Привет всем!
Делюсь тут огромной проблемой, с которой столкнулся при настройке NPS под Windows Server для динамического назначения VLAN через RADIUS.
Проблема в чём:
Аутентификация работает отлично. НО пользователь не назначается в запрошенный VLAN.
Анализируя RADIUS трафик с помощью Wireshark, обнаружил, что ни один атрибут VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Pvt-Group-ID) не отправляется в ответе Access-Accept.
После расследования выяснилось:
Проблема в стандартной политике подключения под NPS. По умолчанию используется общее правило, которое применяет только аутентификацию Windows и не позволяет запросу проходить к сетевой политике, настроенной для VLAN.
Решение:
Удалить или изменить стандартную политику подключения. Убедиться, что запрос корректно перенаправляется в сетевую политику, где определены атрибуты RADIUS для VLAN.
В сетевой политике (Network Policy) настроить следующие атрибуты:
Tunnel-Type = 13 (framed)
Tunnel-Medium-Type = 6 (802)
Tunnel-Pvt-Group-ID = ID желаемого VLAN
Результат:
После этого сервер корректно отправляет атрибуты VLAN в Access-Accept, и пользователи правильно назначаются в запрошенный VLAN.
Делюсь тут огромной проблемой, с которой столкнулся при настройке NPS под Windows Server для динамического назначения VLAN через RADIUS.
Проблема в чём:
Аутентификация работает отлично. НО пользователь не назначается в запрошенный VLAN.
Анализируя RADIUS трафик с помощью Wireshark, обнаружил, что ни один атрибут VLAN (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Pvt-Group-ID) не отправляется в ответе Access-Accept.
После расследования выяснилось:
Проблема в стандартной политике подключения под NPS. По умолчанию используется общее правило, которое применяет только аутентификацию Windows и не позволяет запросу проходить к сетевой политике, настроенной для VLAN.
Решение:
Удалить или изменить стандартную политику подключения. Убедиться, что запрос корректно перенаправляется в сетевую политику, где определены атрибуты RADIUS для VLAN.
В сетевой политике (Network Policy) настроить следующие атрибуты:
Tunnel-Type = 13 (framed)
Tunnel-Medium-Type = 6 (802)
Tunnel-Pvt-Group-ID = ID желаемого VLAN
Результат:
После этого сервер корректно отправляет атрибуты VLAN в Access-Accept, и пользователи правильно назначаются в запрошенный VLAN.