel que tu utilises, sur l'architecture de ton réseau ?  
 

Bonjour,
 
Premier lien de la recherche Google "radius ethernet"
http://www.enterprisenetworkingpla [...] ers_2.html
 

En effet... J'ai pas pensé à faire une recherche si simple, mea culpa! et merci!
 
J'ai eu accès au serveur, je commence à mieux comprendre le fonctionnement, merci de votre aide!

Je reviens vers vous car je ne trouve pas la solution à mon problème,
 
J'ai installé le serveur Radius, configuré le client radius(switch Cisco 2960) mais je ne comprends pas réellement ce qui ne marche pas.
 
Je m'explique, lorsque je fais le test avec la commande "test aaa group radius User Password legacy", l'access-request s'envoie bien, cependant l'authentification ne marche pas, bien qu'ayant rentré un login/mdp d'un user bien enregistré dans le groupe auquel j'ai donné accès sur le serveur Radius. Mais le coeur du problème n'est pas là.
 
J'ai donc installé Wireshark sur mon serveur, et lorsque je branche mon câble sur le port configuré, je n'ai aucun paquet reçu/envoyé et j'ai une erreur de ce type qui s'affiche sur mon switch :
 
*Mar  4 01:48:40.089: %AUTHMGR-5-START: Starting 'dot1x' for client (6cc2.177b.7d76) on Interface Fa0/13 AuditSessionID 0AC10012000000170FD69110
*Mar  4 01:48:40.332: %LINK-3-UPDOWN: Interface FastEthernet0/13, changed state to up
*Mar  4 01:50:12.691: %DOT1X-5-FAIL: Authentication failed for client (6cc2.177b.7d76) on Interface Fa0/13 AuditSessionID
*Mar  4 01:50:12.691: %AUTHMGR-7-RESULT: Authentication result 'no-response' from 'dot1x' for client (6cc2.177b.7d76) on Interface Fa0/13 AuditSessionID 0AC10012000000170FD69110
*Mar  4 01:50:12.691: %AUTHMGR-7-FAILOVER: Failing over from 'dot1x' for client (6cc2.177b.7d76) on Interface Fa0/13 AuditSessionID 0AC10012000000170FD69110
*Mar  4 01:50:12.691: %AUTHMGR-7-NOMOREMETHODS: Exhausted all authentication methods for client (6cc2.177b.7d76) on Interface Fa0/13 AuditSessionID 0AC10012000000170FD69110
*Mar  4 01:50:12.691: %AUTHMGR-5-VLANASSIGN: VLAN 801 assigned to Interface Fa0/13 AuditSessionID 0AC10012000000170FD69110
*Mar  4 01:50:13.706: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/13, changed state to up
*Mar  4 01:50:13.731: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (Unknown MAC) on Interface Fa0/13 AuditSessionID 0AC10012000000170FD69110
 
Je n'ai pas de réponse, forcément car rien n'est envoyé, mais je ne comprends pas pourquoi...  
 
Voilà la conf de mon switch et du port utilisé :
 
aaa new-model
!
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
!
!
aaa session-id common
system mtu routing 1500
!
!
!
!
!
dot1x system-auth-control
 
 
 
 
 
interface FastEthernet0/13
 switchport access vlan 801
 switchport mode access
 authentication event fail action authorize vlan 801
 authentication event no-response action authorize vlan 801
 authentication host-mode multi-host
 authentication port-control auto
 dot1x pae authenticator
 
 
Merci d'avance de votre temps et de votre aide

tu configures où ton serveur radius ? ton switch ping le serveur radius ?

Mon serveur radius est configuré sur une machine virtuelle (sous windows server 2012 r2) qui appartient au réseau
 
Oui, mon switch ping bien mon serveur radius (mais j'ai dû enlever une option de l'antivirus pour que ça fonctionne)

non mais je parle de la config du serveur radius à utiliser sur ton switch

je ne comprends pas trop ce que tu entends par là mais sur mon switch j'ai mis ces lignes là pour définir mon serveur :
 
radius-server host 10.193.5.17 auth-port 1645 acct-port 1646
radius-server key sharedsecret

sur ton client tu as bien activé le 802.1x au moins ?

Oui il est activé, et lorsque je lance une authentification directement du switch la procédure se lance
 
J'ai bien vérifié que les ports soient les mêmes sur le serveur et sur le client, j'ai bien du 1645 sur les deux

J'ai pu avancer dans mon projet, l'erreur venait du certificat.
 
Mais maintenant j'ai bien un Access-Challenge qui se lance, mais toujours une réponse négative.. Lorsque je vais dans l'event viewer j'obtiens ceci :
 
Network Policy Server denied access to a user.
 
Contact the Network Policy Server administrator for more information.
 
User:
 Security ID:   D01\user (User correct)
 Account Name:   D01\user
 Account Domain:   D01
 Fully Qualified Account Name: D01\user
 
Client Machine:
 Security ID:   NULL SID
 Account Name:   -
 Fully Qualified Account Name: -
 OS-Version:   -
 Called Station Identifier:  F0-29-29-7E-90-0D
 Calling Station Identifier:  6C-C2-17-7B-7D-76
 
NAS:
 NAS IPv4 Address:  10.193.0.18
 NAS IPv6 Address:  -
 NAS Identifier:   -
 NAS Port-Type:   Ethernet
 NAS Port:   50013
 
RADIUS Client:
 Client Friendly Name:  Switch Client Radius TEST 2
 Client IP Address:   10.193.0.18
 
Authentication Details:
 Connection Request Policy Name: Use Windows authentication for all users
 Network Policy Name:  Secure Wired (Ethernet) Connections
 Authentication Provider:  Windows
 Authentication Server:  DW1930INF001.D01.local
 Authentication Type:  EAP
 EAP Type:   -
 Account Session Identifier:  -
 Logging Results:   Accounting information was written to the local log file.
 Reason Code:   22
 Reason:    The client could not be authenticated  because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server.
 
J'ai donc suivi une procédure pas à pas pour être sûr que mes clients étaient bien configurés pour le type d'authentification EAP-MSCHAPV2, et j'ai refais de toute part mes politiques d'authentification pour également configurer cette méthode. J'ai également essayé de changer la valeur de "Framed-MTU" mais ça ne change rien. Je ne sais absolument pas d'où ça peut venir.
 
Merci d'avance
 
Ps : Sous wireshark j'ai remarqué aussi qu'aucun "user-password" n'était envoyé dans le deuxième access-request..

Bonjour,  
 
J'obtiens ce message là quand je regarde les trames sous Wireshark. Je n'arrive pas à comprendre car j'ai bien configuré mon pc pour qu'il soit en ms-chap v2 et pareil pour le serveur.. Au niveau du switch (cisco ) j'ai configuré comme bon nombre de tutos le montrent et comme ça ne marchait pas j'ai forcé l'authentification ms chap v2 sur le port voulu mais ça ne change rien.  
J'ai regardé plusieurs erreurs du même type, j'ai changé la valeur framed-MTU sans succès..
 
Dans l'access-Challenge :
 
Dans la partie EAP, on a bien "Type : MS-Authentication EAP (EAP-MS-AUTH) (26)"
 
Dans la 2ème Access-Request :
 
Toujours dans la partie EAP, on a
 
"Type : Legacy NAK (Response Only) (3)
 
Desired Auth Type : Protected EAP (EAP-PEAP) (25)
 
Voilà pour l'erreur, merci d'avance

salut ma periode de stage va terminer bientot et je suis coincée jai un problem Presque pareil :
 voice ma config du switch :
 sh run
 Building configuration…
 
Current configuration : 5545 bytes
 !
 version 12.2
 no service pad
 service timestamps debug datetime msec
 service timestamps log datetime msec
 no service password-encryption
 !
 hostname Switch
 !
 boot-start-marker
 boot-end-marker
 !
 !
 username renault privilege 15 secret 5 $1$eHPo$s39Tts.08TDptc.HOsWa11
 aaa new-model
 !
 !
 aaa authentication dot1x default group radius
 aaa authorization network default group radius
 aaa accounting dot1x default start-stop group radius
 !
–More– !
aaa server radius dynamic-author
 !
 aaa session-id common
 system mtu routing 1500
 vtp domain TAN-D
 vtp mode transparent
 ip subnet-zero
 ip routing
 no ip dhcp use vrf connected
 !
 ip dhcp pool admin
 network 192.168.2.0 255.255.255.0
 default-router 192.168.2.1
 !
 ip dhcp pool user
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 !
 !
 ip device tracking
 !
 !
–More– crypto pki trustpoint TP-self-signed-2870347520
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2870347520
 revocation-check none
 rsakeypair TP-self-signed-2870347520
 !
 !
 crypto pki certificate chain TP-self-signed-2870347520
 certificate self-signed 01
 3082023F 308201A8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
 69666963 6174652D 32383730 33343735 3230301E 170D3933 30333031 30303031
 30365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 38373033
 34373532 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
 8100D7CE F4FEC3DF 930B1BAA B6603D2D 5BD03EAA 68FB8A47 8D72424C 25536C2B
 0D68118D FB422E28 6368D96E A35AA1D5 4E20A5BB 9C309398 F5020578 7687C186
 03474153 7864108F 87D2688F 466A6E7B FCD714A8 7E78B8FA E94878F1 065011FA
 71300C4E 3EE0E5C6 2485AAB3 00846472 747014E8 991D6B88 EE1D2403 2699AAE4
 EB990203 010001A3 67306530 0F060355 1D130101 FF040530 030101FF 30120603
 551D1104 0B300982 07537769 7463682E 301F0603 551D2304 18301680 14EDC046
 CD117E0A 5C0598D7 B2E52E74 06ABEA17 60301D06 03551D0E 04160414 EDC046CD
 117E0A5C 0598D7B2 E52E7406 ABEA1760 300D0609 2A864886 F70D0101 04050003
–More– 818100A4 447CEC4F B4779D98 37BA1388 7A16C1E0 52631957 E00E7965 18B0C057
 58CDEE13 DED644F6 3A2EFE87 E709D951 C4C2C057 C0456CBF 5157C22C 12B36845
 18B286C0 55908228 F4C6C757 6DE3CFF0 968D13EC 96ADFB4B 5DE49D53 9B724461
 DA981365 E1E0FAFA FAD8BA78 8542125A 336EA4D8 18C2071D CF3E8BF0 7523B301 B29649
 quit
 dot1x system-auth-control
 dot1x guest-vlan supplicant
 !
 !
 !
 !
 !
 spanning-tree mode pvst
 spanning-tree etherchannel guard misconfig
 spanning-tree extend system-id
 !
 vlan internal allocation policy ascending
 !
 vlan 15
 name admin
 !
 vlan 16
 name user
–More– !
vlan 202
 name Admin_LAN_Indus_D
 !
 vlan 203
 name Admin_Wifi_Indus_D
 !
 vlan 204
 name Indus-PSF_D
 !
 vlan 205
 name Indus-SMP_D
 !
 vlan 207
 name Indus_SIP/PEV
 !
 vlan 240
 !
 !
 !
 interface FastEthernet0/1
 !
 interface FastEthernet0/2
–More– !
interface FastEthernet0/3
 !
 interface FastEthernet0/4
 switchport access vlan 15
 switchport mode access
 dot1x pae authenticator
 !
 interface FastEthernet0/5
 !
 interface FastEthernet0/6
 switchport access vlan 16
 switchport mode access
 authentication event no-response action authorize vlan 15
 authentication host-mode multi-auth
 authentication order dot1x mab
 authentication priority dot1x mab
 authentication port-control auto
 authentication periodic
 authentication timer restart 10800
 authentication timer reauthenticate server
 dot1x pae authenticator
 dot1x max-req 3
–More– dot1x max-reauth-req 3
 spanning-tree portfast
 !
 interface FastEthernet0/7
 !
 interface FastEthernet0/8
 !
 interface FastEthernet0/9
 !
 interface FastEthernet0/10
 !
 interface FastEthernet0/11
 !
 interface FastEthernet0/12
 !
 interface FastEthernet0/13
 !
 interface FastEthernet0/14
 !
 interface FastEthernet0/15
 !
 interface FastEthernet0/16
 !
–More– interface FastEthernet0/17
 !
 interface FastEthernet0/18
 !
 interface FastEthernet0/19
 !
 interface FastEthernet0/20
 !
 interface FastEthernet0/21
 !
 interface FastEthernet0/22
 !
 interface FastEthernet0/23
 !
 interface FastEthernet0/24
 !
 interface FastEthernet0/25
 !
 interface FastEthernet0/26
 !
 interface FastEthernet0/27
 !
 interface FastEthernet0/28
–More– !
interface FastEthernet0/29
 !
 interface FastEthernet0/30
 !
 interface FastEthernet0/31
 !
 interface FastEthernet0/32
 !
 interface FastEthernet0/33
 !
 interface FastEthernet0/34
 !
 interface FastEthernet0/35
 !
 interface FastEthernet0/36
 !
 interface FastEthernet0/37
 !
 interface FastEthernet0/38
 !
 interface FastEthernet0/39
 !
–More– interface FastEthernet0/40
 !
 interface FastEthernet0/41
 !
 interface FastEthernet0/42
 !
 interface FastEthernet0/43
 !
 interface FastEthernet0/44
 !
 interface FastEthernet0/45
 !
 interface FastEthernet0/46
 !
 interface FastEthernet0/47
 !
 interface FastEthernet0/48
 !
 interface GigabitEthernet0/1
 !
 interface GigabitEthernet0/2
 !
 interface GigabitEthernet0/3
–More– !
interface GigabitEthernet0/4
 !
 interface Vlan1
 no ip address
 !
 interface Vlan15
 ip address 192.168.2.1 255.255.255.0
 !
 interface Vlan16
 ip address 192.168.1.1 255.255.255.0
 !
 ip classless
 ip http server
 ip http secure-server
 !
 radius-server dead-criteria tries 20
 radius-server host 192.168.2.3 auth-port 1812 acct-port 1813 key testing123
 radius-server host 192.168.2.3 auth-port 1645 acct-port 1646 test username abla3 key testing123
 radius-server retransmit 20
 radius-server timeout 10
 radius-server deadtime 1440
–More– radius-server key testing123
 radius-server vsa send accounting
 radius-server vsa send authentication
 !
 control-plane
 !
 !
 line con 0
 line vty 5 15
 !
 end
 et la commande
 #test aaa group radius server ….. new-code
 marche
 mais une fois j’ essai de m authentifier avec les logins et motdepasse des clients que jai crée sur une appweb daloradius l’authentification echoue sachant que jai configure ma connexion Ethernet d’après ce liens https://documentation.meraki.com/MS [...] s_7_Client
 voice l’erreur que jai sur mon serveur radius
 Sending Access-Challenge of id 2 to 192.168.2.1 port 1645
 EAP-Message = 0x0109002b1900170301002060e6c05a1992680c1adbb06a826ad0e4e6f1b9641309748fe4e50d6c25a31258
 Message-Authenticator = 0x00000000000000000000000000000000
 State = 0xe0a81809e7a1012d3f3c5b5726e24334
 Finished request 9.
 Going to the next request
 Waking up in 3.2 seconds.
 rad_recv: Access-Request packet from host 192.168.2.1 port 1645, id=3, length=242
 User-Name = “abla3”
Service-Type = Framed-User
 Framed-MTU = 1500
 Called-Station-Id = “68-BD-AB-16-07-08”
Calling-Station-Id = “28-92-4A-40-5D-10”
EAP-Message = 0x0209002b1900170301002044041c1dc0f26766578c8ea9195ec7569007ddf1ed283cab1b8a406c1708edd3
 Message-Authenticator = 0x39d6b6eb09665aae76fff7508616a61f
 Cisco-AVPair = “audit-session-id=C0A802010000005E01E693F2”
NAS-Port-Type = Ethernet
 NAS-Port = 50006
 NAS-Port-Id = “FastEthernet0/6”
State = 0xe0a81809e7a1012d3f3c5b5726e24334
 NAS-IP-Address = 192.168.2.1
 # Executing section authorize from file /etc/freeradius/sites-enabled/default
 +- entering group authorize {…}
 ++[preprocess] returns ok
 ++[chap] returns noop
 ++[mschap] returns noop
 ++[digest] returns noop
 [suffix] No ‘@’ in User-Name = “abla3”, looking up realm NULL
 [suffix] No such realm “NULL”
++[suffix] returns noop
 [eap] EAP packet type response id 9 length 43
 [eap] Continuing tunnel setup.
 ++[eap] returns ok
 Found Auth-Type = EAP
 # Executing group from file /etc/freeradius/sites-enabled/default
 +- entering group authenticate {…}
 [eap] Request found, released from the list
 [eap] EAP/peap
 [eap] processing type peap
 [peap] processing EAP-TLS
 [peap] eaptls_verify returned 7
 [peap] Done initial handshake
 [peap] << abla3
 attr_filter: Matched entry DEFAULT at line 11
 ++[attr_filter.access_reject] returns updated
 Delaying reject of request 10 for 1 seconds
 Going to the next request
 Waking up in 0.9 seconds.
 Sending delayed reject for request 10
 Sending Access-Reject of id 3 to 192.168.2.1 port 1645
 EAP-Message = 0x04090004
 Message-Authenticator = 0x00000000000000000000000000000000
 Waking up in 2.2 seconds.
 Cleaning up request 2 ID 251 with timestamp +17
 Cleaning up request 3 ID 252 with timestamp +17
 Cleaning up request 4 ID 253 with timestamp +17
 Cleaning up request 5 ID 254 with timestamp +17
 Waking up in 0.1 seconds.
 Cleaning up request 6 ID 255 with timestamp +17
 Waking up in 1.1 seconds.
 Cleaning up request 7 ID 0 with timestamp +18
 Cleaning up request 8 ID 1 with timestamp +18
 Cleaning up request 9 ID 2 with timestamp +18
 Waking up in 1.0 seconds.
 Cleaning up request 10 ID 3 with timestamp +18
 Ready to process requests.
 
voici la config des deux fichiers:
 gedit /etc/freeradius/clients.conf
 client 192.168.2.1{
 ipaddr =192.168.2.1
 secret = testing123
 nastype = other}
 
gedit /etc/freeradius/users
 Thus0 Auth-Type := Accept, Cleartext-Password := “motdepasse”
Reply-Message= “Hello, %{User-Name}”
 
et l’erreur que j’ai sur mon switch:
 !!Mar 1 08:50:19.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern
 et0/4, changed state to up
 *Mar 1 08:50:47.072: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan15, ch
 anged state to up
 *Mar 1 08:51:24.963: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern
 et0/6, changed state to down
 *Mar 1 08:51:26.960: %LINK-3-UPDOWN: Interface FastEthernet0/6, changed state t
 o down
 *Mar 1 08:51:28.419: %AUTHMGR-5-START: Starting ‘dot1x’ for client (2892.4a40.5
 d10) on Interface Fa0/6
 *Mar 1 08:51:29.795: %RADIUS-4-RADIUS_ALIVE: RADIUS server 192.168.2.3:1812,181
 3 is being marked alive.
 *Mar 1 08:51:30.366: %LINK-3-UPDOWN: Interface FastEthernet0/6, changed state t
 o up
 *Mar 1 08:51:30.374: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern
 et0/6, changed state to up
 *Mar 1 08:51:41.866: %DOT1X-5-FAIL: Authentication failed for client (2892.4a40
 .5d10) on Interface Fa0/6
 *Mar 1 08:51:41.866: %AUTHMGR-7-RESULT: Authentication result ‘fail’ from ‘dot1
 x’ for client (2892.4a40.5d10) on Interface Fa0/6
 *Mar 1 08:51:41.866: %AUTHMGR-5-FAIL: Authorization failed for client (2892.4a4
 0.5d10) on Interface Fa0/6!!

aidez moi svp

non

pk?

parce que tu nous balances ta conf comme ça en vrac sans trop d'analyse ni description du problème, ici c'est un forum d'entraide pas de divination ou de prestation gratuite.

si tu peux remarquer  j'ai dis que  j'ai Presque le meme probleme qui est pose juste en haut :
quand je fais la commande test aaa group radius server ... ca marche mais quand j essaye de m authentifié depuis mon pc d'utilisateur j'ai "dot1x authentication failed" et sur mon serveur radius j'ai après  "un access-challenge un access reject" merci en tout cas et je m'excuse j'ai pas l'habitude des forums  c ma premiere fois c pour ca j'ai voulue poser meme mes configs et mes erreurs comme ca ca sera plus claire