Коммутатор Zyxel GS1920-8HP MAC Authentification на Radius Server Windows.

Slava
Slava Публикаций: 9
First Answer First Comment First Anniversary
Здравствуйте.

Имеем следующую схему


Коммутатор GS1920-8HPv2. Версия прошивки: V4.70(ABKZ.8) | 10/04/2022 (при покупке была установлена Версия прошивки:  V4.70(ABKZ.5) | 11/30/2021)

Пытаюсь настроить MAC аутентификацию на сервере Radius Windows.
При настройке использовал следующие инструкции (пока тему Vlan опускаю, так как
GS1920-8HPv2, как я понял не умеет этого делать, да и до этого дело не пока дошло, в настоящий момент пытаюсь добиться просто успешной аутентификации):

https://support.zyxel.eu/hc/en-us/articles/4413557873810-MAC-Authentification-with-Active-Directory

https://support.zyxel.eu/hc/en-us/articles/4453007504658-Configuring-RADIUS-Server-for-dynamic-VLAN-assignment-with-Zyxel-Switches

https://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=015204&lang=EN

В настоящий момент имею следующие настройки:
На коммутаторе GS1920-8HPv2:
 
Radius сервер


Включена аутентификация по MAC

На Raidus сервере Windows:

Добавлен Radius клиент



Политика запроса на подключение имеет следующие настройки


Сетевые политики имеют вид (хотя до них, как ни странно дело не доходит)





В Active Directory создан пользователь (имя пользователя = пароль = mac).


Является членом группы



В итоге при подключении клиента на Radius сервере получаем отказ.


Хотя на сервере имеется политика сети, она не используется.


Менял условия политики добавлял IPv4 адрес NAS, ситуация не меняется.



Хотя в логах тип проверки PAP


Менял в настройках методы проверки подлинности 


Так же получаю отказ.
Сетевое правило упорно не используется.


p.s. 

Если на коммутаторе Zyxel GS1920-8НРv2 включаю 802.1х


То обращения на Radius сервер прекращаются.
В статусе порта коммутатора к которому подключено конечное устройство мгновенно получаю блокировку.


Хотя обращений аутентификации на Raidus сервер не было, отказ не получали, в логах Radius пусто. Если отключить 802.1х, в логах Radius появляется запрос на который получаем отказ.  

Имеются коммутаторы Cisco,  Juniper, беспроводная сеть на базе Unifi, которые настроены и работают с данным сервером Radius, проблем с аутентификацией с данных устройств не наблюдается. Работает как 802.1x, так и MAC аутентификация. (что исключает глюки Raidus сервера, плюс в сети не один Radius сервер. Для каждого вышеперечисленного оборудования настроены отдельные правила, эти правила так же не применяются при подключении коммутатора Zyxel GS1920-8НРv2.).

На сервере Raidus при подключении коммутатора Zyxel GS1920-8НРv2 не определяется Тип порта NAS, хотя это ethernet, в связи с чем не установить условие в политиках Radius сервера Тип порта NAS: ethernet.



К примеру те же коммутаторы Cisco и Juniper определяются с Типом порта NAS: ethernet


Хотя конечно это не является большой проблемой, так как имеем возможность в правилах определить коммутаторы Zyxel по Идентификатору NAS. Что мы и делаем при настройке. Но все же это не самый удобный вариант.

Что можете посоветовать? 

Комментарии

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Добрый день.

    Для уточнения проблемы нужен файл конфигурации коммутатора и захват пакетов с портов куда подключен принтер и его аплинка. Можете прислать эту информацию в ЛС или открыть заявку в поддержке.
  • Slava
    Slava Публикаций: 9
    First Answer First Comment First Anniversary
    отредактировано февраля 2023
    Добрый день. 

    Модель Zyxel GS2220-10 при аналогичных настройках, работает как надо.

    Думаю ответ по данной теме: не совместимость модели 
    Zyxel GS1920-8НРv2, с поставленной задачей ) не хватает функционала Compound Authentication, который играет ключевую роль.