brigadeofthewicked
Nov 02, 2015
view2404
view3
0
Goto Top

Umstellung von MAC-Filterung auf RADIUS

GermanQuestionNetwork ManagementNetworks
Guten Tag,

In unserem Studentenwohnheim wollen wir den Netzwerkzugang auf eine Authentifizierung per RADIUS umstellen. Aktuell tragen wir noch die MAC-Adressen der freigeschalteten Geräte ein, was natürlich recht unsicher ist und außerdem ein großer Verwaltungsaufwand.

Wir haben:
  • knapp 100 Bewohner mit ca 350 Geräten
  • Pfsense 2.2.4 als Firewall (AMD Athlon 64 X2 3800+, 4 GB RAM)
  • RADIUS-fähige Switche und AP's
  • die AP's sind im LAN mit angeschlossen


Zur Umsetzung haben wir noch zwei Fragen:
  1. Wir würden gerne den FreeRADIUS als RADIUS-Server benutzen. Jetzt gibt es für Pfsense ein freeradius2-package. Macht es Sinn das Package zu benutzen oder sollen wir besser einen eigenen Server für FreeRADIUS benutzen?
  2. Ist es möglich pro Benutzer einen IP-Bereich zu vergeben? Aktuell weisen wir den Geräten der Bewohner zur Zimmernummer passende IP-Adressen zu.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 287324

Url: https://administrator.de/contentid/287324

Printed on: April 19, 2024 at 00:04 o'clock

3 Comments
Latest comment
Goto Top
Member: aqui
aqui Nov 02, 2015 updated at 15:32:24 (UTC)
Goto Top
Man kann ja auch Mac Authentisierung zentral mit Radius machen, was auch der übliche Weg wäre. Aber in der Tat Mac Adressen sind kinderleicht frei konfigurierbar und biten letztlich keinerlei Sicherheit wie du auch hier an einem aktuellen Thread sehen kannst:
Es macht also duschaus Sinn etwas schärfere Geschütze aufzufahren wie du ja planst.
Zu deinen Fragen:
1.)
In puncto Skalierbarkeit solltest du einen eigenen Server nehmen z.B. auf einem NUC oder als VM. Am besten natürlich 2 oder spiegeln um entsprechend redundanz zu haben, denn der zentrale Zugang wird dann auf diesem Server basieren.
Hier siehst du schon das das Package auf der pfSense so komfortable es auch ist nicht ganz das Optimum ist für dich.
2.)
Ja, das geht erfordert aber etwas mehr Aufwand bei der Einrichtung. 802.1x bietet selber von sich aus keine Möglichkeit eine IP fest zuzuweisen, das musst du dann mit anderen Mitteln wie DHCP Nailing usw. machen.
Grundlagen findest du hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Management Server mit Raspberry Pi
Member: BrigadeOfTheWicked
BrigadeOfTheWicked Nov 05, 2015 at 16:14:37 (UTC)
Goto Top
In puncto Skalierbarkeit solltest du einen eigenen Server nehmen z.B. auf einem NUC oder als VM.

Wie potent sollte denn der NUC/Server sein, um bei ca 120 Benutzern nicht ins straucheln zu kommen. Reicht da z.B. dieser hier Intel NUC5PGYH
wenn ichda auch noch einen LDAP mit FrontEnd drauf laufen lassen möchte.

Ja, das geht erfordert aber etwas mehr Aufwand bei der Einrichtung. 802.1x bietet selber von sich aus keine Möglichkeit eine IP fest zuzuweisen, das musst du dann mit anderen Mitteln wie DHCP Nailing usw. machen.

Kann jetzt gerade mit DHCP Nailing nicht anfangen und auch die Ergebnisse von Google sind nicht gerade aufschlussreich. Würde aber mal auf Anhieb sagen, das es heißt die Geräte manuell einzutragen um die IP-Adresse zu vergeben.
Member: aqui
aqui Nov 16, 2015 at 16:38:47 (UTC)
Goto Top
Wie potent sollte denn der NUC/Server sein, um bei ca 120 Benutzern nicht ins straucheln zu kommen
Da kannst du das allerkleinste Modell nehmen. Dafür reicht sogar ein RaspberryPi vollkommen aus.
Kann jetzt gerade mit DHCP Nailing nicht anfangen
Das ist wenn der DHCP Server einem Endgerät auf Basis dessen Mac Adresse immer eine feste IP zuteilt.
GermanQuestionNetwork ManagementNetworks
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment