Weitere Dienste / PPPoE-Server
Übergeordnetes Thema: PPPoE-Server

Tutorial: PPPoE-Server mit RADIUS für IPv4 und IPv6 einrichten

In diesem Tutorial wird ein (Dual Stack) PPPoE-Client per RADIUS konfiguriert. Der Client erhält eine IPv4-Adresse, optional ein IPv6-Präfix per Router Advertisement und ein delegiertes DHCPv6-Präfix.

  1. Öffnen Sie die Konfiguration unter Kommunikation > Allgemein.
    1. Aktivieren Sie die Option PPPoE-Server aktiviert.
    2. Vergeben Sie unter Server-Name einen Namen für den PPPoE-Server. Dieser wird den PPPoE-Clients zur Identifizierung im Status angezeigt




  2. Öffnen Sie die Tabelle Gegenstellen (PPPoE).
  3. Bearbeiten Sie die DEFAULT-Gegenstelle.
    1. Belassen Sie den Namen der Gegenstelle auf "DEFAULT". Mit diesem Eintrag werden alle PPPoE-Clients, die per RADIUS authentifiziert werden sollen, behandelt.
    2. Lassen Sie das Feld MAC-Adresse leer.
    3. Setzen Sie die Haltezeit auf 0. Damit baut der PPPoE-Client die Verbindung aktiv auf, der Server baut diese nicht aktiv ab, außer bei einem LCP-Polling-Timeout




  4. Öffnen Sie die PPP-Liste unter Kommunikation > Protokolle. Bearbeiten Sie die DEFAULT-Gegenstelle und nehmen die folgenden Anpassungen vor:
    1. Über IPv4-Routing aktivieren wird die IPCP-Verhandlung und die Zuweisung von IPv4-Adressen an den Client aktiviert bzw. erlaubt.
    2. Optional können Sie über IPv6-Routing aktivieren die IPV6CP-Verhandlung sowie die Verwendung von IPv6 für den PPPoE-Client erlauben.
    3. Unter Authentifizierung der Gegenstelle (Anfrage) aktivieren Sie die erlaubten Authentifizierungsverfahren mit dem PPPoE-Client.
    4. Unter Authentifizierung durch Gegenstelle (Antwort) muss die Auswahl leer gelassen werden. Der PPPoE-Server soll sich nicht gegenüber dem Client authentifizieren.
    5. Unter LCP-Polling stellen Sie den Wert Zeit auf 3 (multipliziert wird intern mit dem Wert 10 für 30 Sekunden) und den Wert Wiederholungen auf 5.




  5. Öffnen Sie die Konfiguration unter Kommunikation > RADIUS.
  6. Konfigurieren Sie die notwendigen Einstellungen für die Authentifizierung über RADIUS für PPP:
    Option Bezeichnung
    RADIUS-Server Aktiviert
    Adresse IP-Adresse des RADIUS-Servers. Wenn der interne RADIUS-Server verwendet werden soll, kann als IP-Adresse 127.0.0.1 eingetragen werden.
    Schlüssel (Secret) Passwort zur Kommunikation mit dem RADIUS-Server.
    PPP-Arbeitsweise Exklusiv. Dies bedeutet, dass exklusiv der RADIUS-Server für Authentifizierung verwendet werden soll und nicht zusätzlich die interne PPP-Benutzer-Tabelle.




  7. Öffnen Sie die Konfiguration unter IPv4 > Adressen.
  8. Konfigurieren Sie die DNS-Server-Adressen für die Clients als Erster DNS und Zweiter DNS.




  9. Falls weiter oben das optionale IPv6 aktiviert wurde, dann führen Sie auch die folgenden Schritte aus:
    1. Aktivieren Sie die Ipv6-RAS-Vorlagen unter IPv6 > Allgemein > RAS-Vorlagen > Bearbeiten des RAS-TEMPLATE > Eintrag aktiv.




    2. Legen Sie unter IPv6 > Router Advertisements > Schnittstellen-Optionen einen neuen Tabelleneintrag an. Wählen Sie als Interface-Name das soeben aktivierte "RAS-TEMPLATE" und als Standard-Router "Immer" aus.




    3. Legen Sie unter IPv6 > DHCPv6 > DHCPv6-Server > DHCPv6-Netzwerke einen neuen Tabelleneintrag an. Wählen Sie als Interface-Name/Relay-IP das "RAS-TEMPLATE" aus. Stellen Sie die Opton DHCPv6-Server aktiviert auf "Ein". Konfigurieren Sie als Erster DNS-Server, welche IPv6-DNS-Server-Adresse dem Client zugewiesen werden soll. Konfigurieren Sie unter Präfix-Delegierungs-Pool den Namen des vorher angelegten DHCPv6-PD-Pools "PD-POOL".




  10. Aktivieren Sie RADIUS-Authentisierung aktiv unter RADIUS > Server > RADIUS-Dienst.




  11. Legen Sie im RADIUS-Server unter RADIUS > Server > Benutzer-Datenbank > Benutzerkonten einen neuen Benutzer mit den folgenden Attributen an:
    Option Bezeichnung
    Benutzername / MAC-Adresse Erforderlich.
    Passwort Erforderlich.
    Framed-IP-Address Erforderlich für die Zuweisung der IPv4-Adresse.
    Framed-IPv6-Prefix Erforderlich bei IPv6 für das IPv6 Router Advertisement-Präfix.
    Delegated-IPv6-Prefix Optional. Wird für IPv6 DHCPv6 verwendet.
    TX Bandbreitenbegrenzung Optional.
    RX Bandbreitenbegrenzung Optional.
    Routing Tag Optional. Der PPPoE-Client wird in dem entsprechenden Routing-Kontext erzeugt.
    Attributwerte Optional. Z. B. "Reply-Message=SRU=10000#SRD=60000#". Hier können bestimmte Informationen an den PPPoE-Client bei der Authentifizierung übermittelt werden, z. B. die Bandbreiteninformationen zur korrekten QoS-Funktion.




  12. Öffnen Sie die Konfiguration unter Firewall/QoS > IPv6-Regeln und stellen Sie sicher, dass die verwendeten Präfixe und Dienste auch in der IPv6-Firewall aktiviert sind. Das vordefinierte Objekt "RASCLIENTS" gilt für PPPoE-Clients, die per Interface "RAS-TEMPLATE" erzeugt werden.
  13. Überprüfen Sie in den IPv6-Inbound-Regeln, dass "Allow-DHCP-Server" von den Quellstationen "RASCLIENTS" erlaubt ist. Außerdem muss "Allow-DNS-Server" muss von den Quellstationen "RASCLIENTS" erlaubt sein, wenn der LANCOM Router selbst IPv6-DNS-Server für die PPPoE-Clients sein soll.




  14. Überprüfen Sie in den IPv6-Forwarding-Regeln, dass die Regel "Allow-RASCLIENTS" erlaubt ist. Die in diesem Szenario verwendeten IPv6-Präfixe für Router Advertisements oder DHCPv6-PD-Pools müssen grundsätzlich per Firewall-Regel im Forwarding-Fall erlaubt werden und nicht durch eine DENY-ALL-Regel geblockt werden




Die Status-Informationen zu allen aktiven PPPoE-Clients werden in der Tabelle unter Status > PPPoE-Server > Connections angezeigt.

Detailinformationen zu einem einzelnen Client können mit dem Show-Kommando "show pppoe-user-detail <user-name>" angezeigt werden.

Analyse-Möglichkeiten bietet das Trace-Kommando "trace # ppp".

Übergeordnetes Thema: PPPoE-Server

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo