Добрый день. Поставлена задача настроить MAC Authentication Bypass на коммутаторах cisco. Настроены FreeRADIUS, daloRADIUS, SQL. При подключении проходит авторизация, аккаунтинг, но пользователь не попадает в нужный вилан. На daloradius настроен профиль с атрибутами Tunnel-Type := VLAN
           Tunnel-Private-Group-Id :=20
           Tunnel-Medium-Type := IEEE-802
           Auth-Type := Accept
Пользователь создан MAC Address Authentication (0022644f9063)и добавлен в группу.
Подскажите, почему назначается Vlan default 1, а не указанный?

show mac address-table int fa 0/4
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0022.644f.9063    STATIC      Fa0/4
Total Mac Addresses for this criterion: 1

Настройки порта коммутатора
interface FastEthernet0/4
description ACS-MAB-test
switchport mode access
authentication port-control auto
mab
spanning-tree portfast
end

В каком направлении копать? Может что-не так с базой SQL? Вроде пользователь в базе есть...
mysql> select * from radcheck;
+----+--------------+-----------+----+--------+
| id | username     | attribute | op | value  |
+----+--------------+-----------+----+--------+
|
| 20 | 0022644f9063 | Auth-Type | := | Accept |
+----+--------------+-----------+----+--------+
2 rows in set (0.00 sec)

• FreeRADIUS, daloRADIUS, SQL,NAT41, 08:11 , 25-Фев-15
  • FreeRADIUS, daloRADIUS, SQL,ShyLion, 08:31 , 25-Фев-15
    • FreeRADIUS, daloRADIUS, SQL,NAT41, 08:41 , 25-Фев-15
      • FreeRADIUS, daloRADIUS, SQL,ShyLion, 08:46 , 25-Фев-15
        • FreeRADIUS, daloRADIUS, SQL,ShyLion, 08:48 , 25-Фев-15
          • FreeRADIUS, daloRADIUS, SQL,NAT41, 15:05 , 25-Фев-15
            • FreeRADIUS, daloRADIUS, SQL,ShyLion, 15:14 , 25-Фев-15
            • FreeRADIUS, daloRADIUS, SQL,NAT41, 14:18 , 04-Мрт-15
              • FreeRADIUS, daloRADIUS, SQL,ShyLion, 07:26 , 05-Мрт-15
                • FreeRADIUS, daloRADIUS, SQL,NAT41, 15:39 , 05-Мрт-15
                  • FreeRADIUS, daloRADIUS, SQL,ShyLion, 17:07 , 05-Мрт-15

> Добрый день. Поставлена задача настроить MAC Authentication Bypass на коммутаторах cisco.
> Настроены FreeRADIUS, daloRADIUS, SQL. При подключении проходит аутентификация, аккаунтинг виден в веб-морде daloRADIUS, но пользователь не попадает в нужный вилан. На daloradius настроен профиль MAB3 с атрибутами

             Tunnel-Type := VLAN
>            Tunnel-Private-Group-Id  :=3
>            Tunnel-Medium-Type  := IEEE-802
>            Auth-Type  := Accept
> Пользователь создан MAC Address Authentication (0022644f9063)и добавлен в группу.
> Подскажите, почему назначается Vlan default 1, а не указанный?
> #show auth int fa 0/4

Client list:
Interface  MAC Address     Method   Domain   Status         Session ID
  Fa0/4      0022.644f.9063  mab      DATA     Authz Success  0A0007450000006F6FF917A4

Available methods list:
  Handle  Priority  Name
    2        1      mab
Runnable methods list:
  Handle  Priority  Name
    2        1      mab

#show mac add int fa 0/4
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0022.644f.9063    STATIC      Fa0/4
Total Mac Addresses for this criterion: 1
>[оверквотинг удален]
> в базе есть...
> mysql> select * from radcheck;
> +----+--------------+-----------+----+--------+
> | id | username     | attribute | op
> | value  |
> +----+--------------+-----------+----+--------+
> |
> | 20 | 0022644f9063 | Auth-Type | := | Accept |
> +----+--------------+-----------+----+--------+
> 2 rows in set (0.00 sec)

Что-то в ответ тишина... Может помогут поправки и уточнения...
Дело в том, если заводить юзера в *raddb/users все работает отлично, но планируется большая база пользователей и устройств и этот способ не подходит.

radiusd -X

сравни тупо ответы
скорее всего не хватает какого-то атрибута в ответе

> radiusd -X
> сравни тупо ответы
> скорее всего не хватает какого-то атрибута в ответе

Сравнивала, в логах различие только этим
это лог с удачной авторизацией ( юзер создан в raddb/users)

rlm_sql (sql): Reserving sql socket id: 1
rlm_sql (sql): Released sql socket id: 1
++[sql] returns ok
++[exec] returns noop
Sending Access-Accept of id 198 to 10.0.7.69 port 1645
    Tunnel-Type:0 = VLAN
    Tunnel-Medium-Type:0 = IEEE-802
    Tunnel-Private-Group-Id:0 = "3"
Finished request 1.
Going to the next request
Waking up in 4.9 seconds.
rad_recv: Accounting-Request packet from host 10.0.7.69 port 1646, id=13, length=141

лог с неудачной авторизацией (юзер заведен через веб-морду)

rlm_sql (sql): Reserving sql socket id: 4
rlm_sql (sql): Released sql socket id: 4
++[sql] returns ok
++[exec] returns noop
Sending Access-Accept of id 223 to 10.0.7.69 port 1645
Finished request 2.
Going to the next request
Waking up in 4.9 seconds.
rad_recv: Accounting-Request packet from host 10.0.7.69 port 1646, id=51, length=141

все остальное в логах одинаково.
Понятно, что параметры из базы не переданы, но почему? Чего-то не хватает, какие атрибуты можно еще попробовать?

> какие атрибуты можно еще попробовать?

Не нужно "пробовать" "другие" атрибуты. Нужно добиться чтобы радиус отдавал именно эти, циска тут непричем. Тестировать можно прям с консоли сервера авторизации.
Скорее всего что-то недокрутили в базе.

select * from radreply;

Тут все очень доступно расписано:

http://wiki.freeradius.org/guide/SQL-HOWTO

> Тут все очень доступно расписано:
> http://wiki.freeradius.org/guide/SQL-HOWTO

Спасибо, все заработало! как и предполагалось-дело в невнимательном изучении мануала)) Я на юзера (группу) накатывла только Check Attributes, а надо было еще и Reply Attributes добавить.
ShyLion, спасибо большое!!!!

>> Тут все очень доступно расписано:
>> http://wiki.freeradius.org/guide/SQL-HOWTO
> Спасибо, все заработало! как и предполагалось-дело в невнимательном изучении мануала))
> Я на юзера (группу) накатывла только Check Attributes, а надо было
> еще и Reply Attributes добавить.
> ShyLion, спасибо большое!!!!

Пожалста

>> Тут все очень доступно расписано:
>> http://wiki.freeradius.org/guide/SQL-HOWTO
> Спасибо, все заработало! как и предполагалось-дело в невнимательном изучении мануала))
> Я на юзера (группу) накатывла только Check Attributes, а надо было
> еще и Reply Attributes добавить.
> ShyLion, спасибо большое!!!!

И снова, здравствуйте. Новая проблема. Компы по MAB работают отлично! Но остались  IP телефоны...
Логинятся, SIP работает, но телефон не пингуются, соответственно и подключенный к нему комп в сеть не ходит..

Коммутатор:

interface GigabitEthernet5/23
description 609-02
switchport mode access
switchport voice vlan 134
speed 100
duplex full
authentication host-mode multi-domain
authentication port-control auto
mab
spanning-tree portfast

#show authentication int gi 5/23
Gi5/23     0008.5d33.405c  mab      VOICE    Authz Success  0A00070D00000108E7DC2586

Daloradius - атрибуты профиля Voice (check-reply)

Cisco-AVPair := device-traffic-class=voice
Auth-Type:=Accept
Tunnel-Type:=VLAN
Tunnel-Medium-Type:=IEEE-802
Tunnel-Private-Group-Id:=134

Лог радиуса

Wed Mar  4 14:54:39 2015 : Auth: Login OK: [00085d33405c] (from client 10.0.x.xx port 50523 cli 00-08-5D-33-40-5C)

Телефон AStra 6755i. Поддержка 802.1x есть. Дело в настройках телефона?

Для MAB наличие 802.1x по боку по моему.

> Для MAB наличие 802.1x по боку по моему.

Телефон работает, пингуется, а вот ноут, подключенный к нему - ну никак!
Причем IP получает по dhcp и никого кроме себя не видит...

#show authentication int gi5/23

Client list:
Interface  MAC Address     Method   Domain   Status         Session ID
  Gi5/23     0022.644f.9063  mab      DATA     Authz Success  0A00070D00000193EE6EEFD9
  Gi5/23     0008.5d33.405c  mab      VOICE    Authz Success  0A00070D00000194EE6F44FD

В логах про ошибки не пишет ничего. Для подключения компа через телефон нужны какие-нибудь еще атрибуты?

>> Для MAB наличие 802.1x по боку по моему.

Никогда этим MAB не баловался