VLAN Tag (802.1Q)

[jorgeff]

Olá pessoal

Tenho um switch 3com 4200, configurado para fazer autenticação (802.1X) em um servidor com FreeRadius.

Quando conecto o cabo de rede ao computador, o Switch faz a consulta no Radius, O Radius envia a resposta para o Switch "dizendo" que ele está autorizado e pertence a VLAN 3 (Tunnel Private Group ID = 3). Até ai tudo bem, o computador assume a VLAN 3 sem problemas.

O problema está quando utilizo a Wireless, Tenho um D-link DWL 2100AP configurado como EAP-TLS e conectado no mesmo Switch 3Com, o AP autentica normalmente no Radius, mas simplemente Ignora o parâmetro "Tunnel Private Group ID = 3" enviado pelo RADIUS.

Não estou encontrando onde está o problema,

A porta que está o AP não está configurada para autenticação no RADIUS, dessa forma acredito que a TAG da VLAN deveria ser enviada normalmente para o Notebook, será o Adaptador wireless do Notebook ?? , já testei 3 notebooks diferentes... e nada, estou desconfiado que as placas Wireless, na grande maioria, não tem suporte à 802.1Q, será isso ???

OBS: de acordo com as especificações do Swich 3Com 4200, DWL2100AP e a placa Ethernet, todos tem suporte a 802.1Q, mas não achei nada sobre os adaptadores Wireless.

Obrigado pessoal

[allisonvoll]

Se não me engano o Switch 3com 4200 só suporta VLAN baseado em portas, ou seja, se você ligar um AP em uma porta, o primeiro cliente passa pela autenticação a porta na qual o AP está conectada passa a pertencer a VLAN correspondente, aí todo acesso restante será através dessa VLAN.

Para o caso que pretende seria interessante um switch que suportasse VLAN baseada em MAC.

Mas tem outra alternativa, que seria conectar o AP em uma porta TRUNK, e se o seu AP suportar, configurá-lo para Multi-SSID, cada SSID em uma VLAN, e restringir de acordo com o desejado.

[alefd]

Creio que o AP não suporte autenticação 802.1x, sei que da D-Link os APs que tem suporte a este tipo de autenticação são os DWL-3200 , DWL-8200 , DWL-8500 e outros corporativos. O que vc pode fazer é configurar o switch para atribuir a VID 3 na porta do ap e desabilitar a autenticação 802.1x na porta.
Vc também pode procurar alguma atualização da Firmware do DWL-2100AP no site tsd.dlink.com.tw mas verifique o hardware de seu AP antes de atualizar.

[jorgeff]

RESOLVIDO PESSOAL

Na verdade o DWL 2100Ap tem suporte a 802.1X tanto que tem a configuração para WPA-EAP, sobre a vlan, como o Allisonvoll falou tive que configurar Multi-SSID, o SSID-01 na VLAN 01 (padrão) e o SSID-02 na VLAN 10, depois criei as mesmas VLAN no Switch e configurei a porta que está conectado o AP como "tagged", dai foi só felicidade..

Valeu pessoal, se mais alguem tiver dúvidas, posta ai.

[walterti]

Cara ajuda um pobre amigo? esse seu FreeRadius autentica em base OpenLDAP? se sim, como você fez? estou sofrendo nisso já faz um tempo e nao consigo de forma nenhuma, tenho esse mesmo switch em toda a minha rede aqui precisando autenticar 802.1x mas sem sucesso.