Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Portbasierte VLAN-Zuordnung von Clients

Mitglied: 107117

107117 (Level 1)

15.06.2012 um 23:52 Uhr, 3277 Aufrufe, 5 Kommentare

Hallo,

ich habe eine RADIUS-Testumgebung, die aus einem Windows 2008 Server als RADIUS-Server, einem 802.1X-fähigen Switch (DLink DGS-1248T) und einem Windows 7-Client besteht.

Die normale 802.1X-Authentifizierung zum RADIUS-Server hat super funktioniert. Jetzt möchte ich die Netzwerkrichtlinie auf dem RADIUS-Server so verändern, dass der RADIUS-Server bestimmt, zu welchem VLAN der Switch den Client zuordnen soll.

Mein Problem ist, dass der RADIUS-Server keine Antwort zurückgibt, auf welches VLAN der Client untergeordnet werden soll. In der Netzwerkrichtlinie für autorisierte Clients habe ich diese Attribute konfiguriert: Tunnel-Medium-Type, Tunnel-Pvt-Group-ID und Tunnel-Type. Trotzdem funktioniert die VLAN-Zuordnung nicht.

Woran könnte es liegen? Liegt es an dem Switch, dass er diese Technologie nicht unterstützt?

LG
Mitglied: aqui
16.06.2012 um 11:19 Uhr
Dieses Tutorial beschreibt dir genau wie es geht:
https://www.administrator.de/contentid/154402
Dein Switch muss dieses Feature der dynamischen VLAN Zuordnung bei 802.1x Port Authentisierung explizit unterstützen !
Das datenblatt des Switches sagt dir das genau !
Leider ist bei vielen Billigheimern, zu denen D-Link ja leider gehört, die dynamische VLAN Zuwesiung aus Kostengründen nicht implementiert sondern nur lediglich die Port Authentisiereung.
Wie bereits gesagt, ein Blick ins Datenblatt des Switches sollte das im Handumdrehen klären.
Was ausserdem hilft ist ein Sniffer Trace (Wireshark) des Authentisierungsvorgangs. Hier kannst du ganz deutlich sehen ob der Radius Server das geforderte VLAN zum Client bzw. Port an den Switch schickt !
Wenn der Switch das dann nicht umsetzt, dann ist entweder die Konfiguration falsch oder der Switch supportet die dynamische VLAN Zuweisung nicht !
Bitte warten ..
Mitglied: 107117
16.06.2012 um 12:02 Uhr
Hallo,

vielen Dank für die Antwort.

Ich habe mir das Datenblatt angeschaut: ftp://ftp10.dlink.com/pdfs/products/DGS-1248T/DGS-1248T_ds.pdf
Dort steht, dass der Switch die Funktionen "IEEE 802.1Q VLAN Tagging" und "Asymmetric VLANs" unterstützt, aber keine dynamische VLAN-Zuordnung.

Also nehme ich an, dass er diese Funktion nicht unterstützt. Wie gesagt, es war ja nur eine Testumgebung. Die Port-Authentisierung hat einwandfrei funktioniert. Schön wäre es aber, wenn es mit diesem Switch auch möglich wäre, das Netzwerk vor unbefugten Zugriff zu schützen.

Ich werde trotzdem mal mit Wireshark prüfen, ob der RADIUS-Server das geforderte VLAN geschickt hat.

Was sollte eigentlich an der Konfiguration falsch sein? Ich habe die benötigten RADIUS-Attribute angegeben. Wenn der autorisierte Client an einem 802.1X-aktivierten Port von VLAN 1 angeschlossen ist und z. B. zu VLAN 2 zugeordnet werden soll, dann ist die 2 der Wert für die Tunnel-Pvt-Group-ID, oder?

LG
Bitte warten ..
Mitglied: aqui
16.06.2012, aktualisiert um 12:15 Uhr
Ja, das ist richtig ! Das bezog sich auch mehr auf die Switch Konfiguration. Ggf. solltest du nochmals bei der D-Link Hotline anrufen und das ganz genau klären ob das dynamische VLAN Zuordnen mit .1x supportet ist. Vermutlich wohl nicht... So wie es aussieht supporten das nur die D-Link Switches der 3xxx Serie !
Andere preiswerte VLAN Web Smart Switches supporten das aber schon. (Cisco SG-300 , HP, usw.) Hier lohnt also definitiv immer ein Blick ins Datenblatt !!
Was du allerdings mit der Aussage "Schön wäre es aber, wenn es mit diesem Switch auch möglich wäre, das Netzwerk vor unbefugten Zugriff zu schützen." meinst oder uns sagen willst ist vollkommen unklar !?
Die dynamische VLAN Zuweisung hat doch rein gar nichts mit der Netzwerk Sicherheit zu tun via .1x ??
Sowie du .1x aktivierst auf deinen Ports hast du doch ganz genau DAS erreicht, nämlich dein Netzwerk vor unbefugten Zugriff zu schützen.
Dabei ist es doch völlig Latte erstmal ob du die VLAN Zuweisung statisch oder dynamisch machst auf dem Switch !
Die Sicherheit vor unauthorisiertem Zugriff ist mit .1x immer gegeben !! Genau DAS leistet doch auch den 1224T Websmart Switch ! Wo liegt da also dein Problem ??
Kann das sein das du da was grundlegend missverstanden hast zur .1x Technik ??
Bitte warten ..
Mitglied: 107117
16.06.2012 um 22:18 Uhr
Hallo,

sorry, da habe ich mich vielleicht blöde ausgedrückt. Es ist mir schon klar, dass man mit 802.1X das Netzwerk vor unbefugtem Zugriff schützen kann.

Mit der VLAN-Zuordnung habe ich anders gemeint. Nennen wir also mal ein Beispiel: es gibt VLAN 1 und VLAN 2. Alle autorisierte Clients sollen zu VLAN 1 zugeordnet werden, alle unautorisierte Clients zu VLAN 2 mit eingeschränktem Netzwerkzugriff. Oder der Switch soll festlegen, zu welchem VLAN ein bestimmter Client angehören soll, wie z. B. zu Marketing, Einkauf, Buchhaltung,...

Wie gesagt, ich teste alle möglichen Funktionen. Die 802.1X-Authentisierung hat super geklappt. Es wäre aber schön, wenn es möglich wäre, zusätzlich zu dieser 802.1X-Technologie die dynamische VLAN-Zuordnung einzufüren. Aber wenn das nicht geht, dann werd ich das lassen. War ja nur ein Versuch...

LG
Bitte warten ..
Mitglied: aqui
17.06.2012, aktualisiert um 09:13 Uhr
OK, dann ist das klar und wir sind wieder einer Meinung.
Die dynamische VLAN Zuordnung von authorisierten Clients und das "Einsperren" nicht authorisierter Clients in ein sog. "Gummizellen" VLAN ist eine Standardfunktion von Switches die das dynamische VLAN Zuordnen per .1x generell supporten.
Die können solche Funktionen die du oben beschreibst dann auch problemlos abbilden.
Sieht dann als Fazit so aus als ob du leider zu doll aufs Geld beim Billigheimer D-Link geschielt hast und zu schnell gekauft hast...leider ! Oder schlechte Beratung des Händlers.
Andere Web Smart Switches supporten das alles was du möchtest wie gesagt ohne Probleme bei der dynamischen Zuordnung von VLANs.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Frage zum Erzeugen eines portbasiertem VLAN

Frage von presto-18LAN, WAN, Wireless7 Kommentare

Hallo, ich habe ein Class-C Netz 192.168.178.0/24. Der Router hat die IP 192.168.178.1 und ist ein stinknormaler Router von ...

Router & Routing

Portbasiertes VLAN bei Cisco RV180

Frage von KamelleRouter & Routing9 Kommentare

Ich will an den 4 Ports des RV180 Routers ein portbasiertes VLAN einrichten: VLAN_10, VLAN_20, VLAN_30, VLAN_30 Alle VLAN ...

Netzwerkmanagement

802.11x - Zuordnung des VLANs per MAC-Adresse

Frage von masterspNetzwerkmanagement11 Kommentare

Hallo, wir sind gerade dabei auf VLANs umzustellen. Am einfachsten bzw. die bevorzugte Art & Weise, wäre eine dynamische ...

LAN, WAN, Wireless

PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung

Frage von mrserious73LAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich verwende nun Freeradius auf pfSense, um ein EAP-TLS für's WLAN zu stellen. In Zukunft möchte ich ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Router & Routing
Mikrotik: Routing zwischen Interfaces mit Geräten ohne Gateway
Frage von TonLichtVideoRouter & Routing20 Kommentare

Hallo zusammen, ich komme aus dem Veranstaltungstechnik Bereich und habe zwei Netze um verschiedene Hardware zu Remoten. CONTROL1 192.168.1.0/24 ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware11 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...

VB for Applications
VBScript mit WINscp für einfachen FTP Transfer und nachträglichem verschieben der Datei in ein erledigt Verzeichnis
Frage von KeiosIDVB for Applications9 Kommentare

Hallo, leider soll ich auf den neueren Servern(Win2016R2) keine *.Bat Dateien mehr laufen lassen. Hier soll nun alles über ...