Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Accesspoint mit 802.1X zu Switch mit 802.1X

Frage Netzwerke LAN, WAN, Wireless

Mitglied: maarts

maarts (Level 1) - Jetzt verbinden

06.11.2014, aktualisiert 07.11.2014, 3134 Aufrufe, 12 Kommentare

Hallo,

ich möchte folgende Konfiguration abbilden:

Ziel:
Ein Accesspoint mit WLAN 802.1X soll mit einem Switch über einen802.1X Port verbunden werden. Dieser Port soll allerdings nicht als Multi-Host konfiguriert sein, sondern als Session. D. h. JEDER muss sich am Port gegen den Authentication-Server authentisieren.

Mein Versuch:
Mit einem alten WRT54GL und OpenWRT kann ich WLAN 801.x einrichten und einen Supplicant auf dem WAN-Port läuft auch. Allerdings kann dann der Port am Switch nur auf Multi-Host geschaltet werden und somit können dann alle ungehindert zugreifen...

Gibt es für diesen Fall eine bessere Lösung? Oder auch ein Accesspoint der dies unterstützt?

Danke für die Antworten.

Gruß
maarts
Mitglied: theoberlin
07.11.2014, aktualisiert um 08:23 Uhr
Hi maarts,

Ich nehme an du meinst 802.1X?

Hab ich das richtig verstanden, dass du nur die WLAN Nutzer per 802.1X authentifizieren willst?

Wenn dem so ist weswegen bringst du dann den Switch da mit rein?

Eigentlich sollte man am Accesspoint nur den Radius Server angeben und als WLAN authentifizerung Firmenweites WPA2 auswählen. Jeder Nutzer bekommt dann seine Radius Anmeldedaten und gut ist.

Außer ich hab was falsch verstanden ;)

LG
Theo
Bitte warten ..
Mitglied: aqui
07.11.2014, aktualisiert um 08:45 Uhr
Es ist wohl so das der AP den er verwendet sowohl 802.1x Client ist (damit authentisiert der AP sich selber am LAN Netzwerk (Switchport)) als auch auch gleichzeitig Supplicant (damit authentisiert er die WLAN Clients) !
Das ist bei guten APs so üblich das sie beide Funktionen haben. OpenWRT und DD-WRT supporten das ebenfalls !

Das der Switch dann im Multihost Betrieb arbeitet ist ja auch richtig. Andernfalls würde ein WLAN Client ja nachdem er den 802.1x Prozess am AP passiert hat an der 802.1x Authentisierung am Switchport hängen bleiben, denn der Switch darf diese Mac ja nicht durchlassen bei einer 1.x single Host Authentisierung am Port...logisch. Der angeschlossene AP ist ja aus technischer Sicht identisch vom Verhalten vergleichbar mit einem kleinen ungemanagten Switch den man an den .1x Port des Switches angeschlossen hat.
Bei singel Host Authentisierung in so einen Szenario wird auch jeder Client an diesem kleinen Switch einzeln am .1x Uplink Switchport authentisiert. Es ist nicht so das einer "aufmacht" und alle anderen mit durchkommen. Das wäre dann Multihost
Würde der kleine Switch auch selber .1x können müsste theoretisch 2 mal die Authentisierung durchlaufen werden. Das scheitert aber auch am Endgeräte Client, denn der ist ja schon einmal authentisiert und würde an der zweiten .1x Hürde niemals mehr EAPoL Pakte mehr senden. Kaskadierung ist da nicht vorgesehen.
Da der WLAN AP ja im Layer 2 Bridge Modus arbeitet wie ein Switch sieht der Switchport ja auch immer die Client Mac Adressen die dann dort hängen bleiben.
Abgesehen davon ist das auch Blödsinn das so einzurichten, denn was sollte der tiefere Sinn sein 2 mal eine Port Authentisierung zu machen mit WLAN Clients...normal ist das ja Unsinn.
Multihost macht also Sinn und es ist kein Fehler des Switches oder des APs !
Grundlagen auch hier: http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Bitte warten ..
Mitglied: maarts
07.11.2014 um 19:03 Uhr
Hallo,

Danke euch beiden für eure Antworten!

Ich habe erst mal alle Stellen "802.1X" angepasst, damit andere Nutzer auch diesen Beitrag finden können.

Warum möchte ich doppelt authentisieren?
Der AP wird mit einer Miete von Räumlichkeiten ausgegeben und der Mieter kann diesen AP nutzen, könnte sich aber auch direkt einen eigenen Switch oder AP mitbringen. Damit geht dieser an die nächste Netzwerkdose die dann zum besagten Switch führt. In diesem Fall würde eine einzelne Authentisierung am Multihost-Port ausreichen damit dann der mitgebrachte AP jeglichen Clients zugriff verschafft.

Aus diesem Grund suche ich eine Lösung diesen Fall auch auszuschließen. Cisco bietet hier eine Möglichkeit per Supplicant-Switch an:

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software ...
http://www.cisco.com/c/en/us/support/docs/lan-switching/8021x/116681-co ...

Wenn es einen "Supplicant-AP" geben würde, wäre dies die Lösung.

Oder kann das ganze doch über einen anderen Weg gelöst werden?

Danke
maarts
Bitte warten ..
Mitglied: aqui
07.11.2014 um 20:02 Uhr
Du schreibst doch oben selber das dein OpenWRT auch ein .1x Supplicant ist !?? Oder doch nicht ?
Mit der Miete macht natürlich dann Sinn, da hast du Recht.
Oder kann das ganze doch über einen anderen Weg gelöst werden?
Ja, das kann es !
Die meisten der 802.1x fähigen Switches können auch eine .1x Authentisering über die Mac Adresse machen. Dann kannst du die Mac deines AP dort authentisieren lassen ohne eine Supplicant Funktion.
Klar kann man eine Client Mac manipulieren aber das erfordert erheblich mehr Energie und auch Wissen von dem der da was anschliesst.
In diesem Tutorial steht genau wie die Mac basierte Authentisierung funktioniert:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Bitte warten ..
Mitglied: maarts
07.11.2014 um 22:52 Uhr
Hallo,

aber auch das führt nicht zum sicheren Netz. In deinem Beispiel müsste der Port am Switch auf Multi-Host eingestellt sein. D. h. einer ist authentisiert und alle anderen können dann ebenfalls mit rein. Würde ich einen normalen Switch zur Verfügung/Miete stellen, wäre es kein Problem den Port auf Multi-Session zu stellen und jeder müsste sich schön brav am Port authentisieren.

Gibt es wirklich keine sichere Lösung für einen AP?
Bitte warten ..
Mitglied: sk
08.11.2014, aktualisiert um 00:31 Uhr
Ein gangbarer Weg wäre es, den Traffic der WLAN-Clients nicht am lokalen Port des Accesspoints/Switches auszukoppeln, sondern diesen enkapsuliert zu einem Backendsytem zu transportieren (z.B. per GRE-Tunnel). Der Switch sieht dann nur Traffic des Accesspoints. Einen solchen Tunnelmodus unterstützt optional jeder halbwegs brauchbare WLAN-Controller. Als Low-Budget-Lösung käme z.B. Mikrotik (CAPsMAN) in Betracht.

In diesem Szenario könnte man meines Erachtens sogar auf 802.1X am Switch verzichten, wenn man stattdessen ein isoliertes VLAN aufsetzt, in dem lediglich (durch eine Firewall reglementiert) der minimal nötige Traffic des APs zum Backendsystem zugelassen ist. Als fix-und-fertig-Lösung würde ich z.B. den WLAN-Controller NXC2500 von ZyXEL empfehlen. Dieser Controller könnte wenn gewünscht auch gleich als Firewall und Authentifizierungsserver fungieren. Selbiges (und noch mehr) geht natürlich auch mit Mikrotik, aber da ist die Einrichtung halt deutlich komplexer.

Gruß
sk
Bitte warten ..
Mitglied: aqui
17.11.2014, aktualisiert 18.11.2014
Der Vorschlag vom Kollegen sk ist in der Tat der Sinnvollste !
Solange du den AP im normalen Bridge Modus betreibst am Switch wie es ja üblich ist wirst du das Problem logischerweise mit 802.1x nicht lösen können, da die Absender Adressen ja immer die Mac Adressen der WLAN Clients sind und nie die des AP wie es eben üblich ist im Bridge Betrieb.
Der Tunnel Mode mit einem simplen WLAN Controller ist dann das Mittel der Wahl.
Alle Hersteller die Controller basierte APs betreiben haben auch einen .1x Client embedded im AP.
Das löst also deine Anforderung umfassend !
Bitte warten ..
Mitglied: maarts
17.11.2014 um 20:30 Uhr
Hallo,

vielen Dank euch beiden für die guten Antworten!

Momentan bin habe ich keine weitere Zeit gefunden mich mit den Vorschlägen zu beschäftigen. Aber genau diese Ansätze helfen mir enorm weiter.

Gruß
maarts
Bitte warten ..
Mitglied: maarts
20.11.2014 um 21:39 Uhr
Hallo,

der ZyXEL NXC2500 ist eine wirklich elegante Lösung!

Mir ist noch eine andere Sache in den Sinn gekommen:

Warum kann der WRT54GL mit OpenWRT das 802.1x nicht weiter an den Switch-Port geben? D. h. ich habe keine WLAN-Sicherheit, gebe aber die 802.1x Daten mit an. Das gleiche auch per Kabel. Ein normaler Switch kann 802.1x auch an den Switch-Port durch reichen. Gibt es hier eine Möglichkeit? Oder kann mich jemand aufklären?

Danke,
maarts
Bitte warten ..
Mitglied: aqui
21.11.2014 um 11:36 Uhr
Warum kann der WRT54GL mit OpenWRT das 802.1x nicht weiter an den Switch-Port geben?
Das kann er ja....er arbeitet ja im reinen Bridge Mode, da der OpenWRT ja nur als simple Bridge benutzt wird im AP Modus. D.h. der Switchport muss im .1x Mode dann so konfiguriert sein das jede Mac sich authentisieren muss.
Das gilt dann erstens für den im AP Betrieb laufenden OpenWRT, der muss sich selber authentisieren. Obwohl....er muss es nicht unbedingt, denn seine eigene Mac Adresse ist nur für das Management erforderlich. Authentisiert er sich selber nicht, dann kannst du halt nur nicht mehr auf ihn zum Managen der Einstellungen zugreifen.
Da er als Bridge arbeitet, schaltet er wie ein Switch den Switchport L2 transparent ins WLAN. Er "reicht" also die EAPoL Pakete der .1x Authentisierung einfach durch wie du schon richtig vermutest !
Folglich müssen sich dann alle WLAN Clients per .1x entweder über ihre WLAN Mac Adresse oder Username/Passwort oder Zertifikat authentisieren.
Das würde so funktionieren !
Bitte warten ..
Mitglied: maarts
22.11.2014 um 16:09 Uhr
Hm, leider lässt der WRT54GL nicht die 802.1x Frames durch. Muss man in den Firewall-Regeln etwas anpassen?

Ich habe es ein mal mit OpenWRT und mit der Standard-Firmware getestet.
Bitte warten ..
Mitglied: maarts
22.11.2014 um 17:29 Uhr
Die Bridge in OpenWRT kann keine 802.1x Frames weiterleiten. Hier mal interessante Stellen:

https://www.defcon.org/images/defcon-19/dc-19-presentations/Duckwall/DEF ...
http://www.gremwell.com/dot1x-transparent-linux-bridge

Problem ist geklärt! Ich werde vermutlich das Modul neu kompilieren....

Gruß
maarts
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst 802.1x Authentifizierung HP Switch und MS NPS (7)

Frage von NoobOne zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (4)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
802.1x funktioniert nur an einem oder zwei Accesspoints (3)

Frage von westberliner zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
gelöst 802.1x Konfiguration (2)

Frage von michaelb123 zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...