Openstage 60 und Cisco 802.1x

[zuffnik]

Hallo, Leute.

Hat mal jemand ein Openstage 60 an einem Cisco Catalyst C3560 (oder ähnliche Cisco Box) mit 802.1x konfiguriert ???
Falls ja, dann wäre ich für Tipps dankbar, ich kriege das Telefon nicht dazu, einen EAPOL frame vom Switch zu beantworten.......

Es soll EAP-TLS mit Zertifikaten benutzt werden, die Zertifikate sind über den DLS auch auf das Telefon gebracht worden und es ist EAP-TLS für dieses Telefon aktiviert worden.

Debugs auf der Cisco Box und Sniffer Traces zeigen aber leider keinerlei Antwort auf die Eröffnungs-frames, die vom Switch geschickt werden, das Phone zuckt hier nichtmal ......

Jetzt kommt der Knaller:
Wenn ich das Phone an einen HP Procurve Switch hänge und auf diesem dann Dot1x rudimentär einschalte, dann kommt SOFORT eine Antwort vom Phone !!!!

Hat jemand eine Idee oder gibts für Ciscos und Siemens Phones einen Trick, der noch konfiguriert sein muss ???

MfG
zuffnik

 

[OpenOpti]

ja funktioniert (C3560)... besondere Einstellungen sind mir nicht bekannt....


Beispiel eines Ports an dem sowohl Authentifizierung mit Zertifikat als auch Mac-Authentication-Bypass funktioniert

interface FastEthernet0/xy
 switchport access vlan 122
 switchport mode access
 switchport voice vlan 22
 authentication event fail action authorize vlan 222
 authentication event no-response action authorize vlan 222
 authentication host-mode multi-domain
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate 120
 authentication violation protect
 mab eap
 dot1x pae authenticator
 dot1x timeout quiet-period 2
 dot1x timeout tx-period 5
 spanning-tree portfast

Auf der Wiki-Seite gibt es auch noch ein Paar Dokumente http://wiki.siemens-enterprise.com/index.php/VoIP_Security#IEEE_802.1X

EAP-TLS für dieses Telefon aktiviert worden.

für's OpenStage brauchst du gar kein Protokoll auswählen/einstellen - es kann nur EAP-TLS
es reicht die Zertifikate so zu installieren, wie hier beschrieben

HP Procurve Switch hänge und auf diesem dann Dot1x rudimentär einschalte,

Wie meinen?


Die Frage wäre auch noch wie du die Trace aufgenommen hast?
Ich habe nämlich festgestellt, das Meldungen wie 802.1x oder auch VLAN Tags nicht unbedingt beim Tracing bei normaler Einstellung auf dem Mirrorport zu sehen sind....
Deswegen benutze ich in so einem Fall dann für die Konfiguration des Mirrorport folgenden Befehl:

monitor session x destination interface Fa0/xz [b]encapsulation replicate[/b]

Interessant wären auch noch die OpenStage Version sowie die Cisco IOS-Software

 

[zuffnik]

ja funktioniert (C3560)... besondere Einstellungen sind mir nicht bekannt....

Hmm, ok.

Beispiel eines Ports an dem sowohl Authentifizierung mit Zertifikat als auch Mac-Authentication-Bypass funktioniert

Code:

interface FastEthernet0/xy
switchport access vlan 122
switchport mode access
switchport voice vlan 22
authentication event fail action authorize vlan 222
authentication event no-response action authorize vlan 222
authentication host-mode multi-domain
authentication port-control auto
authentication periodic
authentication timer reauthenticate 120
authentication violation protect
mab eap
dot1x pae authenticator
dot1x timeout quiet-period 2
dot1x timeout tx-period 5
spanning-tree portfast

Meine Config sieht so aus:

interface FastEthernet0/xy
switchport mode access
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast

Und genau das ist der Knackpunkt:
In deiner Beispiel-config wird der Port authorised, wenn das Endgerät
entweder gar kein 802.1x spricht oder die Authentication fehlschlägt,
es wird dann ins vlan 222 gesteckt.

Ich vermute mal, das im vlan 222 der DLS steht oder zumindest darüber
erreichbar ist, oder ???

Denn soweit ich weiss, muss das Telefon den DLS sehen können, um seine Config zu ziehen ...

Auf der Wiki-Seite gibt es auch noch ein Paar Dokumente http://wiki.siemens-enterprise.com/i...ty#IEEE_802.1X

Das Doc kenne ich, witzig !!! Schlägt vor, den DLS ins GAST-Vlan zu stellen ...

Zitat:
EAP-TLS für dieses Telefon aktiviert worden.
für's OpenStage brauchst du gar kein Protokoll auswählen/einstellen - es kann nur EAP-TLS
es reicht die Zertifikate so zu installieren, wie hier beschrieben

Und doch gibts einen Haken auf dem DLS für EAP-TLS .....

Zitat:
HP Procurve Switch hänge und auf diesem dann Dot1x rudimentär einschalte,
Wie meinen?

Rudimentär meint, ohne irgendeine "timeout", "no-response" oder vlan Zuweisung ....

Die Frage wäre auch noch wie du die Trace aufgenommen hast?
Ich habe nämlich festgestellt, das Meldungen wie 802.1x oder auch VLAN Tags nicht unbedingt beim Tracing bei normaler Einstellung auf dem Mirrorport zu sehen sind....
Deswegen benutze ich in so einem Fall dann für die Konfiguration des Mirrorport folgenden Befehl:
Code:

monitor session x destination interface Fa0/xz encapsulation replicate

Jupp, schon klar ...

Interessant wären auch noch die OpenStage Version sowie die Cisco IOS-Software

Die IOS Version ist 12.2(52), die OpenStage Version muss ich nachschauen.....

 

[OpenOpti]

Ok, die Doku ist wohl auch ein wenig veraltet - dadurch das u.a. Cisco auch seine Befehle geändert/angepasst hat.
Wo steht denn da, dass der im DLS im Guest-VLAN stehen soll (hab es mir nun nicht komplett durchgelesen ) - über das Guest-Vlan sollte das Telefon mit dem DLS kommunizieren können. Allerdings muss das Telefon den DLS über das Guest-VLAN auch nur erreichen können, wenn es zu dem Zeitpunkt noch keine Konfiguration/Zertifikate hat - quasi zur Erstkonfiguration.

Bei mir ist 222 das Guest Vlan, in dem das Telefon nur Zugriff auf den DLS bekommt. Und natürlich zum DHCP, DNS und NTP-Server.

Die gleiche IOS-Version habe ich auch.

 

[zuffnik]

Bei mir ist 222 das Guest Vlan, in dem das Telefon nur Zugriff auf den DLS bekommt. Und natürlich zum DHCP, DNS und NTP-Server.

Ok, wann passiert denn dann die eigentliche EAP-TLS Authentifizierung ???

Wenn ich es richtig verstehe, passiert ja folgendes laut der config:

Das Telefon bootet, der Switchport geht "up", sendet daraufhin standardmässig 3 x EAPOL zum Telefon (das den DLS noch nicht sehen kann).

Vom Telefon kommt "no-response", daraufhin steckt der switch den Port ins
"no-response" vlan 222:

authentication event no-response action authorize vlan 222

Im Vlan 222 erhält das Telefon irgendwie die IP Adresse des DLS (über DHCP oder fest konfiguriert auf dem Phone), spricht den DLS an, der checkt, ob es einen gültigen Eintrag für dieses Phone gibt (über MAC Adresse) und sendet dem Telefon die config runter.

In der Config steht "mach EAP-TLS" und "hier sind die Zertifikate", laut der
Doku von Siemens bootet das Telefon neu, wenn es die Config erhalten hat.

Geht dabei der Switchport erst wieder auf "down", dann auf "up" (und .1x startet neu, wobei das "no-response" vlan wieder nicht erreichbar wäre, d.h. KEINE Verbindung zum DLS) ???

Oder bleibt der Switchport auf "up" und das Telefon sendet nach dem Reboot EAPOLs zum Switch, bis der dann antwortet und .1x dann EAP-TLS losgeht ???

Die Frage, die sich mir daraus stellt, ist:
Braucht das Telefon IMMER eine Verbindung zu DLS um EAP-TLS machen zu können, oder nur EINMAL, um die Config und die Zertifikate zu ziehen (die es dann auch nach einem Reboot oder "Strom weg" behält) ??

Ich habe nämlich zwei Test-Telefone hier, die in einem Produktionsnetz stecken, in dem der DLS erreichbar ist und die Telefone haben vom DLS die Zertifikate und Config bekommen.

Wenn ich die aber abziehe (stromlos) und ins das Labor Netz an den PoE-Switch mit der .1x Konfiguration stecke (wo kein DLS erreichbar ist), sehe ich im Sniffer NIX an EAP vom Telefon, nur vom Switch die EAPOLs ......

 

[OpenOpti]

Hi Zuffnik,

Ok, wann passiert denn dann die eigentliche EAP-TLS Authentifizierung ???

Wenn ich es richtig verstehe, passiert ja folgendes laut der config:

Das Telefon bootet, der Switchport geht "up", sendet daraufhin standardmässig 3 x EAPOL zum Telefon (das den DLS noch nicht sehen kann).

Vom Telefon kommt "no-response", daraufhin steckt der switch den Port ins
"no-response" vlan 222:

authentication event no-response action authorize vlan 222

Im Vlan 222 erhält das Telefon irgendwie die IP Adresse des DLS (über DHCP oder fest konfiguriert auf dem Phone), spricht den DLS an, der checkt, ob es einen gültigen Eintrag für dieses Phone gibt (über MAC Adresse) und sendet dem Telefon die config runter.

Bis hierhin alles korrekt

In der Config steht "mach EAP-TLS" und "hier sind die Zertifikate", laut der
Doku von Siemens bootet das Telefon neu, wenn es die Config erhalten hat.

Ersteres könntest du mal mit dem DLS-Trace überprüfen - also ob die Zertifikate wirklich zum Telefon gesendet worden sind.
Das OS bootet nicht neu, braucht aber eine gewisse Zeit bis die Prozesse neugestartet sind - das optiPoint brauchte jedoch diesen Reboot.

Geht dabei der Switchport erst wieder auf "down", dann auf "up" (und .1x startet neu, wobei das "no-response" vlan wieder nicht erreichbar wäre, d.h. KEINE Verbindung zum DLS) ???

Oder bleibt der Switchport auf "up" und das Telefon sendet nach dem Reboot EAPOLs zum Switch, bis der dann antwortet und .1x dann EAP-TLS losgeht ???

Wenn ich das jetzt richtig im Kopf habe, würde das Telefon nach Abschluss des Plug&Plays und Prozessneustartes ein "EAPOL Start" senden - dieses macht es sobald die 802.1x Zertifikate installiert sind. Egal ob auf dem Switchport 802.1x an oder aus ist.
Hat es Zertifikate und empfängt ein EAP Request wird es versuchen, sich zu authentifizieren.

Die Frage, die sich mir daraus stellt, ist:
Braucht das Telefon IMMER eine Verbindung zu DLS um EAP-TLS machen zu können, oder nur EINMAL, um die Config und die Zertifikate zu ziehen (die es dann auch nach einem Reboot oder "Strom weg" behält) ??

Dauerhafte Verbindung zum DLS braucht es nicht. Allerdings kannst du es dann natürlich nicht mehr über den DLS administrieren
Einmal installiert, behält es die Zertifikate

Ich habe nämlich zwei Test-Telefone hier, die in einem Produktionsnetz stecken, in dem der DLS erreichbar ist und die Telefone haben vom DLS die Zertifikate und Config bekommen.

Wenn ich die aber abziehe (stromlos) und ins das Labor Netz an den PoE-Switch mit der .1x Konfiguration stecke (wo kein DLS erreichbar ist), sehe ich im Sniffer NIX an EAP vom Telefon, nur vom Switch die EAPOLs ......

Dann wird da wohl was beim Plug&Play schief gegangen sein....


Ansonsten halt mal beim Support nachhaken, ob die noch Ideen haben bzw Dich unterstützen können...

 

[zuffnik]

Zitat:
Ich habe nämlich zwei Test-Telefone hier, die in einem Produktionsnetz stecken, in dem der DLS erreichbar ist und die Telefone haben vom DLS die Zertifikate und Config bekommen.

Wenn ich die aber abziehe (stromlos) und ins das Labor Netz an den PoE-Switch mit der .1x Konfiguration stecke (wo kein DLS erreichbar ist), sehe ich im Sniffer NIX an EAP vom Telefon, nur vom Switch die EAPOLs ......

Dann wird da wohl was beim Plug&Play schief gegangen sein....

Ok, nochmal: Sobald die Telefone die Zertifikate haben, müsste ich was EAP-mässiges von denen sehen .....

Andersrum: Wenn ich nichts sehe, dann haben die Telefone warscheinlich noch gar keine oder Probleme mit den Zertifikaten .... ???

So einfach ist das, oder kanns noch einen anderen Grund dafür geben, daß ich nichts sehe ???

 

[OpenOpti]

Völlig richtig

Außer falls du irgendwas auf dem Port nicht sehen solltest... aber das hatten wir ja schon


Fall's es hilft:
Bei mir sieht's so aus:
Telefon startet
Switch: sendet Request Identity
Telefon EAPOL Start
Switch EAP Request Identity
Telefon EAP Response Identity
Switch EAP Request EAP-TLS
Telefon SSL Client Hello
Switch EAP Request EAP-TLS
Telefon EAP Response EAP-TLS
Switch EAP Request EAP-TLS
Telefon EAP Response EAP-TLS
Switch EAP Request EAP-TLS
Telefon EAP Response EAP-TLS
Switch TLSv1 Server Hello, Certificate, Certificate Request, Server Hello Done
Telefon EAP Response EAP-TLS
Switch EAP Request EAP-TLS
Telefon EAP Response EAP-TLS
Switch EAP Request EAP-TLS
Telefon TLSv1 Certificate, Client Key Exchange, Certificate Verify, Change Cipher Spec, Encrypthed Handshake Message
Switch TLSv1 Change Cipher Spec, Encrypthed Handshake Message
Teleon EAP Repsonse, EAP-TLS
Switch EAP Success

Die Switch-Pakete sind mit dem Vlan des Daten-Vlans getaggt.

 

[OpenOpti]

Bist du weiter gekommen?

 

[zuffnik]

Hi,

ja, ein kleines bischen, ich habe gelernt, daß man im Prinzip jeden Mist in den DLS hochladen kann, den der dann auch erfolgreich auf das Phone als Clientzertifikat schiebt (im Prinzip auch eine Textdatei mit "blablabla......" als Inhalt)

Es gibt dabei keinerlei Fehlermeldung, weder vom DLS noch vom Openstage, man merkt nur, daß die Datei falsch oder korrupt war, daran das das Telefon dann kein EAP spricht ........

Wenn ich ein Client Zertifikat exakt nach den Vorgaben (die ich nur durch deine Hilfe überhaupt gefunden habe) erstelle, die in der Siemens Wiki stehen (Schlüssellänge, etc.), dann spricht das Telefon auf einmal auch EAP-TLS und antwortet SOFORT auf den ersten EAPoL und versucht sich zu authentifizieren ......

Ganz ehrlich, ist ein bischen enttäuschend für eine (teure) Software, die Siemens als "Zentrales Management Tool" anpreist, ich hätte mir sowas wie einen Syntax- oder Format-Check beim Importieren von (gerade von) Zertifikaten gewünscht ........

Naja, egal, was draus gelernt auf jeden Fall ....

Also, funktionierende Client Zertifikate hab ich jetzt, die Phones labern jetzt auch EAP zum Switch zurück.

Jetzt wird allerdings das Server-Zertifikat vom Radius-Server von den Telefonen rejected, ich sehe im WireShark die Meldung "unknown CA".

Das heisst für mich, es gibt noch irgendein Problem mit dem Zertifikat der CA, das in den DLS geladen und auf die Telefone geschoben wurde.

Wir haben mehrere CAs, es gibt die Root (die oberste mit Nr. 004), darunter sitzt eine SubCA (mit Nr. 001) und darunter sitzt noch eine Sub (mit Nr. 050), die 50er hat die Client Zertifikate und das Radius-Server Zertifikat ausgestellt:

(root) (sub) (sub)
004 - 001 - 050

Alle CAs sind Microsoft Server 2008 R2 basierend .......

Normalerweise muss das CA Zertifikat das von der CA sein, die die Zertifikate ausgestellt hat (in unserem Fall also die 050), das ist auch drin, wird aber nicht akzeptiert (unknown CA)......

In der Siemens Doku steht fast ausschliesslich was vom RootCA-Zertifikat, das wäre ein anderes in unserem Fall, welches muss es denn jetzt sein ... ???

Ich meine mal was gelesen zu haben, das die Reihenfolge wichtig sei, in der die Zertifikate geladen werden (CA zuerst, dann Client), kann das vielleicht sein ????

Thx

 

[zuffnik]

Noch eine Sache zum CA-Zertifikat ist mir aufgefallen:

Die Anforderungen laut den Siemens Dokumenten an das CA-Zertifikat sind wie folgt:

X509v3 extensions:

* X509v3 Basic Constraints: critical, CA:TRUE
* X509v3 Key Usage: critical, Digital Signature, Certificate Sign, CRL Sign

Wenn ich mir mit OpenSSL unser CA-Zertifikat anschaue, dann sehe ich das etwas fehlt:

openssl.exe x509 -noout -text -in ca_cert.cer -modulus

.....
X509v3 extensions:
X509v3 Key Usage:
Digital Signature, Certificate Sign, CRL Sign
X509v3 Basic Constraints: critical
CA:TRUE
.....

Es fehlt der Parameter "critical" bei Key Usage !!!!

Ich finde aber Beispiel-Zertifikate, bei denen alles drin ist:

....
X509v3 extensions:
X509v3 Key Usage: critical
Digital Signature, Certificate Sign, CRL Sign
.....
X509v3 Basic Constraints: critical
CA:TRUE
....

Weiss jemand, wie ich eine Microsoft CA dazu bringen kann, ihr eigenes CA Zertifikat mit diesem fehlenden Parameter auszustellen ??

Thx

 

[marcweb]

Hallo,

ich habe das Rootzertifikat der Microsoft CA und ein Zertifikat von der Vorlage Benutzer für das Telefon verwendet. Keine Probleme! Das Zertifikat für das Telefon muss natürlich mit Private Key importiert werden

Anbei habe ich noch ein Problem das mich beschäftigt...

Die OpenStage IP Phones haben ja eine Switch mit an Board, z.B. um den PC anzuschließen. Nun möchte ich aber das Telefon in einem anderen VLAN haben als den PC.
Das Telefon authentisiert sich mit Zertifikat am Port des Cisco Switches und wird mittels IAS Richtlinie in ein VLAN geschoben, soweit kein Problem.
Kann der Switch am Telefon auch eine 802.1x Authentifizierung durchführen und den PC in ein anderes VLAN heben? Eigentlich müsste das Telefon ja dann auch im IAS als RADIUS Client eingertagen sein, oder?

Habt ihr eine Idee ?

MfG

 

[zuffnik]

Hi,

aha, scheint ja doch zu gehen .....

Welche Schlüssellänge und welche MS CA (2008 R2 ???) habt ihr benutzt ??

Kannst du mir mal Details zeigen über die beiden Certs (mit openssl.exe) ??
Ich würde die Parameter dann mit unseren Certs mal vergleichen .....

Ich hatte schon das Ca-Zertifikat und ein Benutzer Zertifikat auf ein Telefon geschoben, die Authentifizierung scheiterte aber am Telefon, im Sniffer-Trace vom Wireshark konnte ich sehen, das das Telefon den Radius-Server rejected hat, weil es angeblich der Ca, die das Zertifikat des Radius ausgestellt hat, nicht vertraut .....

Witzig, denn es ist die gleiche CA, von der das importierte Root Zertifikat war und die gleiche, die sein eigenes Benutzer Zertifikat ausgestellt hat ... !!!
(steht auf weiter oben schon mal beschrieben ....)

Zum Thema Voice und Daten Vlan:

Du hast Recht, Cisco Switches können quasi zwei Vlans auf dem gleichen Ethernetport zur Verfügung stellen, Konfig sieht ungefähr so aus:

interface GigabitEthernetx/yz
switchport mode access
switchport access vlan 100 !Daten-Vlan für den PC
switchport voice vlan 200 !Voice-Vlan fürs Telefon

Wenn jetzt ein IPPhone mit 2-Port-Switch daran angeschlossen wird, passiert folgendes:

1. Wenn es ein Cisco IP Phone ist geht alles automatisch (wer hätte das gedacht !!! ), denn Cisco hat ein eigenes Protokoll namens CDP, das alle Cisco Geräte beherrschen, über das sich der Switch und das Telefon bekannt machen und dem Switch mitgeteilt wird, das das angeschlossene Gerät vom Typ Voice-Telefon ist, worauf der Switch diese MAC Adresse automatisch dem konfigurierten Voice Vlan (der Voice-Domain) zuordnet ....... Der Radius braucht hier gar keine VLAN ID mehr runter zu schicken ....

2. Bei nicht-Cisco-Telefonen muss man mehr konfigurieren:
- Auf dem Switch muss global LLDP angeschaltet werden (lldp run)
- auf dem Telefon muss LLDP-MED im Menü eingeschaltet werden

Über LLDP tauschen dann das Telefon und der Switch Informationen aus (z.B. mit welchem VLAN Tag das Telefon seine Daten taggen muss etc.)

- Auf dem Switchport gibts ein Dot1x-Feature, das zwischen der "Daten-Domäne" und der "Voice-Domäne" unterscheided, muss konfiguriert werden, damit das Telefon in die "Voice-Domäne" gesteckt werden kann :

authentication host-mode multi-domain

Achtung: Bei älteren IOS Versionen heisst der Befehl noch "dotx host-mode multi-domain", Cisco hat erst in den letzten Versionen begonnen, die Befehle umzunennen ......

- Der Radius Server muss für das Telefon ein Hersteller-Attribut (Vendor-Specific-Attribute) an den Switch zurückgeben, damit das Telefon auch in die Voice-Domain gesteckt wird, muss man es auf dem Switch konfigurieren:

radius-server vsa send authentication

Vom Radius muss jetzt dieses vsa an den Switch zurückkommen:

device-traffic-class=voice

Du musst jetzt also die Radius-Regel ändern, das kein Vlan mehr runtergeschoben wird, sondern nur noch das vsa gesendet wird, dann
landet das Telefon im konfigurierten Vlan 200 ......

Ich weiss, wie es auf dem Cisco ACS Radius konfiguriert wird (V4.x und V5.1),
auf den Microsoft Boxen ----- leider keine Ahnung.

Hier ist mal ein config Beispiel für den Cisco ACS 4, vielleichts hilfts was:

http://www.cisco.biz/en/US/tech/tk389/tk814/technologies_configuration_example09186a00808abf2d.shtml

Das Telefon muss nicht als Radius-client auf dem Radius-Server eingetragen sein, denn der Switch bleibt auch hier der einzige
Authenticator, er muss natürlich drin stehen .......

 

[marcweb]

Guten Abend,

na, da verlogt wohl noch jemanden die Arbeit bis nach Hause

Das mit dem Voice VLAN hatte ich mir heute Nachmittag auch noch kurz angelesen. Allerdings kann ich den Befehl "switchport access vlan xy" nicht setzen. Das VLAN wird dynamisch vergeben, abhängig vom Client. Nur das Vioce VLAN ist fix.
Wir haben OpenStage 40 Phones und und setzen auch den DLS von Siemens ein.
Den "multi-domain" Befehl hatte ich auch schon drin, allerdings wird der Port z.Z. noch gesperrt. Fehlermeldung: DOT1X_SWITCH-5-ERR_VLAN_EQ_VVLAN: Data VLAN [dec] on port [chars]
cannot be equivalent to the Voice VLAN AuditSessionID [chars].
Gibt es hier noch irgendwelche Befehle die ein VLAN als VOICE VLAN identifizieren. Nach der Anleitung aus deinem Link ist das VLAN 3 das VOICE VLAN und bedarf hier keiner besonderen Konfiguration, richtig?

Zu den Zertifikaten auch leider erst morgen mehr, wenn ich wieder im Büro bin.

Bis dann

 

[zuffnik]

>>> na, da verlogt wohl noch jemanden die Arbeit bis nach Hause

So ungefähr ............................

>>> Allerdings kann ich den Befehl "switchport access vlan xy" nicht setzen. Das VLAN wird dynamisch vergeben, abhängig vom Client. Nur das Vioce VLAN ist fix.

Tja, das muss man aber, damit die beiden Domains unterschieden werden. Ist auch kein Problem, denn egal welches VLAN als access vlan fest konfiguriert ist, wenn ein vlan dann vom Radius runtergeschoben wird, überschreibt das die Portkonfiguration ..........

Das Access Vlan muss auch ein anderes sein, als das voice vlan, du kannst also nicht bei voice und access die gleich vlan id konfigurieren, sonst kommt auch die Fehlermeldung, die du siehst.

Ich würde mit "switchport access vlan xy" die Ports in irgendein existierendes, nicht geroutetes, aber aktives Vlan stecken, das dann vom Radius überschrieben würde .....

 

[marcweb]

Hey,

dein Tipp mit dem Parameter device-traffic-class=voice und den LLDP Einstellungen war goldrichtig und das fehlende Glied in meiner Kette :groesste:
Der Parameter Cisco-AV-Pair ist glücklicherweise auch im IAS vorhanden (und der einzige Parameter überhaupt der von Cisco mit im IAS ist).
Die feste VLAN Zuweisung für das DATA VLAN auf dem Port sind bei mir nicht nötig. Das Voice VLAN wird über den o.g. Parameter definiert und die Fehlermeldung ist weg. Mein Port sieht dann also so aus:

interface FastEthernetx/y
switchport mode access
switchport voice vlan 100
speed 100
duplex full
authentication host-mode multi-domain
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast

Damit bleibt die Flexibelität der VLANs hinter dem Phone erhalten und die Leute können munter ihre Laptops durch die Gegend tragen. Aber nun wie versprochen zu unseren Zertifikaten:

Die CA ist von einem W2k3. Schlüssellänge 2048 Bit beim Root- und 1024 Bit beim Benutzerzertifikat (für das Phone).
Schlüsselverwendung beim Benutzer sind:
Verschlüsselndes Dateisystem
Sichere Email
Clientauthentifizierung

bei Openssl bekomme ich die Fehlermeldung:

OpenSSL> x509 -noout -text -in C:\root.cer -modulus
unable to load certificate
2772:error:0906D06CEM routinesEM_read_bio:no start line:./crypto/pem/pem_lib
.c:647:Expecting: TRUSTED CERTIFICATE
error in x509

 

[Agetommy]

Welche IOS Version hast du auf dem 3560?

Ab 12.2.(53) hat Cisco auf EAPOL V3 gewechselt. Damit kann der xsupplicant auf dem Openscape Phone nichts anfangen.

Zum debugggen sonst auch mal per ssh am Phone anmelden. Mit ps -a den xsupplicant prozess mitsamt Aufruf anzeigen lassen. Unter /tmp/xsupplikant/xsupplicant.conf die Konfigdate anzeigen lassen und auf Plausiblität überprüfen. Liegen Zertifikat und privat Key (ungeschützt!!!) in dem Ordner?

Probiere mal mit 12.2(52), damit geht es mit den hier bereits beschriebenen Konfigurationen.

Die erwähnetn Zertifikats Anforderung sind nicht so kritisch wie beschreiben für die 802.1x Authentisierung. Für die Payload Encryption werden sie aber relevant.

 

[OpenOpti]

EAPv3 kann es - zur Zeit aber nur in der SIP V2 R0.30.4 bzw dann auch in späteren Versionen


ps: für die Payload Encryption selber spielen Zertifikate keine Rolle

 

[Agetommy]

ps: für die Payload Encryption selber spielen Zertifikate keine Rolle

Hast du recht.
Zertifikate für Payload Encryption spielen nur auf den SIP GWs eine Rolle.

 

[zuffnik]

Welche IOS Version hast du auf dem 3560?

Ab 12.2.(53) hat Cisco auf EAPOL V3 gewechselt. Damit kann der xsupplicant auf dem Openscape Phone nichts anfangen.

Zum debugggen sonst auch mal per ssh am Phone anmelden. Mit ps -a den xsupplicant prozess mitsamt Aufruf anzeigen lassen. Unter /tmp/xsupplikant/xsupplicant.conf die Konfigdate anzeigen lassen und auf Plausiblität überprüfen. Liegen Zertifikat und privat Key (ungeschützt!!!) in dem Ordner?

Probiere mal mit 12.2(52), damit geht es mit den hier bereits beschriebenen Konfigurationen.

Die erwähnetn Zertifikats Anforderung sind nicht so kritisch wie beschreiben für die 802.1x Authentisierung. Für die Payload Encryption werden sie aber relevant.

Jupp, wir haben die 12.2(53) auf den 3560ern ....

Heisst das, wenn die Openstage 60 mit Dotx laufen sollen, dann MUSS ich downgraden auf 12.2(52), oder weisst du zufällig auch noch, ob man der 12.2(53) das EAPOL V3 auch anders abgewöhnen kann .... ??

Vielleicht durch eine neuere Version der Openstage Firmware ??

Wie ich Cisco kenne betrifft diese Änderung die ganze 12.2(xx) Train, d.h. auch auf 450xern müsste ich downgraden ......

Payload encryption wird zur Zeit nicht gemacht, vielleicht in Zukunft aber mal.
Du sagst, dafür müssten die Phone Zertifikate die von Siemens vorgegebenen Anforderungen alle erfüllen ??