Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Radius-Authentifizierung in bestehendem LAN

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Ruuudi

Ruuudi (Level 1) - Jetzt verbinden

02.09.2008, aktualisiert 09.09.2008, 9596 Aufrufe, 10 Kommentare

Einbindung eines Radiusservers in ein bestehendes LAN + Integration von WLAN, was ebenfalls über Radius authentifiziert werden soll.

Hallo,
dies ist mein erster Eintrag. Bin schon seit jahren stiller leser hier und bin einfach nur begeistert. bin hier schon bei so vielen sachen fündig geworden. doch nun ist es etwas spezieller...

zu meinem Problem:
in unserer firma besteht ein server-client netzwerk mit einem win-2k3-server (AD, DNS, DHCP, DMS) und 8 Clients (XP und Vista). Internetzugang wird über einen proxyserver (Suse) gewährleistet.
Das Netztwerk soll nun durch ein WLAN-AP erweitert werden. die authentifizierung soll durch ein radius-server gewährleistet werden und durch wpa verschlüsselt werden. das sollte soweit kein problem darstellen. nur soll es so sein, dass die bisherigen CLients sich auch über den radiusserver anmelden sollen.

der momentan eingesetzte switch (ist glaub ich einer von PLANET) unterstützt allerdings nicht den 802.1X-standard. kann ich auch einen computer zu einem authenticator machen den ich dazwischenschalte oder gibt es da ne elegantere lösung?!

hoffe, es ist verständlich genug ich danke uch schonmal im voraus!
Mitglied: spacyfreak
03.09.2008 um 08:05 Uhr
Eigentlich sollte der Switch am Port selber die Authentisierung vornehmen wie du selbst bemerkt hast.
Über EAP-over-LAN werden die Clients dann authentisiert.

Bei nur 8 clients könntest du auch statisch port-security verwenden um nur bestimmte MAC-Adressen an dem Switch zu erlauben. Geht aber auch nicht bei jedem Switch.

Eventuell kannst du auch was mit DHCP Optionen ("CLASS") tricksen - der Client muss ganz bestimmte Attribute beim DHCP Discover mitschicken um eine DHCP Lease zu erhalten. Dazu muss man auf den Clients einen bestimmten DHCP Befehl eingeben damit er das macht. Das wär wohl ein recht einfacher Trick um "ungebetene" Gäste erstmal vom LAN fernzuhalten (doch diese könnten sich auch statisch eine IP geben dann wäre die Sicherheit mit DHCP Optionen wieder zu nichte gemacht..).

Eine Mögl. bei nicht gemanagebaren Switchen wäre ein "captive Portal" das einen ans LAN angeschlossenen Client nicht "loslässt" bis es sich per Web authentisiert hat, die Loginseite liefert das Captive Portal dem Client automatisch sobald er seinen Browser startet. Mit ARP-Tricks wird der Client an das Captive Device gebunden bis die Authentisierung erfolgreich war.
Bitte warten ..
Mitglied: Ruuudi
03.09.2008 um 10:26 Uhr
hallo spacyfreak. ersteinmal vielen dank für deine schnelle hilfe.

das mit dem captive portal hab ich auch schon ins auge gefasst. habe vergessen zu sagen, dass zusätzlich noch eine DMZ miteingerichtet wird. dabei wird unter anderem die firewall pfSense benutzt die dieses captive portal unterstützt. nur wäre das für mich lediglich eine notlösung.

momentan steht mir für den switch folgende hardware zur verfügung:

- Cisco catalyst 1900 serie
- Planet FGSW-2402VS

leider weiß ich nicht 100% ob einer der beiden das radiusprotokoll unterstüzt.
kann mir da vielleicht jemand helfen?

gibt es da eigentlich einen unterschied, ob der switch jetzt das radius-protokoll unterstützt oder das AAA-protokoll oder den 802.1X-standard? mir sind die genauen unterschiede da jetzt nicht bewusst...
Bitte warten ..
Mitglied: spacyfreak
03.09.2008 um 16:34 Uhr

gibt es da eigentlich einen unterschied, ob der switch jetzt das
radius-protokoll unterstützt oder das AAA-protokoll oder den
802.1X-standard? mir sind die genauen unterschiede da jetzt nicht
bewusst...

öhh.
AAA steht für Authentication, Autorization, Accounting. Das kann radius sein, aber auch tacacs, tacacs+ oder weissdergeier. Wird auf cisco switches verwendet um festzulegen welche Authentsieirungsmechanismen für welchen Zweck in welcher Reihenfolge abgefragt werden sollen.
Radius können die eigentlich alle, man muss dem switch jedoch den radiusserver eintragen den er befragen soll.
Und 802.1X ist wiederum eine suite die Radius nutzt in verbindung mit EAP.
Bitte warten ..
Mitglied: Ruuudi
04.09.2008 um 11:28 Uhr
hallo spacy-freak. leider unterstützen die switches nicht das radiusprotokoll.
hab noch einen baystack 450 gefunden aber der kann das auch nicht

zusammengefasst: 3 switche -> alle nicht radiusfähig

- Cisco catalyst 1900 serie
- Planet FGSW-2402VS
- BayStack 450 - 24T

nun meine frage. gibt es eine möglichkeit einen rechner dazwischenzuschalten, der als radius-client dient? wenn ja, welche software kann ich da verwenden? wäre schön wenn die freeware oder opensource wäre.

danke schonmal im vorraus
Bitte warten ..
Mitglied: spacyfreak
05.09.2008 um 21:00 Uhr
Ahhh halt StOP!

Du willst WLAN mit 802.1X betreiben, und NICHT erreichen dass sihc die PCs am Switch anmelden müssen (kabelgebunden)?
Dann müssen die Switches auch weder Radius noch 802.1X können!
die müssen eigentlich ausser switchen garnix können.

Also du nimmst den IAS Radius und hängst ihn an einen der Switches.
Der WLAN Access Point muss 802.1X können, und eine passende EAP Variante, wie PEAP beherrschen.
Dann kannst die WLAN User recht bequem über Computerkonto und Benutzerkonto per 802.1X am Netz anmelden, und alles ist gut.

Die gesamte Konfig ist jedooch nicht in drei Sätzen zu erklären - ausserdem, wer soll das bezahlen?


Für die kabelgebundenen Clients könntest du "port-security" benutzen falls der 1900er das beherrscht, und nur bestimmte MAC-Adressen an dem Switch erlauben.
Oder gar nicht benutzte Ports einfach auf shutdown setzen und ausdermops.
Gewiefte User können das jedohc auch umgehen, indem sie am XP Client "ICS" aktivieren und hintendran einfach ihren privaten virenversäuerten laptopf anschliessen und torrents saugen als gebs kein Morgen...
Bitte warten ..
Mitglied: Ruuudi
07.09.2008 um 20:37 Uhr
huhu ...
erstmal wieder danke für deine antwort.
DOCH, ich möchte eben doch erreichen, dass sie die LAN-Clients per Radius anmelden müssen. Da aber leider kein switch dies unterstützt haben wir uns jetzt n neuen bestellt, der den 802.1x-standard erfüllt. dann müsste das doch alles funktionieren oder?
Bitte warten ..
Mitglied: spacyfreak
07.09.2008 um 20:44 Uhr
Ja das "müsste" funktionieren. Ist aber nicht gerade trivial einzurichten!
Zum Glück bin ich buchbar!

Warum nicht port-security für die paar Clients verwenden? Sind dann nur 8 Befehle einzugeben auf dem Switch und es kommtk keiner ins Netz den du nicht kennst...
Bitte warten ..
Mitglied: Ruuudi
07.09.2008 um 20:53 Uhr
ist alles im rahmen meines abschlussprojektes. hab das mit dem wlan schonmal in nem testnetzwerk hinbekommen. nun hoffe ich, dass das mit den LAN-CLients auch funktioniert hast irgendwelche tipps worauf ich achten muss?
Bitte warten ..
Mitglied: spacyfreak
07.09.2008 um 22:03 Uhr
Na das ist das gleiche in Grün. Du bist Deutschland!
Bitte warten ..
Mitglied: Ruuudi
09.09.2008 um 13:56 Uhr
hallo spacy-freak...
hab da noch n kleines problemchen...
also. netgear-switch erstmal ordentlich eingestellt. radiusserver, ports und shared-secret eingegeben. dann den port auf 802.1x eingestellt. soweit, so gut...

verbinde ich mich jetzt mit dem switch kommt die meldung: "Es wurde kein Zertifikat gefunden um sie am Netzwerk anzumelden".

Serverzertifikat ist im Speicher "Vertrauenswürdige Stammzertifizierungsstellen" (o.Ä.).

Eigentlich wollte ich die Authentifizierung im LAN über PEAP und MS-CHAP v2 machen und dafür ist ja eigentlich nur das Serverzertifikat auf dem Client nötig oder? ist das auf LAN-Ebene überhaupt möglich oder wird nur Zertifikatbasiert (also für Benutzer und Computer) unterstützt?!
dem switch ist ja eigentlich egal, welches authentifizierungsmethode ich nehme oder? da brauch ich ja wieter nichts einstellen...

danke schonmal im voraus für deine Antwort
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Frage zu Microsoft NPS + Radius Authentifizierung auf Switchen (5)

Frage von Axel90 zum Thema Windows Server ...

Netzwerkgrundlagen
Experte für RADIUS-Authentifizierung (9)

Frage von osze90 zum Thema Netzwerkgrundlagen ...

LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (4)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
gelöst RADIUS 802.1x Geräte Authentifizierung (3)

Frage von Cloudy zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...