12
Accesspoint mit 802.1X zu Switch mit 802.1X
Hallo,
ich möchte folgende Konfiguration abbilden:
Ziel:
Ein Accesspoint mit WLAN 802.1X soll mit einem Switch über einen802.1X Port verbunden werden. Dieser Port soll allerdings nicht als Multi-Host konfiguriert sein, sondern als Session. D. h. JEDER muss sich am Port gegen den Authentication-Server authentisieren.
Mein Versuch:
Mit einem alten WRT54GL und OpenWRT kann ich WLAN 801.x einrichten und einen Supplicant auf dem WAN-Port läuft auch. Allerdings kann dann der Port am Switch nur auf Multi-Host geschaltet werden und somit können dann alle ungehindert zugreifen...
Gibt es für diesen Fall eine bessere Lösung? Oder auch ein Accesspoint der dies unterstützt?
Danke für die Antworten.
Gruß
maarts
ich möchte folgende Konfiguration abbilden:
Ziel:
Ein Accesspoint mit WLAN 802.1X soll mit einem Switch über einen802.1X Port verbunden werden. Dieser Port soll allerdings nicht als Multi-Host konfiguriert sein, sondern als Session. D. h. JEDER muss sich am Port gegen den Authentication-Server authentisieren.
Mein Versuch:
Mit einem alten WRT54GL und OpenWRT kann ich WLAN 801.x einrichten und einen Supplicant auf dem WAN-Port läuft auch. Allerdings kann dann der Port am Switch nur auf Multi-Host geschaltet werden und somit können dann alle ungehindert zugreifen...
Gibt es für diesen Fall eine bessere Lösung? Oder auch ein Accesspoint der dies unterstützt?
Danke für die Antworten.
Gruß
maarts
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 254084
Url: https://administrator.de/contentid/254084
Printed on: April 24, 2024 at 23:04 o'clock
12 Comments
Latest comment
Hi maarts,
Ich nehme an du meinst 802.1X?
Hab ich das richtig verstanden, dass du nur die WLAN Nutzer per 802.1X authentifizieren willst?
Wenn dem so ist weswegen bringst du dann den Switch da mit rein?
Eigentlich sollte man am Accesspoint nur den Radius Server angeben und als WLAN authentifizerung Firmenweites WPA2 auswählen. Jeder Nutzer bekommt dann seine Radius Anmeldedaten und gut ist.
Außer ich hab was falsch verstanden ;)
LG
Theo
Ich nehme an du meinst 802.1X?
Hab ich das richtig verstanden, dass du nur die WLAN Nutzer per 802.1X authentifizieren willst?
Wenn dem so ist weswegen bringst du dann den Switch da mit rein?
Eigentlich sollte man am Accesspoint nur den Radius Server angeben und als WLAN authentifizerung Firmenweites WPA2 auswählen. Jeder Nutzer bekommt dann seine Radius Anmeldedaten und gut ist.
Außer ich hab was falsch verstanden ;)
LG
Theo
Es ist wohl so das der AP den er verwendet sowohl 802.1x Client ist (damit authentisiert der AP sich selber am LAN Netzwerk (Switchport)) als auch auch gleichzeitig Supplicant (damit authentisiert er die WLAN Clients) !
Das ist bei guten APs so üblich das sie beide Funktionen haben. OpenWRT und DD-WRT supporten das ebenfalls !
Das der Switch dann im Multihost Betrieb arbeitet ist ja auch richtig. Andernfalls würde ein WLAN Client ja nachdem er den 802.1x Prozess am AP passiert hat an der 802.1x Authentisierung am Switchport hängen bleiben, denn der Switch darf diese Mac ja nicht durchlassen bei einer 1.x single Host Authentisierung am Port...logisch. Der angeschlossene AP ist ja aus technischer Sicht identisch vom Verhalten vergleichbar mit einem kleinen ungemanagten Switch den man an den .1x Port des Switches angeschlossen hat.
Bei singel Host Authentisierung in so einen Szenario wird auch jeder Client an diesem kleinen Switch einzeln am .1x Uplink Switchport authentisiert. Es ist nicht so das einer "aufmacht" und alle anderen mit durchkommen. Das wäre dann Multihost
Würde der kleine Switch auch selber .1x können müsste theoretisch 2 mal die Authentisierung durchlaufen werden. Das scheitert aber auch am Endgeräte Client, denn der ist ja schon einmal authentisiert und würde an der zweiten .1x Hürde niemals mehr EAPoL Pakte mehr senden. Kaskadierung ist da nicht vorgesehen.
Da der WLAN AP ja im Layer 2 Bridge Modus arbeitet wie ein Switch sieht der Switchport ja auch immer die Client Mac Adressen die dann dort hängen bleiben.
Abgesehen davon ist das auch Blödsinn das so einzurichten, denn was sollte der tiefere Sinn sein 2 mal eine Port Authentisierung zu machen mit WLAN Clients...normal ist das ja Unsinn.
Multihost macht also Sinn und es ist kein Fehler des Switches oder des APs !
Grundlagen auch hier: Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Das ist bei guten APs so üblich das sie beide Funktionen haben. OpenWRT und DD-WRT supporten das ebenfalls !
Das der Switch dann im Multihost Betrieb arbeitet ist ja auch richtig. Andernfalls würde ein WLAN Client ja nachdem er den 802.1x Prozess am AP passiert hat an der 802.1x Authentisierung am Switchport hängen bleiben, denn der Switch darf diese Mac ja nicht durchlassen bei einer 1.x single Host Authentisierung am Port...logisch. Der angeschlossene AP ist ja aus technischer Sicht identisch vom Verhalten vergleichbar mit einem kleinen ungemanagten Switch den man an den .1x Port des Switches angeschlossen hat.
Bei singel Host Authentisierung in so einen Szenario wird auch jeder Client an diesem kleinen Switch einzeln am .1x Uplink Switchport authentisiert. Es ist nicht so das einer "aufmacht" und alle anderen mit durchkommen. Das wäre dann Multihost
Würde der kleine Switch auch selber .1x können müsste theoretisch 2 mal die Authentisierung durchlaufen werden. Das scheitert aber auch am Endgeräte Client, denn der ist ja schon einmal authentisiert und würde an der zweiten .1x Hürde niemals mehr EAPoL Pakte mehr senden. Kaskadierung ist da nicht vorgesehen.
Da der WLAN AP ja im Layer 2 Bridge Modus arbeitet wie ein Switch sieht der Switchport ja auch immer die Client Mac Adressen die dann dort hängen bleiben.
Abgesehen davon ist das auch Blödsinn das so einzurichten, denn was sollte der tiefere Sinn sein 2 mal eine Port Authentisierung zu machen mit WLAN Clients...normal ist das ja Unsinn.
Multihost macht also Sinn und es ist kein Fehler des Switches oder des APs !
Grundlagen auch hier: Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Hallo,
Danke euch beiden für eure Antworten!
Ich habe erst mal alle Stellen "802.1X" angepasst, damit andere Nutzer auch diesen Beitrag finden können.
Warum möchte ich doppelt authentisieren?
Der AP wird mit einer Miete von Räumlichkeiten ausgegeben und der Mieter kann diesen AP nutzen, könnte sich aber auch direkt einen eigenen Switch oder AP mitbringen. Damit geht dieser an die nächste Netzwerkdose die dann zum besagten Switch führt. In diesem Fall würde eine einzelne Authentisierung am Multihost-Port ausreichen damit dann der mitgebrachte AP jeglichen Clients zugriff verschafft.
Aus diesem Grund suche ich eine Lösung diesen Fall auch auszuschließen. Cisco bietet hier eine Möglichkeit per Supplicant-Switch an:
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software ...
http://www.cisco.com/c/en/us/support/docs/lan-switching/8021x/116681-co ...
Wenn es einen "Supplicant-AP" geben würde, wäre dies die Lösung.
Oder kann das ganze doch über einen anderen Weg gelöst werden?
Danke
maarts
Danke euch beiden für eure Antworten!
Ich habe erst mal alle Stellen "802.1X" angepasst, damit andere Nutzer auch diesen Beitrag finden können.
Warum möchte ich doppelt authentisieren?
Der AP wird mit einer Miete von Räumlichkeiten ausgegeben und der Mieter kann diesen AP nutzen, könnte sich aber auch direkt einen eigenen Switch oder AP mitbringen. Damit geht dieser an die nächste Netzwerkdose die dann zum besagten Switch führt. In diesem Fall würde eine einzelne Authentisierung am Multihost-Port ausreichen damit dann der mitgebrachte AP jeglichen Clients zugriff verschafft.
Aus diesem Grund suche ich eine Lösung diesen Fall auch auszuschließen. Cisco bietet hier eine Möglichkeit per Supplicant-Switch an:
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software ...
http://www.cisco.com/c/en/us/support/docs/lan-switching/8021x/116681-co ...
Wenn es einen "Supplicant-AP" geben würde, wäre dies die Lösung.
Oder kann das ganze doch über einen anderen Weg gelöst werden?
Danke
maarts
Du schreibst doch oben selber das dein OpenWRT auch ein .1x Supplicant ist !?? Oder doch nicht ?
Mit der Miete macht natürlich dann Sinn, da hast du Recht.
Die meisten der 802.1x fähigen Switches können auch eine .1x Authentisering über die Mac Adresse machen. Dann kannst du die Mac deines AP dort authentisieren lassen ohne eine Supplicant Funktion.
Klar kann man eine Client Mac manipulieren aber das erfordert erheblich mehr Energie und auch Wissen von dem der da was anschliesst.
In diesem Tutorial steht genau wie die Mac basierte Authentisierung funktioniert:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Mit der Miete macht natürlich dann Sinn, da hast du Recht.
Oder kann das ganze doch über einen anderen Weg gelöst werden?
Ja, das kann es !Die meisten der 802.1x fähigen Switches können auch eine .1x Authentisering über die Mac Adresse machen. Dann kannst du die Mac deines AP dort authentisieren lassen ohne eine Supplicant Funktion.
Klar kann man eine Client Mac manipulieren aber das erfordert erheblich mehr Energie und auch Wissen von dem der da was anschliesst.
In diesem Tutorial steht genau wie die Mac basierte Authentisierung funktioniert:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Hallo,
aber auch das führt nicht zum sicheren Netz. In deinem Beispiel müsste der Port am Switch auf Multi-Host eingestellt sein. D. h. einer ist authentisiert und alle anderen können dann ebenfalls mit rein. Würde ich einen normalen Switch zur Verfügung/Miete stellen, wäre es kein Problem den Port auf Multi-Session zu stellen und jeder müsste sich schön brav am Port authentisieren.
Gibt es wirklich keine sichere Lösung für einen AP?
aber auch das führt nicht zum sicheren Netz. In deinem Beispiel müsste der Port am Switch auf Multi-Host eingestellt sein. D. h. einer ist authentisiert und alle anderen können dann ebenfalls mit rein. Würde ich einen normalen Switch zur Verfügung/Miete stellen, wäre es kein Problem den Port auf Multi-Session zu stellen und jeder müsste sich schön brav am Port authentisieren.
Gibt es wirklich keine sichere Lösung für einen AP?
Ein gangbarer Weg wäre es, den Traffic der WLAN-Clients nicht am lokalen Port des Accesspoints/Switches auszukoppeln, sondern diesen enkapsuliert zu einem Backendsytem zu transportieren (z.B. per GRE-Tunnel). Der Switch sieht dann nur Traffic des Accesspoints. Einen solchen Tunnelmodus unterstützt optional jeder halbwegs brauchbare WLAN-Controller. Als Low-Budget-Lösung käme z.B. Mikrotik (CAPsMAN) in Betracht.
In diesem Szenario könnte man meines Erachtens sogar auf 802.1X am Switch verzichten, wenn man stattdessen ein isoliertes VLAN aufsetzt, in dem lediglich (durch eine Firewall reglementiert) der minimal nötige Traffic des APs zum Backendsystem zugelassen ist. Als fix-und-fertig-Lösung würde ich z.B. den WLAN-Controller NXC2500 von ZyXEL empfehlen. Dieser Controller könnte wenn gewünscht auch gleich als Firewall und Authentifizierungsserver fungieren. Selbiges (und noch mehr) geht natürlich auch mit Mikrotik, aber da ist die Einrichtung halt deutlich komplexer.
Gruß
sk
In diesem Szenario könnte man meines Erachtens sogar auf 802.1X am Switch verzichten, wenn man stattdessen ein isoliertes VLAN aufsetzt, in dem lediglich (durch eine Firewall reglementiert) der minimal nötige Traffic des APs zum Backendsystem zugelassen ist. Als fix-und-fertig-Lösung würde ich z.B. den WLAN-Controller NXC2500 von ZyXEL empfehlen. Dieser Controller könnte wenn gewünscht auch gleich als Firewall und Authentifizierungsserver fungieren. Selbiges (und noch mehr) geht natürlich auch mit Mikrotik, aber da ist die Einrichtung halt deutlich komplexer.
Gruß
sk
Der Vorschlag vom Kollegen sk ist in der Tat der Sinnvollste !
Solange du den AP im normalen Bridge Modus betreibst am Switch wie es ja üblich ist wirst du das Problem logischerweise mit 802.1x nicht lösen können, da die Absender Adressen ja immer die Mac Adressen der WLAN Clients sind und nie die des AP wie es eben üblich ist im Bridge Betrieb.
Der Tunnel Mode mit einem simplen WLAN Controller ist dann das Mittel der Wahl.
Alle Hersteller die Controller basierte APs betreiben haben auch einen .1x Client embedded im AP.
Das löst also deine Anforderung umfassend !
Solange du den AP im normalen Bridge Modus betreibst am Switch wie es ja üblich ist wirst du das Problem logischerweise mit 802.1x nicht lösen können, da die Absender Adressen ja immer die Mac Adressen der WLAN Clients sind und nie die des AP wie es eben üblich ist im Bridge Betrieb.
Der Tunnel Mode mit einem simplen WLAN Controller ist dann das Mittel der Wahl.
Alle Hersteller die Controller basierte APs betreiben haben auch einen .1x Client embedded im AP.
Das löst also deine Anforderung umfassend !
Hallo,
vielen Dank euch beiden für die guten Antworten!
Momentan bin habe ich keine weitere Zeit gefunden mich mit den Vorschlägen zu beschäftigen. Aber genau diese Ansätze helfen mir enorm weiter.
Gruß
maarts
vielen Dank euch beiden für die guten Antworten!
Momentan bin habe ich keine weitere Zeit gefunden mich mit den Vorschlägen zu beschäftigen. Aber genau diese Ansätze helfen mir enorm weiter.
Gruß
maarts
Hallo,
der ZyXEL NXC2500 ist eine wirklich elegante Lösung!
Mir ist noch eine andere Sache in den Sinn gekommen:
Warum kann der WRT54GL mit OpenWRT das 802.1x nicht weiter an den Switch-Port geben? D. h. ich habe keine WLAN-Sicherheit, gebe aber die 802.1x Daten mit an. Das gleiche auch per Kabel. Ein normaler Switch kann 802.1x auch an den Switch-Port durch reichen. Gibt es hier eine Möglichkeit? Oder kann mich jemand aufklären?
Danke,
maarts
der ZyXEL NXC2500 ist eine wirklich elegante Lösung!
Mir ist noch eine andere Sache in den Sinn gekommen:
Warum kann der WRT54GL mit OpenWRT das 802.1x nicht weiter an den Switch-Port geben? D. h. ich habe keine WLAN-Sicherheit, gebe aber die 802.1x Daten mit an. Das gleiche auch per Kabel. Ein normaler Switch kann 802.1x auch an den Switch-Port durch reichen. Gibt es hier eine Möglichkeit? Oder kann mich jemand aufklären?
Danke,
maarts
Warum kann der WRT54GL mit OpenWRT das 802.1x nicht weiter an den Switch-Port geben?
Das kann er ja....er arbeitet ja im reinen Bridge Mode, da der OpenWRT ja nur als simple Bridge benutzt wird im AP Modus. D.h. der Switchport muss im .1x Mode dann so konfiguriert sein das jede Mac sich authentisieren muss.Das gilt dann erstens für den im AP Betrieb laufenden OpenWRT, der muss sich selber authentisieren. Obwohl....er muss es nicht unbedingt, denn seine eigene Mac Adresse ist nur für das Management erforderlich. Authentisiert er sich selber nicht, dann kannst du halt nur nicht mehr auf ihn zum Managen der Einstellungen zugreifen.
Da er als Bridge arbeitet, schaltet er wie ein Switch den Switchport L2 transparent ins WLAN. Er "reicht" also die EAPoL Pakete der .1x Authentisierung einfach durch wie du schon richtig vermutest !
Folglich müssen sich dann alle WLAN Clients per .1x entweder über ihre WLAN Mac Adresse oder Username/Passwort oder Zertifikat authentisieren.
Das würde so funktionieren !
Hm, leider lässt der WRT54GL nicht die 802.1x Frames durch. Muss man in den Firewall-Regeln etwas anpassen?
Ich habe es ein mal mit OpenWRT und mit der Standard-Firmware getestet.
Ich habe es ein mal mit OpenWRT und mit der Standard-Firmware getestet.
Die Bridge in OpenWRT kann keine 802.1x Frames weiterleiten. Hier mal interessante Stellen:
https://www.defcon.org/images/defcon-19/dc-19-presentations/Duckwall/DEF ...
http://www.gremwell.com/dot1x-transparent-linux-bridge
Problem ist geklärt! Ich werde vermutlich das Modul neu kompilieren....
Gruß
maarts
https://www.defcon.org/images/defcon-19/dc-19-presentations/Duckwall/DEF ...
http://www.gremwell.com/dot1x-transparent-linux-bridge
Problem ist geklärt! Ich werde vermutlich das Modul neu kompilieren....
Gruß
maarts
