haraldger123
Goto Top

802.1x Standard. Verständnis Frage

Guten Morgen zusammen. face-smile

Ich habe eine Frage zum grundlegeneden Verständnis.

Ich habe z.b einen Freund habe der ein Hotel besitzt, und alle Geräte die sich in diesem Netzwerk anmelden, über 802.1x .

Mein Verständnis vom 802.1x ist, das ich einen Supplicant ( Der der sich anmelden will, Endgerät ) nun sich über den Authentificator authentifizieren lässt, und dann die Erlaubnis vom z.b RADIUS server bekommt mit dem Netzwerk zu kommunizieren. ( z.b ich logge mit einem Handy ins WLAN ).
Nun möchte ich ein "Gateway" in das Netzwerk integrieren. Das "Gateway" hat auch einen "Soft AP" den ich anschalten kann für spezielle Fälle.
Die Voraussetzung des Autohauses ist aber: Alle Geräte die in das Netzwerk kommen müssen den 802.1X standard entsprechen.

Heißt das nun:
Muss das Gateway 802.1x können, damit die Geräte die über den Soft AP angemeldet werden dieses 802.1x Authentifizierungsverfahren durchlaufen ?
Oder wenn ich den "Soft AP" GARNICHT nutze, kann ich eine art "switch/gateway" so in das Netzwerk integrieren ohne überhaupt mit 802.1x in Berührung zu kommen?

Es geht doch nur darum das "Supplicants" sich über 802.1x anmelden. Aber "Authentifizierungsgeräte", sofern Sie keine WLAN anmeldung z.b nutzen wollen, brauchen doch kein 802.1x oder?


Ich bin etwas verwirrt face-sad.

Content-Key: 344933

Url: https://administrator.de/contentid/344933

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: chgorges
chgorges 31.07.2017 um 09:39:22 Uhr
Goto Top
802.1x hat auch nicht zwingend etwas mit WLAN oder Benutzerkonten/Vouchern zu tun, das ist der Knackpunkt.

RADIUS-Authentifizierung kann auch über MAC-Adresse oder OU-Zugehörigkeit abgewickelt werden, wobei Ersteres für dein "Gateway" in Frage kommt, sofern es der RADIUS-Server denn unterstützt.

Demnach ja, dein "Gateway" selber muss kein 802.1x können.
Mitglied: Haraldger123
Haraldger123 31.07.2017 um 09:48:06 Uhr
Goto Top
Das heißt selbst wenn ich das WLAN nicht nutze, aber die "Kunden Voraussetzung" heißt, das jedes Gerät in deren Netzwerk sich über 802.1x identifizieren muss, das Gateway sich z.b über die MAC authentifiziert. Dementsprechend brauch das Gateway auch 802.1x Software richtig?

Gateway deshalb, weil wir 2 Funkprotokolle haben, Nen 802.15.4 und 802.11. Das Gerät wird in der Regel einfach an ein Switch geschlossen und funkt dann über 802.15.4.

Wenn ich nun kein AP nutze, also sich NIEMAND anmelden wird darüber, brauche ich doch kein 802.1x ?
Oder geht es wirklich darum das auch das Gateway irgendwie authenfiziert wird ?
Mitglied: chgorges
chgorges 31.07.2017 aktualisiert um 10:00:00 Uhr
Goto Top
Zitat von @Haraldger123:
Oder geht es wirklich darum das auch das Gateway irgendwie authenfiziert wird ?

Es geht nur darum. Wenn das Gateway nicht ins Netz darf, darf es auch kein Gerät dahinter.
Und das Gateway braucht auch keine Software, die RADIUS-Authentifizierung via MAC-Adresse passiert auf Hardwareebene.

Heißt im Klartext: (WAN-)MAC-Adresse des Gateway am RADIUS für die Authentifizierung freigeben = Netzzugang gewährt.
Mitglied: Haraldger123
Haraldger123 31.07.2017 um 10:30:25 Uhr
Goto Top
Das heißt am Gateway was kein 802.1x kann, kann vom RADIUS server über die MAC-Adresse identifizert werden ?
Das bedeutet ich brauche kein 802.1x im Gateway? Ich bin verwirrt warum der Kunde dies aus der IT denn dann anfragt.. ? face-sad

Vielleicht schilder ich den Fall,

Ich bringe ein Gerät ins Hotel was mit anderen Produkten von mir über 802.15.4 kommuniziert.
Das Gateway wird z.b an einem Switch angeschlossen.

Wenn ich dich richtig verstehe, stelle ich nun am RADIUS server die MAC des Gateways ein für die Authentifierung.
Warum sagt der Kunde das dass gerät 802.1x kompatibel sein muss, wenn ich nur die MAC adresse eintrage ?

Sorry wenn ich grad schwer von Begriff bin... =_=
Mitglied: chgorges
chgorges 31.07.2017 um 10:33:47 Uhr
Goto Top
Bau mal eine Netzwerkskizze, damit es besser nachvollziehbar ist.

Willst du mit deinem "Gateway" eine RADIUS-Authentifizierung in einer vorhandenen RADIUS-Authentifizierung aufbauen?
Mitglied: Haraldger123
Haraldger123 31.07.2017 um 11:01:07 Uhr
Goto Top
Hier mein Versuch der Skizze.

Alle Geräte die dort ins Netzwerk angeschlossen müssen über 802.1x authenfiziert werden.

" Willst du mit deinem "Gateway" eine RADIUS-Authentifizierung in einer vorhandenen RADIUS-Authentifizierung aufbauen?"

Wäre dies nicht doppelt gemoppelt? Bzw. ne art "2 stufen" authentifizierung dann ?
beispiel_802
Mitglied: aqui
aqui 31.07.2017 aktualisiert um 11:06:34 Uhr
Goto Top
Muss das Gateway 802.1x können,
Ja, es muss ein .1x Client auf dem Gateway verfügbar bzw. konfigurierbar sein andernfalls könnte sich dieses Gateway nicht am Netzwerk authentisieren.
Der Switch macht keinen Unterschied was da an seinem Port ins Netz will, ob anderer Switch, Gateway, Router, Drucker oder PC.
Viele Router oder Switches haben heutzutage diese Option. Ob dein Gateway das auch hat musst du dem Handbuch entnehmen.

Was den Soft AP anbetrifft kann man die Frage nicht zielführend beantworten weil du leider keinerlei Angaben machst WIE die Clients dieses ABs dann in das Netzwerk gelangen und vor allen Dingen WIE dieser .1x Port am Netzwerk des Autohause konfiguriert ist.
Normal ist es so das sich jede Mac dann per .1x authentisieren muss an dem Port.
Arbeitet der Soft AP also als einfache Bridge wie es die meisten APs ja tun müssen sich auch die Clients dieses APs dann am Switchport authentisieren. Das wäre das gleiche als wenn du einen billigen 5 Port Switch z.B. an diesen Port klemmst.
Arbeitet der Soft AP hingegen als Router, dann nutzt der al Absender Mac Adresse immer nur seine eigene Mac Adresse nuicht aber die der Clients.
In diesem Falle würden dann alle Soft AP Clients problemlos auch ohne .1x ins Netzwerk gelangen.

Was man ebenfalls machen kann wenn das Gateway keinen .1x Client an Bord haben sollte das man die 1.x Portkonfig des Switches dahingegen abändert das der ein Mac Address Passthrough macht. Da hinterlegt man dann die Mac Adresse dieses Endgerätes im Radius Server und sowie diese am Port erscheint wird der Port freigegeben per .1x.
So integriert man nicht 1.x fähige Endgeräte in ein mit .1x gesichertes Netzwerk.
Siehe auch dieses Tutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch

Leider machst du zu all diesen Dingen keinerlei oder nur sehr banale Angaben, so das man diese Frage nicht zielführend beantworten kann ohne hier im freien Fall raten zu müssen. Weisst du vermutlich auch sicher selber...?!
Mitglied: chgorges
chgorges 31.07.2017 um 11:06:04 Uhr
Goto Top
Zitat von @Haraldger123:
Wäre dies nicht doppelt gemoppelt? Bzw. ne art "2 stufen" authentifizierung dann ?

Das hängt jetzt von der Konstellation ab.

Auf jeden Fall muss dein Gateway sich am RADIUS des Kunden authentifizieren, um sich im Netzwerk bewegen zu dürfen. Das kann, wie erwähnt, MAC-basiert passieren.

Das Weitere hängt von deinem Gateway ab:

- Baut das Gateway ein eigenes Netzwerk mit eigenem IP-Adressbereich für die mobilen Devices auf und nattet den Traffic zum Kundennetz?
- "Bridged" das Gateway den Traffic vom Kundennetz, sodass die mobilen Devices IP-Adressen aus dem Kundennetzwerk bekommen?
Mitglied: Haraldger123
Haraldger123 31.07.2017 um 11:36:04 Uhr
Goto Top
Entschuldige Bitte wenn ich mich so schwammig ausdrücke.

Ich versuch es nochmal mit meinen Worten irgendwie wiederzugeben.

Mein Gateway ist am Switch angeschlossen. Dieses Gateway kann sein eigenes "Wi-Fi" aufbauen. Ich verbinde das PDA über WiFi zum Gateway. Hier führe ich aktionen durch indem ich Daten übermittel die in eine Datenbank gesendet werden. Im Gateway hinterlege ich Serveradresse wo ich die Serversoftware installiert habe, damit die übermittelten Daten vom PDA wissen wohin Sie müssen. Dies sind in der Regel Schlüsselbeziehungen indem ich Sage: Diese MAC Adresse vom 802.15.4 Device ist verknüpft mit XYZ.
Innerhalb des Gateways werden die Informationen die ich über Wi-Fi übertrage, weitergeleitet zum Zielserver.

Aktuell wird das PDA einfach über WPA2 ins WLAN integriert.
Die Anforderung ist jetzt einfach: Das Gerät muss 802.1x kompatibel sein. mit dem "Client" aus dem Bild habe ich quasi nicht viel zutun sondern nur mit dem PDA.

Also wäre die Antwort quasi. "Das Gateway muss einen 1.x client zur Verfügung stellen". Mit Client meinst du jetzt nur das es im Gateway eine Option gibt worüber ich die Authentifizierung am RADIUS eintrage oder?
Wie der Port konfiguriert ist kann ich garnicht sagen, da ich im Vorfeld nur diese "Anforderung" habe.


Ich bedanke mich schonmal für eure Zeit und Antworten... ich versuch mich da irgendwie reinzufuchsen..
Mitglied: aqui
aqui 31.07.2017 aktualisiert um 11:56:23 Uhr
Goto Top
Entschuldige Bitte wenn ich mich so schwammig ausdrücke.
War ja nicht schwammig ausgedrückt sondern die Informationen fehlten komplett.
Dein Anliegen was du vorhast ist schon verstanden....

Was das Gateway macht oder nicht macht und wo das hinfunkt ob per WPA oder feuchtem Bindfaden ist erstmal vollkommen irrelevant und spielt für deine eigentliche Frage keinerlei Rolle.
Der Switch bzw. sein Port an dem dieses Gateway angeschlossen ist ist dichtgemacht mit 802.1x Port Security.
Sprich der Switch will hier erstmal eine .1x Authentisierung des Endgerätes (was auch immer das ist) sehen bevor er selbiges ins Internet lässt.
Folglich kommt also dein Gateway per se erstmal gar nicht ins Netz und damit nicht zur Datenbank, Internet usw. da der Switchport ja ohne .1x Authentisierung den Port dichthält.

Erster Schritt ist also das dieses Gateway an seinem LAN Port .1x aktiviert bekommt.
Funktioniert das gateway mit einem der üblichen Betreibssysteme wie Winblows, Linux, Mac OS usw. dann sind solche .1x Clients immer gleich mit an Bord bzw. lassen sich nachinstallieren und lösen diese einfache Hürde im Handumdrehen.
Bei erforlgreicher .1x Authentisierung öffnet der Switch den Port an dem das Gateway hängt und gut...
Damit ist das Gateway dann erstmal im Netzwerk und kann selber überall hin.
Wenn die PDAs rein nur mit dem Gateway reden um dort Daten hinzusenden und das Gateway dann diese Daten selber versendet wird das dann alles sauber funktionieren.
Erst wenn die PDAs irgendwie vom AP gebridged werden also selber ins drunterliegende .1x Netzwerk müssen wirds wieder spannend.
Soviel zur Technik die relativ banal und einfach zu verstehen ist.

Dein Gateway muss also irgendeine Art von .1x Client Funktion an Bord haben um sich gegenüber dem Switchport authentisieren zu können. Ohne das geht erstmal gar nix.
Hat es das nicht und kann man das auch nicht nachinstallieren, dann hast du nur die Option das man das über die Gateway Macadresse mit 802.1x Mac Passthrough regelt es sei denn man schlatet den Gateway Port komplett frei von .1x, was dann abewr die Security Policy des Netzwerkes dann vollkommen aushebelt und ad absurdum führt.