Als erstes benötigen wir auf der Opnsense das Freeradius Paket

das unter System -> Firmware -> Erweiterungen -> os-freeradius installiert werden kann.

Nun wird die Konfiguration unter Dienste -> FreeRADIUS wie folgt angepasst

Hier wird lediglich Aktivieren und VLAN-Zuweisung benötigt alles weiter ist Optional

Dann muss auch noch die EAP Einstellung angepasst werden

Und bei Standar-EAP-Typ MSCHAPv2 ausgewählt werden dies ist die Default Auth Type für die Procurve Switches

Ist Dies angepasst muss nur noch ein Client angelegt werden dem es erlaubt ist Auth anfragen zu stellen.

In meinem Fall für 4 Edge Switches

Nun kann jeder Switch einen Auth-anfrage an die Firewall stellen.

Um nun einem Client ein V-Lan zu zuweisen muss unter Benutzer ein Nutzer angelegt werden. Mit der MAC-Addresse als Nutzername und Passwort in de folgenden Schreibweise e86a64e81b1e. Das heißt ohne Trennzeichen und zu letzt natürlich das gewünschte V-Lan. Das Jeweilige V-Lan muss auf dem Switch natürlich angelegt sein sonst ist die zuordnung nicht möglich.

Nun zur Switch Konfiguration

Der Switch muss erst einmal die Firewall erreichen können. Um zu testen ob der Switch eine Verbindung zur Firewall herstellen kann kann man die Firewall vom Switch aus an pingen

conf t
radius-server host 192.168.22.254 key "secret"
aaa port-access mac-based 1-22
aaa port-access mac-based 1-22 unauth-vid 10
wr mem

Mit der Zeile 2 wird der Radius Server definiert

In Zeile 3 werden die gewünschten Ports auf mac-based port-access angepasst und somit die Ports für die das Dynamic Vlan Assignment bestimmt.

In Zeile 4 wird hier die unauth-vid angeben dies gilt für alle Clients die nicht bekannt sind und nich zugeordnet werden die landen dan im V-Lan 10.

Test Nun teste ich mit meinem Thinkpad ob die Konfiguration funktioniert und wie oben angegeben landet der Client mit der MAC-Addresse e86a64e81b1e im V-Lan 100

Bei Fragen und Anregungen gerne ein Kommentar hinterlassen.