10
Radius-Authentifizierung in bestehendem LAN
Einbindung eines Radiusservers in ein bestehendes LAN + Integration von WLAN, was ebenfalls über Radius authentifiziert werden soll.
Hallo,
dies ist mein erster Eintrag. Bin schon seit jahren stiller leser hier und bin einfach nur begeistert. bin hier schon bei so vielen sachen fündig geworden. doch nun ist es etwas spezieller...
zu meinem Problem:
in unserer firma besteht ein server-client netzwerk mit einem win-2k3-server (AD, DNS, DHCP, DMS) und 8 Clients (XP und Vista). Internetzugang wird über einen proxyserver (Suse) gewährleistet.
Das Netztwerk soll nun durch ein WLAN-AP erweitert werden. die authentifizierung soll durch ein radius-server gewährleistet werden und durch wpa verschlüsselt werden. das sollte soweit kein problem darstellen. nur soll es so sein, dass die bisherigen CLients sich auch über den radiusserver anmelden sollen.
der momentan eingesetzte switch (ist glaub ich einer von PLANET) unterstützt allerdings nicht den 802.1X-standard. kann ich auch einen computer zu einem authenticator machen den ich dazwischenschalte oder gibt es da ne elegantere lösung?!
hoffe, es ist verständlich genug
ich danke uch schonmal im voraus!
dies ist mein erster Eintrag. Bin schon seit jahren stiller leser hier und bin einfach nur begeistert. bin hier schon bei so vielen sachen fündig geworden. doch nun ist es etwas spezieller...
zu meinem Problem:
in unserer firma besteht ein server-client netzwerk mit einem win-2k3-server (AD, DNS, DHCP, DMS) und 8 Clients (XP und Vista). Internetzugang wird über einen proxyserver (Suse) gewährleistet.
Das Netztwerk soll nun durch ein WLAN-AP erweitert werden. die authentifizierung soll durch ein radius-server gewährleistet werden und durch wpa verschlüsselt werden. das sollte soweit kein problem darstellen. nur soll es so sein, dass die bisherigen CLients sich auch über den radiusserver anmelden sollen.
der momentan eingesetzte switch (ist glaub ich einer von PLANET) unterstützt allerdings nicht den 802.1X-standard. kann ich auch einen computer zu einem authenticator machen den ich dazwischenschalte oder gibt es da ne elegantere lösung?!
hoffe, es ist verständlich genug
ich danke uch schonmal im voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 95936
Url: https://administrator.de/contentid/95936
Printed on: April 19, 2024 at 13:04 o'clock
10 Comments
Latest comment
Eigentlich sollte der Switch am Port selber die Authentisierung vornehmen wie du selbst bemerkt hast.
Über EAP-over-LAN werden die Clients dann authentisiert.
Bei nur 8 clients könntest du auch statisch port-security verwenden um nur bestimmte MAC-Adressen an dem Switch zu erlauben. Geht aber auch nicht bei jedem Switch.
Eventuell kannst du auch was mit DHCP Optionen ("CLASS") tricksen - der Client muss ganz bestimmte Attribute beim DHCP Discover mitschicken um eine DHCP Lease zu erhalten. Dazu muss man auf den Clients einen bestimmten DHCP Befehl eingeben damit er das macht. Das wär wohl ein recht einfacher Trick um "ungebetene" Gäste erstmal vom LAN fernzuhalten (doch diese könnten sich auch statisch eine IP geben dann wäre die Sicherheit mit DHCP Optionen wieder zu nichte gemacht..).
Eine Mögl. bei nicht gemanagebaren Switchen wäre ein "captive Portal" das einen ans LAN angeschlossenen Client nicht "loslässt" bis es sich per Web authentisiert hat, die Loginseite liefert das Captive Portal dem Client automatisch sobald er seinen Browser startet. Mit ARP-Tricks wird der Client an das Captive Device gebunden bis die Authentisierung erfolgreich war.
Über EAP-over-LAN werden die Clients dann authentisiert.
Bei nur 8 clients könntest du auch statisch port-security verwenden um nur bestimmte MAC-Adressen an dem Switch zu erlauben. Geht aber auch nicht bei jedem Switch.
Eventuell kannst du auch was mit DHCP Optionen ("CLASS") tricksen - der Client muss ganz bestimmte Attribute beim DHCP Discover mitschicken um eine DHCP Lease zu erhalten. Dazu muss man auf den Clients einen bestimmten DHCP Befehl eingeben damit er das macht. Das wär wohl ein recht einfacher Trick um "ungebetene" Gäste erstmal vom LAN fernzuhalten (doch diese könnten sich auch statisch eine IP geben dann wäre die Sicherheit mit DHCP Optionen wieder zu nichte gemacht..).
Eine Mögl. bei nicht gemanagebaren Switchen wäre ein "captive Portal" das einen ans LAN angeschlossenen Client nicht "loslässt" bis es sich per Web authentisiert hat, die Loginseite liefert das Captive Portal dem Client automatisch sobald er seinen Browser startet. Mit ARP-Tricks wird der Client an das Captive Device gebunden bis die Authentisierung erfolgreich war.
hallo spacyfreak. ersteinmal vielen dank für deine schnelle hilfe.
das mit dem captive portal hab ich auch schon ins auge gefasst. habe vergessen zu sagen, dass zusätzlich noch eine DMZ miteingerichtet wird. dabei wird unter anderem die firewall pfSense benutzt die dieses captive portal unterstützt. nur wäre das für mich lediglich eine notlösung.
momentan steht mir für den switch folgende hardware zur verfügung:
- Cisco catalyst 1900 serie
- Planet FGSW-2402VS
leider weiß ich nicht 100% ob einer der beiden das radiusprotokoll unterstüzt.
kann mir da vielleicht jemand helfen?
gibt es da eigentlich einen unterschied, ob der switch jetzt das radius-protokoll unterstützt oder das AAA-protokoll oder den 802.1X-standard? mir sind die genauen unterschiede da jetzt nicht bewusst...
das mit dem captive portal hab ich auch schon ins auge gefasst. habe vergessen zu sagen, dass zusätzlich noch eine DMZ miteingerichtet wird. dabei wird unter anderem die firewall pfSense benutzt die dieses captive portal unterstützt. nur wäre das für mich lediglich eine notlösung.
momentan steht mir für den switch folgende hardware zur verfügung:
- Cisco catalyst 1900 serie
- Planet FGSW-2402VS
leider weiß ich nicht 100% ob einer der beiden das radiusprotokoll unterstüzt.
kann mir da vielleicht jemand helfen?
gibt es da eigentlich einen unterschied, ob der switch jetzt das radius-protokoll unterstützt oder das AAA-protokoll oder den 802.1X-standard? mir sind die genauen unterschiede da jetzt nicht bewusst...
gibt es da eigentlich einen unterschied, ob der switch jetzt das
radius-protokoll unterstützt oder das AAA-protokoll oder den
802.1X-standard? mir sind die genauen unterschiede da jetzt nicht
bewusst...
öhh.
AAA steht für Authentication, Autorization, Accounting. Das kann radius sein, aber auch tacacs, tacacs+ oder weissdergeier. Wird auf cisco switches verwendet um festzulegen welche Authentsieirungsmechanismen für welchen Zweck in welcher Reihenfolge abgefragt werden sollen.
Radius können die eigentlich alle, man muss dem switch jedoch den radiusserver eintragen den er befragen soll.
Und 802.1X ist wiederum eine suite die Radius nutzt in verbindung mit EAP.
hallo spacy-freak. leider unterstützen die switches nicht das radiusprotokoll.
hab noch einen baystack 450 gefunden aber der kann das auch nicht
zusammengefasst: 3 switche -> alle nicht radiusfähig
- Cisco catalyst 1900 serie
- Planet FGSW-2402VS
- BayStack 450 - 24T
nun meine frage. gibt es eine möglichkeit einen rechner dazwischenzuschalten, der als radius-client dient? wenn ja, welche software kann ich da verwenden? wäre schön wenn die freeware oder opensource wäre.
danke schonmal im vorraus
hab noch einen baystack 450 gefunden aber der kann das auch nicht
zusammengefasst: 3 switche -> alle nicht radiusfähig
- Cisco catalyst 1900 serie
- Planet FGSW-2402VS
- BayStack 450 - 24T
nun meine frage. gibt es eine möglichkeit einen rechner dazwischenzuschalten, der als radius-client dient? wenn ja, welche software kann ich da verwenden? wäre schön wenn die freeware oder opensource wäre.
danke schonmal im vorraus
Ahhh halt StOP!
Du willst WLAN mit 802.1X betreiben, und NICHT erreichen dass sihc die PCs am Switch anmelden müssen (kabelgebunden)?
Dann müssen die Switches auch weder Radius noch 802.1X können!
die müssen eigentlich ausser switchen garnix können.
Also du nimmst den IAS Radius und hängst ihn an einen der Switches.
Der WLAN Access Point muss 802.1X können, und eine passende EAP Variante, wie PEAP beherrschen.
Dann kannst die WLAN User recht bequem über Computerkonto und Benutzerkonto per 802.1X am Netz anmelden, und alles ist gut.
Die gesamte Konfig ist jedooch nicht in drei Sätzen zu erklären - ausserdem, wer soll das bezahlen?
Für die kabelgebundenen Clients könntest du "port-security" benutzen falls der 1900er das beherrscht, und nur bestimmte MAC-Adressen an dem Switch erlauben.
Oder gar nicht benutzte Ports einfach auf shutdown setzen und ausdermops.
Gewiefte User können das jedohc auch umgehen, indem sie am XP Client "ICS" aktivieren und hintendran einfach ihren privaten virenversäuerten laptopf anschliessen und torrents saugen als gebs kein Morgen...
Du willst WLAN mit 802.1X betreiben, und NICHT erreichen dass sihc die PCs am Switch anmelden müssen (kabelgebunden)?
Dann müssen die Switches auch weder Radius noch 802.1X können!
die müssen eigentlich ausser switchen garnix können.
Also du nimmst den IAS Radius und hängst ihn an einen der Switches.
Der WLAN Access Point muss 802.1X können, und eine passende EAP Variante, wie PEAP beherrschen.
Dann kannst die WLAN User recht bequem über Computerkonto und Benutzerkonto per 802.1X am Netz anmelden, und alles ist gut.
Die gesamte Konfig ist jedooch nicht in drei Sätzen zu erklären - ausserdem, wer soll das bezahlen?
Für die kabelgebundenen Clients könntest du "port-security" benutzen falls der 1900er das beherrscht, und nur bestimmte MAC-Adressen an dem Switch erlauben.
Oder gar nicht benutzte Ports einfach auf shutdown setzen und ausdermops.
Gewiefte User können das jedohc auch umgehen, indem sie am XP Client "ICS" aktivieren und hintendran einfach ihren privaten virenversäuerten laptopf anschliessen und torrents saugen als gebs kein Morgen...
huhu ...
erstmal wieder danke für deine antwort.
DOCH, ich möchte eben doch erreichen, dass sie die LAN-Clients per Radius anmelden müssen. Da aber leider kein switch dies unterstützt haben wir uns jetzt n neuen bestellt, der den 802.1x-standard erfüllt. dann müsste das doch alles funktionieren oder?
erstmal wieder danke für deine antwort.
DOCH, ich möchte eben doch erreichen, dass sie die LAN-Clients per Radius anmelden müssen. Da aber leider kein switch dies unterstützt haben wir uns jetzt n neuen bestellt, der den 802.1x-standard erfüllt. dann müsste das doch alles funktionieren oder?
Ja das "müsste" funktionieren. Ist aber nicht gerade trivial einzurichten!
Zum Glück bin ich buchbar!
Warum nicht port-security für die paar Clients verwenden? Sind dann nur 8 Befehle einzugeben auf dem Switch und es kommtk keiner ins Netz den du nicht kennst...
Zum Glück bin ich buchbar!
Warum nicht port-security für die paar Clients verwenden? Sind dann nur 8 Befehle einzugeben auf dem Switch und es kommtk keiner ins Netz den du nicht kennst...
ist alles im rahmen meines abschlussprojektes. hab das mit dem wlan schonmal in nem testnetzwerk hinbekommen. nun hoffe ich, dass das mit den LAN-CLients auch funktioniert hast irgendwelche tipps worauf ich achten muss?
hast irgendwelche tipps worauf ich achten muss?
Na das ist das gleiche in Grün. Du bist Deutschland!
hallo spacy-freak...
hab da noch n kleines problemchen...
also. netgear-switch erstmal ordentlich eingestellt. radiusserver, ports und shared-secret eingegeben. dann den port auf 802.1x eingestellt. soweit, so gut...
verbinde ich mich jetzt mit dem switch kommt die meldung: "Es wurde kein Zertifikat gefunden um sie am Netzwerk anzumelden".
Serverzertifikat ist im Speicher "Vertrauenswürdige Stammzertifizierungsstellen" (o.Ä.).
Eigentlich wollte ich die Authentifizierung im LAN über PEAP und MS-CHAP v2 machen und dafür ist ja eigentlich nur das Serverzertifikat auf dem Client nötig oder? ist das auf LAN-Ebene überhaupt möglich oder wird nur Zertifikatbasiert (also für Benutzer und Computer) unterstützt?!
dem switch ist ja eigentlich egal, welches authentifizierungsmethode ich nehme oder? da brauch ich ja wieter nichts einstellen...
danke schonmal im voraus für deine Antwort
hab da noch n kleines problemchen...
also. netgear-switch erstmal ordentlich eingestellt. radiusserver, ports und shared-secret eingegeben. dann den port auf 802.1x eingestellt. soweit, so gut...
verbinde ich mich jetzt mit dem switch kommt die meldung: "Es wurde kein Zertifikat gefunden um sie am Netzwerk anzumelden".
Serverzertifikat ist im Speicher "Vertrauenswürdige Stammzertifizierungsstellen" (o.Ä.).
Eigentlich wollte ich die Authentifizierung im LAN über PEAP und MS-CHAP v2 machen und dafür ist ja eigentlich nur das Serverzertifikat auf dem Client nötig oder? ist das auf LAN-Ebene überhaupt möglich oder wird nur Zertifikatbasiert (also für Benutzer und Computer) unterstützt?!
dem switch ist ja eigentlich egal, welches authentifizierungsmethode ich nehme oder? da brauch ich ja wieter nichts einstellen...
danke schonmal im voraus für deine Antwort
