Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch

Anleitung Netzwerke LAN, WAN, Wireless

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

05.11.2010, aktualisiert 06.06.2015, 105260 Aufrufe, 59 Kommentare, 7 Danke

"Wie kann ich mein Netzwerk vor fremdem Zugriff schützen...?" ...ein sehr häufiger Thread bzw. Frage hier bei Administrator.de im Forum !
Das Betriebssystem der Endgeräte, DHCP oder anderes zu "verbiegen" sind letztlich immer die falschen Ansätze und führen so gut wie nie zum gewünschten Erfolg bzw. können mit einfachsten Mitteln und freien Tools aus dem Internet auch von Laien leicht überwunden werden.
Der richtige Schritt zur Absicherung ist daher den Zugang gleich auf der Netzinfrastruktur selber zu blockieren, um so auch eine Ausspähung verwendeter IP Adressen mit einem LAN Sniffer und andere Angriffe sicher zu verhindern.
Das folgende Tutorial gibt einen Überblick wie dies schnell und mit einfachen Mitteln der IEEE 802.1x Port Authentisierung realisiert werden kann.
Diese Art der Portüberwachung ist heute auch schon in sehr preiswerten Consumer Switches (sog. "Web Smart Switches") vielfach implementiert. Renomierte Switch Hersteller haben es schon seit Jahren an Bord um sichere Netze realisieren zu können..



Etwas Theorie vorweg...

802.1x Port Authentisierung erfordert einen managebaren Netzwerk Switch und einen Radius Server zur Authentisierung im Hintergrund. Netzwerk Betreiber mit dummen, nicht managebaren Switches haben also keine Chance dieses Konzept umzusetzen und müssen meist auf unsicherere Verfahren zurückgreifen. Vielleicht eine Entscheidungshilfe beim Design ein paar Euro mehr in managebare Switch Infrastruktur zu investieren um für solche Anforderungen der Datensicherheit gewappnet zu sein ?!
Einfach erklärt besteht 802.1x aus einem Bittsteller (Supplicant) der Zugang haben möchte an einem Authenticator.

5a53550f5aacbe09da5b131fc5531657 - Klicke auf das Bild, um es zu vergrößern

Supplicants sind 802.1x fähige Endgeräte wie PCs, Telefone usw. Authenticators können Netzwerk Switches, WLAN APs usw. sein.
Viele Switches bieten die Möglichkeit auch nicht 802.1x fähige Netzwerkgeräte per 802.1x zu authentisieren was dann über deren Mac Adresse (MAC-Bypass) passiert. So ist es möglich z.B. Netzwerkdrucker und andere passive Geräte ebenfalls in so ein Konzept zu integrieren.
Ein weiterer positiver Aspekt bei 802.1x ist das der Radius Server weitere Informationen für den Zugang wie z.B. eine VLAN Information und eine zeitliche Beschränkung an den Authenticator übertragen kann. Damit kann man z.B. Endgeräte dynamisch in VLANs bringen und Usern nur in bestimmten Zeitfenstern Zugang gewähren. Ein Vorteil bei Umzügen von Clients z.B. Dazu später mehr.
Wer tiefer in das Thema 802.1x einsteigen will, sei auf den entsprechenden Wikipedia Artikel verwiesen:
http://de.wikipedia.org/wiki/IEEE_802.1X

Für die sichere Zugangskontrolle via 802.1x in WLAN Netzen gibt es hier bei Administrator.de ein separates Tutorial:
http://www.administrator.de/index.php?content=142241
Da beide Verfahren identisch sind, kann man einen Radius Server sowohl für die kabelgebunden Port Authentifizierung als auch parallel zur WLAN Authentifizierung nutzen.


Der Radius Server

Das Thema 802.1x ist sehr eng mit der Authentifizierung in WLAN Netzen verbunden, die ebenfalls auf 802.1x basiert wie oben bereits beschrieben.
Analog gilt damit für die grundlegende Einrichtung des Radius Servers alles, was in dem hiesigen, oben bereits zitierten Tutorial für die sichere WLAN User Authentisierung aufgeführt ist. Die Installation des Radius Servers basiert auf dem bekannten und weit verbreitetem Free Radius Server.
Dieser erste, Radius bezogene Teil des Tutorials kann also ohne Änderung eins zu eins übernommen werden für das Aufsetzen dieses Servers. Er ist ist zur 802.1x Switchport Authentisierung vollkommen identisch und behandelt das gleiche Thema in einem WLAN Umfeld !

Das grundlegende Tutorial zur Installation des Radius Servers als dedizierter Server oder VM ist unter folgender URL zu finden:
http://www.administrator.de/index.php?content=142241
Radius Installation auf einem Raspberry Pi inkl. MS Active Directory Anbindung beschreibt dieses Tutorial:
http://www.administrator.de/wissen/netzwerk-management-server-raspberry ...
Alternativ ist der Radius Server auch problemlos auf einem Home NAS System z.B. von QNAP oder Synology nutzbar. Die NAS Systeme beider Hersteller haben den FreeRadius bereits von Haus aus integriert, was eine Installation auf dedizierter HW oder als VM obsolet macht.
Ebenso die Nutzung eines FreeRadius in der Router Firmware DD-WRT die einige DSL und Breitband Router (Buffalo usw.) ebenso von Haus aus integriert haben.

Die Einrichtung eines entsprechenden Radius Servers (NPS = Network Policy Server) unter dem MS Windows Server Betriebssystem (SBS usw.) beschreibt vollständig ein Artikel im ct' Magazin und soll hier deshalb auch nicht weiter beleuchtet werden.
http://www.heise.de/artikel-archiv/ct/2010/12/180_kiosk
Die Integration des Free Radius in ein bestehendes Windows Active Directory findet sich im o.a. RasPi Tutorial.

Das hiesige WLAN Radius Tororial ist somit auch Basis der grundlegenden Free Radius Installation. Ob man den Radius Server als VM aufsetzt oder mit dedizierter Rechnerhardware ist Geschmackssache und eine individuelle Entscheidung im jeweiligen Umfeld. Die Anforderungen an die Performance sind gering bei reiner Radius Nutzung, so das man auch einen ausgedienten Altrechner damit sinnvoll recyceln kann.
Hier also einfach strikt nach obiger Anleitung, bis zum Test des Radius Servers mit dem NTRadPing Tool, vorgehen !


Anpassen der FreeRadius Server Konfigurations Dateien
Ist der Radius Server gemäß den Vorgaben des o.a. Tutorial betriebsbereit, macht es Sinn ein paar Windows spezifische Anpassungen zu machen um den Benutzerzugang einfacher zu gestalten.
Windows übermittelt bei der automatischen Authentifizierung den Benutzer immer in der Form "Hostname/Username" ohne eine Domain Umgebung oder entsprechend "Domainname/Username" mit einer Domain.
Um nun nicht für jegliche Hostname und Benutzernamen Kombination einen einzelnen Eintrag in der Benutzerliste auf dem Radius machen zu müssen und rein Benutzer bezogen arbeiten zu können, macht es Sinn den Hostnamen vom Usernamen zu trennen.
Diese Anpassung auf dem Radius Server (Realm) ist nur bei Windows Clients zu machen !
Sie ist aber nicht zwingend wenn jemand ein Dialog geführtes Zugangs Menü haben möchte zur Benutzerabfrage. In diesem Falle können die folgenden Schritte dann ignoriert werden !
In der Regel will man die Netzwerk Authentifizierung immer OHNE Benutzer Interaktion machen um diesen nicht mit einer doppelten Passwort Abfrage zu quälen.
Für Apple Mac und Linux Benutzer ist die folgende Anpassung ebenfalls obsolet da sie ein "normales" Format benutzen !
Ausnahme hiervon ist die Änderung in der Datei /etc/raddb/eap.conf für die dynamische VLAN Zuweisung !
Generell kann es nicht schaden immer diese folgenden Anpassungen der Realm zu machen um alle Betriebssysteme gleichermaßen abzudecken !
In gemischten Netzen mit Apple Mac und Linux Clients stört diese Windows spezifische Anpassung nicht !

FreeRadius hat für diese Windows Client Anpassung natürlich schon ein fertiges Profil was nur einfach aktiviert werden muss.
Nun ist wieder etwas zusätzliche "Handarbeit" mit dem Texteditor der Wahl z.B. dem einfach zu bedienenden und aus dem o.a. WLAN_Tutorial hinreichend bekanntem "joe" erforderlich. Es dient zum individuellen Anpassen der Radius Konfigurations Dateien.
Die folgenden Angaben beziehen sich auf ein OpenSuSE System. Bei anderen Distributionen variieren ggf. die Pfadangaben zur FreeRadius Konfig !! Die Konfiguration selber ist aber überall gleich.

  • Als erstes editiert man die Datei /etc/raddb/modules/mschap und setzt die Zeile 36 von "no" auf with_ntdomain_hack = yes und sichert diese Datei
  • Im zweiten Schritt editiert man die Datei /etc/raddb/proxy.conf und entfernt das Kommentarzeichen "#" vor der Zeile 604 realm LOCAL { und 3 Zeilen später (Zeile 606) vor dem einzelnen "}" und sichert auch diese Datei wieder.
  • Im nächsten Schritt werden nun 2 Dateien im Verzeichnis /etc/raddb/sites-enabled/ angepasst.
  • Einmal ist dies die Datei /etc/raddb/sites-enabled/default. Hier kommentiert man mit einem "#" die Zeile 120 "suffix" ein und entfernt das Kommentarzeichen "#" vor dem Eintrag ntdomain. Analog in derselben Datei Zeile 312 und 313 mit "ntdomain" und sichert wieder.
  • Zum anderen die Datei /etc/raddb/sites-enabled/inner-tunnel. Hier wieder die gleiche Prozedur wie in "default": Entkommentieren von "ntdomain" in Zeile 78 und 79 und Datei sichern.
  • !! WICHTIG: Die folgenden Anpassungen in der Datei /etc/raddb/eap.conf sind zwingend für die dynamische VLAN Zuweisung: Im Abschnitt TTLS ist der Parameter use_tunneled_reply = yes auf yes zu setzen. Ebenso im Abschnitt PEAP auch diesen Parameter auf yes !!
  • Fertig...keine Anpassungen mehr !
Der Radius Server muss neugestartet werden um die Änderungen zu übernehmen. Vor dem ersten Test empfiehlt sich immer ein manueller Start im Debug Modus mit "radiusd -X" wie bereits im anderen Tutorial bemerkt. Damit kann man den Authentisierungsprozess live miterleben und sieht etwaige Fehler sofort.
Im späteren Produktivbetrieb sollte man aber den Debug Modus immer ausgeschaltet lassen !
Wer möchte kann die Datei /etc/raddb/users zum Testen noch um den Benutzer "User" und um den Benutzer "vlan" (und ggf. weitere Benutzer) erweitern um die automatische VLAN Distribution zu testen. (Beispiel der users Datei findet sich weiter unten im Tutorial)
Ebenso um ggf. Mac Adressen damit nicht 802.1x fähige Endgeräte, die also keinen .1x Client an Bord haben, wie z.B. Drucker auch authentifiziert werden können im Test. (Mac Authentication Bypass)

Die Datei "users" beinhaltet dann später alle Benutzernamen im Netz nach dem u.a. Muster.
Ein Beispiel der users Datei sähe dann so aus:
01.
# Benutzer hier eintragen: 
02.
"gast"          Cleartext-Password := "gast" 
03.
"Service"       Cleartext-Password := "service", Login-Time := "Al1200-2300" 
04.
"vlan10"        Cleartext-Password := "vlan10" 
05.
                   Tunnel-Type = 13, 
06.
                   Tunnel-Medium-Type = 6, 
07.
                   Tunnel-Private-Group-Id = 10 
08.
"User"          Cleartext-Password := "user" 
09.
                   Tunnel-Type = 13, 
10.
                   Tunnel-Medium-Type = 6, 
11.
                   Tunnel-Private-Group-Id = 10 
12.
 
13.
#       Mac Adress Authentication fuer nicht 802.1x Geraete hier ! 
14.
"00123a104123"          Cleartext-Password := "00123a104123" 
15.
 
16.
#       Mac Adress Authentication fuer nicht 802.1x Geraete mit dyn. VLAN Zuweisung hier ! 
17.
"00abce813abc"          Cleartext-Password := "00abce813abc" 
18.
                Tunnel-Type = 13, 
19.
                Tunnel-Medium-Type = 6, 
20.
                Tunnel-Private-Group-Id = 10
Der Benutzer Service hat durch den Parameter "Login-Time" nur täglich von 12 Uhr bis 13 Uhr Zugang (Beispiel). Auch einzelne Wochentage sind z.B. mit "Su1000" für Sunday = Sonntag 10 Uhr oder "Tu2300" für Tuesday = Dienstag, 23 Uhr Komma getrennt möglich.

Der letzte Eintrag "00abce813abc" zeigt eine Mac Authentisierung (Mac Bypass) für Clients die keinen .1x Client mit an Bord haben. Denen wird auch das VLAN 10 zugewiesen.

Damit ist die Radius Server Konfiguration dann abgeschlossen.
Änderungen müssen dann nur noch in der Datei users gemacht werden, sollten neue Benutzer dazukommen oder wegfallen.
Ein generelles Wort zur Skalierbarkeit dieses Systems:
Natürlich kann man mit diesem Konzept über eine statische Textdatei kein Netzwerk mit 1000 und mehr Benutzern managen.
Für Netze solcher Größenordnung sollte der FreeRadius dann über LDAP einfach an ein bestehendes Benutzer Verzeichnis wie z.B. ein Windows AD oder einen zentralen LDAP Server angebunden werden. FreeRadius hat diese Option gleich an Bord die nur aktiviert werden muss. Anleitungen dazu findet man viele wie z.B. hier oder hier oder auch in einer Administrator.de Anleitung ( direkter_Link_zum_PDF ).
Für kleine und mittlere Netzwerke mit einem relativ statischen Benutzerkreis ist die Benutzung einer festen Datei aber durchaus eine Alternative um schnell und unkompliziert die Zugriffssicherheit im Netzwerk zu erhöhen.



Clients für die 802.1x Zugangskontrolle einrichten

Aus Platzgründen wird hier exemplarisch die Einrichtung eines Windows Clients beschrieben am Beispiel von Windows XP (SP3). Sämtliche Konfigurationsschritte und Menüs sind identisch bei Windows 7 !
Das zweite Beispiel zeigt die Einrichtung an einem Apple Mac.
Was ist zu tun ??

Windows XP (SP3) und Windows 7 und 8 Client
Bei Windows ist als allererstes zu prüfen oder der Dienst Automatische Konfiguration (verkabelt) gestartet ist. Ist dieser nicht aktiv, kann die 802.1x Authentisierung nicht konfiguriert werden !
Dazu geht man in die Systemsteuerung unter "Verwaltung --> Dienste" und sucht den Eintrag "Automatische Konfiguration (verkabelt)" (6ter Eintrag in der Liste).
Windows 7 Benutzer geben nur "Dienste" im Suchfeld an und gelangen so direkt dorthin.
Alternativ drückt man die Tastenkombination Windows+R und gibt services.msc ein. Dort klickt man unten den Karteireiter Standard und doppelklickt dann Automatische Konfiguration (verkabelt).
Der Starttyp sollte auf Automatisch stehen. Mit Klick auf Starten startet man den Dienst und schliesst das Fenster mit OK.

ef0bf675a464b40f9fce7949de77ee91 - Klicke auf das Bild, um es zu vergrößern

Es ist also sicherzustellen das dieser Dienst gestartet ist !
Öffnet man nun die Eigenschaften der LAN Verbindung (Win 7 und 8: Netzwerk und Freigabecenter) erscheint oben ein Karteireiter "Authentifizierung" !

fa48094cec4babd8533205524ebe6ee0 - Klicke auf das Bild, um es zu vergrößern

Hier aktiviert man nun die 802.1x Authentisierung mit einem Haken und setzt den Typ auf Geschütztes EAP (PEAP) !

d2aa62b4a2542f1dc7f9fc3d08ff8af2 - Klicke auf das Bild, um es zu vergrößern

Mit einem Klick auf "Einstellungen" öffnet man die Detaileinstellungen von 802.1x:

6915475ea1246d3dee5365aab20dbc02 - Klicke auf das Bild, um es zu vergrößern

Ob das Serverzertifikat überprüft werden soll kann jeder selber entscheiden. Bei Problemen kann man dies auch abschalten.
In den Eigenschaften des EAP-MSCHAPv2 Passwortes kann man wählen ob die 802.1x Authentisierung des Clients menügeführt über ein Popup Window geschehen soll oder ob dies automatisch mit der Übermittlung des Nutzernamens im Hintergrund geschehen soll.
In der Regel aktiviert man die automatische Übermittlung um den User nicht mit weiteren Logins zu unterbrechen.

4ad5d6a32a52613c0f285b995d8e31e6 - Klicke auf das Bild, um es zu vergrößern

Deaktiviert man die automatische Übermittlung erscheint zur individuellen Abfrage der Zugangsdaten stets ein Popup Window:

c1321bb82d30d87d851bea561884be91 - Klicke auf das Bild, um es zu vergrößern

Die Windows Client Konfiguration ist damit abgeschlossen !

Apple Mac OS-X Client
Wie immer ist die Aktivierung bei Apple etwas einfacher und intuitiver.
Man öffnet die Systemeinstellung --> Netzwerk und wählt dann das Ethernet Interface aus:

87199b3091343770968744c8339f2606 - Klicke auf das Bild, um es zu vergrößern

Mit einem Klick auf + fügt man ein neues 802.1x Profil hinzu (hier "Test" genannt). Bei Apple hat man etwas vorausschauender gedacht und den Vorteil das man mehrere 802.1x Profile für unterschiedliche Netze konfigurieren kann.
Ist das Profil angelegt, trägt man nur noch Benutzername und Passwort ein und ist fertig !
Ein Klick auf Verbinden startet die Authentifizierung die man auch manuell mit "Trennen" wieder stoppen kann:

9cf2ba8e569336af6337739c84358ffc - Klicke auf das Bild, um es zu vergrößern

Linux mit freiem X-Supplicant Client
http://open1x.sourceforge.net/
Die Prozedur ist analog zu den beiden obigen !



Last but not least: Die LAN Switch Konfiguration

Natürlich muss der LAN Switch als Authenticator auch entsprechend eingerichtet werden das er diesen Port mit 802.1x authentisiert bzw. die Authentisierungsanfrage an den Radius Server weiterreicht.
Wie oben bereits angemerkt sind dies mittlerweile auch viele preiswerte Consumer Switches der 100 Euro Klasse wie z.B.:
NetGear_GS-108T
D-Link_DGS-1210-16 bzw. die baugleiche 24 und 48 Port Variante
Trendnet_TEG-160WS
Cisco_SLM2024
Cisco_SG-300_Serie
(Achtung: Die Cisco SG-200 Serie supportet keine dynamische VLAN Zuweisung sondern nur die 802.1x Port Authentifizierung ! (Siehe Threadverlauf unten))
Für die dynamische VLAN Zuweisung bei Cisco Small Business Switches muss mindestens die SG-300er Serie verwendet werden !

Die folgende Konfig zeigt die 802.1x Konfiguration auf einem Cisco IOS Catalyst Switch:

01.
version 12.2 
02.
service timestamps log datetime localtime 
03.
04.
hostname Switch 
05.
06.
aaa new-model 
07.
08.
aaa authentication dot1x default group radius 
09.
aaa authorization network default group radius  
10.
11.
aaa session-id common 
12.
clock timezone CET 1 
13.
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 
14.
authentication mac-move permit 
15.
16.
dot1x system-auth-control 
17.
18.
spanning-tree mode rapid-pvst 
19.
20.
interface FastEthernet0/1 
21.
 description Port mit 802.1x Auth. 
22.
 switchport mode access 
23.
 authentication port-control auto 
24.
 dot1x pae authenticator 
25.
 spanning-tree portfast 
26.
27.
interface Vlan1 
28.
 ip address 192.168.100.254 255.255.255.0 
29.
30.
radius-server host 192.168.100.163 auth-port 1812 acct-port 1813 key radiustest 
31.
radius-server key radiustest 
32.
radius-server vsa send authentication 
33.
34.
end
Konfiguration bei anderen Switch Herstellern mit Cisco ähnlichen Kommandos wie Extreme, HP etc. bzw. sind weitestgehend analog wie das folgende Beispiel zeigt:

aaa authentication dot1x default radius
!
radius-server host 192.168.100.163 auth-port 1812 acct-port 1813 default key radiustest
radius-server key radiustest
mac-authentication enable
dot1x-enable
re-authentication
enable eth 0/1
!
interface ethernet 0/1
dot1x port-control auto
!


Die genaue Schritt für Schritt Konfiguration für HP Procurve Switches zeigt ein entsprechendes PDF Whitepaper:
http://cdn.procurve.com/training/Manuals/2900-ASG-Jan08-9-8021X.pdf
http://wiki.freeradius.org/HP usw.

Hier weitere Beispiele der 802.1x Konfiguration auf einem preiswerten Trendnet TEG-160WS Web Smart Switch, einem D-Link DGS-1210 und einem Cisco SOHO Switch SG 300:
Man kann erkennen das die Konfig eigentlich immer dieselbe ist und mit sehr einfachen Mitteln per Mausklick zu aktivieren ist:

(Trendnet TEG-160WS)
16c40f6458d2469eaf9704b149ec6c41 - Klicke auf das Bild, um es zu vergrößern

(D-Link DGS-1210)
dbe846b05a97c83f6f5070d5413c5234 - Klicke auf das Bild, um es zu vergrößern

(Cisco SG 200 und SG-300 Switch, Konfig Menüs sind bei beiden Modellen identisch !)
e71452ba3ede83954d83be826e042787 - Klicke auf das Bild, um es zu vergrößern
b4ce2c716a9267153ef28ef414e555fd - Klicke auf das Bild, um es zu vergrößern

In der Regel haben alle Hersteller ein Konfigurations Handbuch oder Whitepaper auf ihrer Webseite für die 802.1x Konfiguration zum Download.


Dynamische VLAN Zuweisung vom Switch
Erweitert man die User Einträge um die folgenden Radius Parameter:
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = <VLAN Nummer>

Dann teilt der Switch bei der 802.1x Benutzer Authentisierung automatisch dem Port ein VLAN zu !
Das ist sehr bequem wenn Benutzer umziehen oder sonstwie mobil sind. Sie nehmen dann quasi immer "ihr" VLAN mit ohne das der Netzwerk Admin die Switchkonfiguration anpassen muss.
Switchhersteller haben hier viele weitere Features. Schlägt z.B. die Authentisierung fehl oder hat der Benutzer keinen 802.1x Client aktiviert wird der Benutzer entweder vollständig geblockt oder er landet in einem Default VLAN indem er nur sehr eingeschränkte Zugangsrechte hat.
In Verbindung mit einem Captive_Portal/Hotspot ist das eine ideale Kontrolle für Gastzugänge.
In Kopplung mit einer VLAN oder direkt angeschlossenen Firewall wie hier beschrieben kann man so sehr wasserdichte Netzwerke betreiben die eine Manipulation oder Angriff von Fremden erfolgreich und robust abwehren können.



Wenn alles geklappt hat...

Dann sollte der Radius Server im Debug Modus (Start mit "radiusd -X") folgendes zum Schluss ausgeben:
.......
Sending Access-Accept of id 69 to 192.168.100.1 port 1645
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "10"
--> (Das ist die autom. VLAN Zuweisung !)
User-Name = "User"
MS-MPPE-Recv-Key = 0x93d54e2fb9...
MS-MPPE-Send-Key = 0x02ff339afb6...
EAP-Message = 0x030a0004
Message-Authenticator = 0x00
Finished request 10.
Going to the next request


Passend gibt der Switch dazu dann mit dem entsprechenden "show vlan" Kommando die korrekte 802.1x Authentisierung und auch die saubere dynamische VLAN Zuweisung auf dem Client Port aus:
01.
Port            MAC/IP Address(username) Vlan   Auth      
02.
                                                State  
03.
------------------------------------------------------------------------------- 
04.
12              0123.85dd.1234 :User       10   permit   

bzw.
01.
VLAN Name                             Status    Ports 
02.
---- -------------------------------- --------- ------------------------------- 
03.
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5 
04.
10   VLAN-10                          active    Fa0/12   --> (Authentisierter Port !) 
05.
20   VLAN-20                          active

Weiterführende Links

Zu Authentisierungsthemen im LAN oder WLAN gibt es folgende Links hier im Forum:

Praxisbeispiel mit Raspberry Pi und FreeRadius Server:
http://www.administrator.de/contentid/191718

Windows Server mit NPS statt FreeRadius
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
und auch
http://www.andysblog.de/windows-drahtgebundenes-lan-802-1x-und-nps

Kopplung von FreeRadius über LDAP an ein Active Directory:
http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory-Integratio ...
http://deployingradius.com/documents/configuration/active_directory.htm ...
und auch
http://www.administrator.de/contentid/196140
http://www.administrator.de/contentid/85403

Mac Adress Authentisierung mit HP Switches:
http://h10032.www1.hp.com/ctg/Manual/c02628207.pdf

Sichere WLAN Benutzer Authentisierung:
http://www.administrator.de/contentid/142241

VLAN und Routing zwischen VLANs:
http://www.administrator.de/contentid/110259
59 Kommentare
Mitglied: Snowman5840
07.11.2010 um 18:13 Uhr
muss sagen sehr gute, kompakte Anleitung!!!!
Bitte warten ..
Mitglied: rs-schmid
17.12.2010 um 15:47 Uhr
Zitat von aqui:
Ob das Serverzertifikat überprüft werden soll kann jeder selber entscheiden. Bei Problemen kann man dies auch
abschalten.

Hi,

würde die Zertifikatsüberprüfung nicht abschalten.
Ich würde als Access-Point wissen wollen, wer der Radius-Server ist.
(ein fremder Radius-Server läßt sich unterschieben)

Schöne Anleitung!

Gruss Roland
Bitte warten ..
Mitglied: aqui
17.12.2010 um 21:43 Uhr
Du hast absolut Recht. Verantwortungsvolle Admins lassen es natürlich immer an. War nur als Vereinfachungsvorschlag für Laien gedacht um ggf. Stolpersteine bei der Inbetriebnahme erstmal zu umgehen.
Im Produktivbetrieb sollte man es in der Tat nicht machen !
Bitte warten ..
Mitglied: rs-schmid
21.12.2010 um 00:34 Uhr
vielleicht sollte man noch ergänzend erklären, was VLANs sind.
VLANs operieren im Layer2 des OSI-Referenzmodells.
Man erzeugt verschiedene VLANs, um z.b. Mitarbeiter, die abteilungstechnisch und thematisch zusammengehören
aber nicht physisch bei einander sitzen und überall verteilt sind, zu einer Broadcast-Domäne zusammenzufassen.
In der Praxis verwendet man mehr und mehr sogenannte Multi-Layer-Switche, die auch auf Layer2 operieren aber noch weitere Features auf höheren Layerebenen bereitstellen. VLANs funktionieren bis zu einer Distanz von ca. 100km (100km ist aber schon sportlich)

WLANs, die WPA/WPA2 verwenden, sind bei Einsatz von schwachen Kennwörtern relativ leicht zu hacken.
Der Knackpunkt liegt im Handshake, schneide ich ausreichend Frames mit z.b. Wireshark mit, dann steht ein schwaches Passwort garantiert im Wörterbuch.
Von daher ist IEEE 802.1x auch bei WLAN Authentifizierung eine gute Wahl, denn den Handshake gibt es in der Form nicht mehr, die Entscheidung über ja oder nein trifft der Radius-Server.
Bitte warten ..
Mitglied: aqui
21.12.2010, aktualisiert 18.10.2012
@rs-schmid
Was die VLANs anbetrifft sagt ein Bild oft mehr als 1000 Worte....
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
http://www.administrator.de/wissen/vlan-routing-%c3%bcber-802.1q-trunk- ...
bzw.
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Dank auch nochmal für den richtigen und wichtigen Passwort Hinweis... !
Bitte warten ..
Mitglied: hofimax
10.03.2011 um 10:02 Uhr
Zitat von rs-schmid:
VLANs funktionieren bis zu einer Distanz von ca. 100km (100km ist aber schon
sportlich)

Wo bitte hast du so eine Information her? Wie kommst du darauf eine Layer 2 Funktion auf 100km zu beschränken? Das würde mich jetzt schon brennend interessieren!
Bitte warten ..
Mitglied: aqui
10.03.2011 um 16:38 Uhr
@hofimax
Die Aussage vom Kollegen rs-schmidt ist so natürlich irreführend und stimmt auch in dem o.a. Kontext nicht ! Da hast du in der Tat Recht.
Die Reichweite von Ethernet (und nichts anderes ist VLAN auch !), und dabei ist es egal ob tagged (VLAN) oder nicht hängt in erster Line vom Transportmedium ab, niemals aber vom Frameformat was darauf transportiert wird.
In der Beziehung ist die Angabe von 100km völlig unsinnig.
Bei entsprechender Glasfaser, Funk usw. können das auch 1000km oder 10.000km und mehr sein, denn bei z.B. Transatlantikkabeln, Satellitenlinks usw. wird sowas ja in der Praxis auch gemacht.
Die Längenangabe ist also vollkommen unerheblich vom VLAN oder nicht VLAN !!
Mit der Thematik des o.a. Tutorials hat das auch rein gar nix zu tun....
Bitte warten ..
Mitglied: Nachtfalkeaw
10.03.2011 um 17:59 Uhr
Hallo,

ich benutze den freeRADIUS in der pfsense und die authentifizierung klappt auch (nur benutzername und passwort). Leider funktioniert die VLAN Zuweisung nicht. Jetzt bin ich am Zweifeln, ob das meine verfügbaren switche denn können:

Ich habe hier einen Cisco SG 200-26 (Aufschrift auf dem Switch), wird aber wohl auch unter den Namen SLM2024T-EU geführt.

In der Spezifikation stehen u.a.:

_______________________________________________________
Unterstützung von bis zu 128 VLANs gleichzeitig (von 4096 VLAN-IDs) Portbasierte und 802.1Q-tagbasierte VLANs[/b]
_______________________________________________________

und
_______________________________________________________
IEEE 802.1X (Authentifizierer-Rolle)
802.1X: RADIUS-Authentifizierung und -Accounting, MD5-Hash
Unterstützt zeitbasiert 802.1X
Dynamische VLAN-Zuordnung
_______________________________________________________

Ich hatte es mir so vorgestellt, dass der User quasi sein VLAN mit nimmt, egal an wlechem Port er angeschlossen wird. Ich weiss nur nicht, ob es an meinem Unvermöen liegt, ich die Anleitung falsch verstehe - dann bitte ich um Hilfe - oder ob das Gerät das einfach nicht kann und ich mich von den Spezifikationen habe irre führen lassen.

Vielen Dank für die Hilfe/Mühe, auch wenn der Beitrag nicht wirklich ganz hier hinein passt.
Bitte warten ..
Mitglied: rs-schmid
10.03.2011 um 20:26 Uhr
@hofimax

richtig ist, dass es vom thema wegführt
aber.
VLANs sind Broadcast Domänen, deren grenze ein router ist.
Wie willst Du mit Ethernet die Broadcasts (z.b. ping 255.255.255.255) über die router transportieren ?
Definitiv gibt es eine grenze von ca. 100km mit gigabit ethernet. (mit repeater)

Andere technologien jenseits von ethernet sind eine andere geschichte.
Bitte warten ..
Mitglied: hofimax
11.03.2011 um 09:20 Uhr
Sorry, aber deine Aussagen sind einfach irreführend. Du kannst die Reichweite von VLAN's einfach nicht in km angeben. Sowas habe ich echt noch nie gehört. Es hängt einzig und alleine von der eingesetzten Übertragungstechnik ab, wie weit du Ethernet inkl. VLAN's übertagen kannnst. Und das dies in der heutigen Zeit mehrere Tausend Kilometer sein können, wie zum Beispiel bei Transatlantikverbindungen, ist klar. Dann reden wir immer noch von Ethernet, allerdings übertragen über OTN.

Das ich ein VLAN nicht routen kann ist eigentlich auch klar, das ist aber dann auch nicht mehr Layer 2, sonder Layer 3. Also auch nicht vergleichbar.

Ethernet über 100km sind kein Problem, aber ohne Repeater! Sorry, ich will dir hier absolut nicht auf den Schlips treten, aber ich finde es nicht okay wenn hier Informationen stehen, die so nicht stimmen, es gibt User die glauben dass...
Bitte warten ..
Mitglied: aqui
11.03.2011 um 12:51 Uhr
Sie sind nicht nur irreführend sondern auch totaler Unsinn und schlicht falsch !
Die Längenrestriktion hat nichts mit VLAN oder 802.1q Headern zu tun sondern ist lediglich und ausschliesslich vom Medium abhängig. Das ist Fakt. Mit Protokollen wie ICMP (das angesprochene Ping) oder Broadcasts hat das auch erst recht nichts zu tun denn das sind alles IP Protokollbestandteile die nichts mit dem Layer 1 Format was für die Ausbreitung relevant ist zu tun haben.
Wäre da nur ein Quäntchen Wahrheit dran, dann würden IP Verbindungen über Transatlantik Glasfasern oder Satelliten Verbindungen niemals funktionieren. Jeder Tag wo das Internet funktioniert zeigt also das das oben genannte ziemlicher Unsinn ist, denn Pings Broad- und Multicast und 802.1q tagged Ethernet wird täglich mit hunderten von Gigabyte auf solchen Kabeln übertragen.
Einzig das VLANs separate Layer 2 Broadcast Domains sind ist richtig. Der Rest diese Aussagen gehören also getrost ins Reich der Märchen oder Urban Legends !!

Damit sollten wir dann wieder zur Sachdiskussion hier im Tutorial Thread zurückkehren.....

@Nachtfalke
Dein Beitrag passt schon ganz genau hier rein...keine Angst, denn er bezieht sich ja genau auf das Tutorial Thema !
Dein Cisco sollte natürlich dynamische VLANs supporten wenn dort 802.1x und Dynamische VLAN-Zuordnung im Datenblatt steht.
Vermutlich hast du dann schlicht und einfach einen simplen Konfig Fehler begangen auf dem Switch.
Dein Cisco ist kein Catalyst sondern einer aus der billigen Linksys Serie. Damit greifen natürlich die o.a. sauber funktionierenden Konfig Beispiele für Cisco IOS basierende Switches nicht.
Ggf. also nochmal ins Handbuch sehen ob du alles richtig gemacht hast.
Sehr hilfreich ist immer den FreeRadisu im Debug Modus (-X) zu betreiben und zu prüfen ob überhaupt gültige Radius Pakete vom Switch reinkommen, der Switch also korrekt eingerichtet ist. Dort kannst du überhaupt sehen ob es klappt, da der Radius dann auch die Zuweisung mit Debug Meldungen bestätigt.
Die Radius Konfig für dynamische VLANs ist immer die die gleiche, da das standardtisiert ist !
Du solltest ferner drauf achten das du die aktuellste Firmware auf dem SG 200-26 drauf hast. Im Zweifelsfalle die Konfig des Switches für 802.1x und dynamische VLANs hier mal posten !
Bitte warten ..
Mitglied: brammer
11.03.2011 um 13:19 Uhr
Hallo,

@rs-schmid


Definitiv gibt es eine grenze von ca. 100km mit gigabit ethernet. (mit repeater)


Hast du für diese Aussage irgendeine glaubwürdige Quelle?

brammer
Bitte warten ..
Mitglied: Nachtfalkeaw
11.03.2011 um 19:46 Uhr
@aqui

Danke für die Antwort.
Also die Anmeldung am RADIUS funktioniert. Ich teste es gerade zwar ohne Zertifikate und nur mit Benutzername und Kennwort und es klappt. radiusd -X habe ich auch verwendet, zum Ende des Authetifizierungsvorgangs zeigt er mit auch Tunnel Type, Medium und Group id an, so wie in deiner Beispielkonfiguration auch angegeben.

Ich nutze das freeRADIUS package, was man direkt auf der pfsense installieren kann. Kann es deswegen nicht funktionieren mit den VLANs ? Für mich eigentlich eher unlogisch. Du dynamische VLAN Zuweisung funktioniert doch auch ohne Zertifikate, richtig ?

Der Switch bietet leider lediglich die Konfiguration über das Web-Interface, so dass ich keinen config auszug posten kann
Den Port lasse ich im "Access" Modus laufen, habe von ForeceAuthentication auf "Auto" umgestellt.

Hier ist der Installation Guide:
http://www.cisco.com/en/US/docs/switches/lan/csbss/sf20x_sg20x/administ ...

Ich frage mich gerade, ob die dynamische VLAN Zuordnung sich auf das Voice VLAN bezieht.
Bitte warten ..
Mitglied: aqui
12.03.2011 um 14:52 Uhr
@Nachtfalke
Ja die dynamische VLAN Zuweisung ist völlig unabhängig von der Verwendung eines Zertifikats solange sich der Client sauber authentifizieren kann und der Port dann in den Forwarding Modus geht, was ja generell bei dir funktioniert, richtig ?
Der Port Modus sollte im Auto Modus stehen und laut Cisco Data Sheet supportet der 200er auch dynmaisch per 802.1x zugewiesen VLANs. Daher sollte es keine Hürden geben.
Woran es aber oft scheitert ist das der FreeRadius nicht sauber auf tunneled replies konfiguriert ist und dann scheitert die dynamische VLAN Zuweisung weil diese Parameter im PEAP Tunnel übertragen werden !
"!! WICHTIG: Die folgenden Anpassungen in der Datei /etc/raddb/eap.conf sind zwingend für die dynamische VLAN Zuweisung: Im Abschnitt TTLS ist der Parameter use_tunneled_reply = yes auf yes zu setzen. Ebenso im Abschnitt PEAP auch diesen Parameter auf yes !! "
Du solltest also sehr genau die entsprechenden eap.conf usw. Dateien des FreeRadius überprüfen, das das auch aktiviert ist und danach immer den FreeRadius neu starten !
Ich checke die pfSense Implementation sonst mal daraufhin. Ggf. setzt du sonst schnell einmal eine VM auf wie oben beschrieben nur um ganz sicher zu gehen.
Hilfreich sind in jedem Fall auch die Syslog Dateien des 200er Switches sofern er dort 802.1x Stausmeldungen ablegt !!
Du solltest in jedem Falle die dynamische Zuweisung auf dem Port nochmal probieren wenn der Port im Modus General steht statt Access !
Die Voice VLAN Zuweisung geschieht nur dynamisch auf Basis des Mac Adress Prefixes. Das hat also mit 802.1x VLAN Zuweisung nichts zu tun.
Bitte warten ..
Mitglied: Nachtfalkeaw
12.03.2011 um 15:38 Uhr
Ahoi nochmal.

"Ja die dynamische VLAN Zuweisung ist völlig unabhängig von der Verwendung eines Zertifikats solange sich der Client sauber authentifizieren kann und der Port dann in den Forwarding Modus geht, was ja generell bei dir funktioniert, richtig ?"

Das geht.

Der Port Modus sollte im Auto Modus stehen und laut Cisco Data Sheet supportet der 200er auch dynmaisch per 802.1x zugewiesen VLANs. Daher sollte es keine Hürden geben."

Steht im auto Modus.

"Woran es aber oft scheitert ist das der FreeRadius nicht sauber auf tunneled replies konfiguriert ist und dann scheitert die dynamische VLAN Zuweisung weil diese Parameter im PEAP Tunnel übertragen werden !
"!! WICHTIG: Die folgenden Anpassungen in der Datei /etc/raddb/eap.conf sind zwingend für die dynamische VLAN Zuweisung: Im Abschnitt TTLS ist der Parameter use_tunneled_reply = yes auf yes zu setzen. Ebenso im Abschnitt PEAP auch diesen Parameter auf yes !! "

Habe ich erst nicht gehabt, dann aber umgeändert und das Kommentierungszeichen vor der Zeile (#) entfernt. Radius auch neugestartet (radiusd -X) und auch mal die pfsense ansich komplett neu gestartet.


"Hilfreich sind in jedem Fall auch die Syslog Dateien des 200er Switches sofern er dort 802.1x Stausmeldungen ablegt !!"

Da wird glaube ich etwas bei der Ausgabe gegeizt. Steht nur da, ob die authentifizierung für den Port erfolgreich war oder nicht. Aber keine erweiterten Hinweise oder Meldungen. Er bietet auch kein SNMP an, so dass man da evtl. mehr infos bekommen könnte. Aber das überprüfe ich nochmal genauer.

"Du solltest in jedem Falle die dynamische Zuweisung auf dem Port nochmal probieren wenn der Port im Modus General steht statt Access !"

Das werde ich auf jeden Fall nochmal testen. Ich hatte den Port einmal im Trunk (Standardeinstellung) was ja für dynamische VLANs unsinnig ist und dann nochmal im Access Modus. Den General Modus habe ich mit dynamischer Zuweisung noch nicht ausprobiert. Wie gesagt, das teste ich nochmal genau.


"Ich checke die pfSense Implementation sonst mal daraufhin. Ggf. setzt du sonst schnell einmal eine VM auf wie oben beschrieben nur um ganz sicher zu gehen."

Nicht alle Dateien, die du in deinem Tutorial änderst, finden sich bei der pfsense wieder. Das sind folgende:
/etc/raddb/modules/mschap
/etc/raddb/sites-enabled
/etc/raddb/sites-enabled/inner-tunnel

Wenn diese Dateien für die dynamische Zuweisung von VLANs bei Windows XP clients notwendig sind, dann wäre das ein Grund, warum es nicht geht.

Ich werde das Montag versuchen zu testen und mich spätestens dann nochmal melden. Falls du noch Tips hast, bin ich dafür offen
Dankeschön erstmal!
Bitte warten ..
Mitglied: aqui
13.03.2011 um 17:23 Uhr
Oha.. .inner-tunnel benötigst du schon. Eigentlich verwunderlich, denn diese Dateien gehören zwingend zur FreeRadius Distro dazu.
Sonst such sie auf der pfSense Konsole einmal mit find / -name inner*
Ggf. stecken sie wie so ft bei anderen Distros in einem anderen Verzeichnisbaum, da sich die o.a. Installation auf eine SuSE Distro bezieht !

Sehr hilfreich ist den Radius Request vom Switch zum Server einmal mit einem Wireshark mitzusniffern. In den Paketen kannst du ganz genau sehen ob diese VLAN Parameter an den Switch übergeben werden oder nicht und wenn ja, welche Werte dort mitgesendet werden.
Das ist das sicherste Mittel das wasserdicht zu überprüfen ob die VLAN IDs sauber mitgesendet werden !!
Vermutlich sieht der Radius nicht auf diese im PEAP Tunnel gesendeten Daten und ignoriert sie.
Dann bleibt es bei der simplen User Authentisierung.
Das solltest du einmal genau mit dem Wireshark ansehen.
Alternativ testweise die SuSE VM aufsetzen was aber ggf. der größere Aufwand ist !
Bitte warten ..
Mitglied: Nachtfalkeaw
13.03.2011 um 17:42 Uhr
Hi,

ich suche die inner-tunnel mal mit dem genannten Befehl und/oder frage im pfsense Forum nach.
Die Wireshark Methode kann ich auch einmal testen und sollte ich den log nicht verstehen, dann kann ich die .pcap file sicherlich hier irgendwie zur Verfügung stellen.

Ich habe nochmal im Installation Guid der SG300 serie, also der etwas besseren Serie als die, die ich habe, nachgeschaut und dort bieten sie das cisco eigene GVRP an und damit auch folgendes:
Click VLAN Management > Create VLAN. The Create VLAN Page opens.
The Create VLAN page displays the following fields for all VLANs:
• VLAN ID—User-defined VLAN ID.
• VLAN Name—User-defined VLAN name.
• Type—VLAN type:
- Dynamic—VLAN was dynamically created through Generic VLAN
Registration Protocol (GVRP).

- Static—VLAN is user-defined.
- Default—VLAN is the default VLAN.


Wobei sich das ja nur auf das cisco protcol GVRP bezieht und damit eigentlich nicht mit der 802.1X dynamischen VLAN Zuweisung zu tun haben sollte.
Bitte warten ..
Mitglied: aqui
13.03.2011 um 17:59 Uhr
Vergiss es... GVRP hat mit 802,1x dyn. VLAN nix zu tun. Es ist ein eigenes Protokoll was ALLE eingerichten VLANs an angeschlossene Switches verteilt um diese im gesamten Netz transparent zu machen.
GVRP ist der freie Standard zu Ciscos proprietären VTP bei den IOS basierten Switches.
Ganz andere Baustelle...hat hiermit rein gar nix zu tun !
http://en.wikipedia.org/wiki/Multiple_Registration_Protocol
Bitte warten ..
Mitglied: Nachtfalkeaw
13.03.2011 um 23:04 Uhr
Hallo,

also die Datei "inner-tunnel" gibt es nicht auf der pfsense. Genausowenig die die Ordner "sites-enabled" oder "modules". Sehr merkwürdig. Der freeradius für die pfsense hat den Versionsstand 1.1.8. Gibt es zu dieser Version evtl. Konfigurationsunterschiede, die mein problem betreffen ?
Bitte warten ..
Mitglied: Nachtfalkeaw
14.03.2011 um 08:45 Uhr
Guten Morgen,

also die Ports von ACCESS auf GENERAL umgestellt und nochmal probiert:

So sieht es erstmal aus, wenn ich den radis mit radiusd -X starte:

[2.0-RC1][admin@pfsense2.hpa]/usr/local/etc/raddb(16): radiusd -X
Starting - reading configuration files ...
(...)
Module: Instantiated radutmp (radutmp)
Listening on authentication 172.17.0.1:1812
Listening on accounting 172.17.0.1:1813
Ready to process requests.


Danach habe ich mittels Wireshark den Authentifizierungsprozess am RADIUS mitgeschnitten. Dazu habe ich meinen Laptop mit Wireshark mittels HUB zwischen RADIUS und SWITCH gepatcht. radiusd -X gab dabei folgendes aus:


(...)
Sending Access-Challenge of id 0 to 172.17.0.2 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "6"
EAP-Message = 0x010300160410d1da01d80b6d0ebb00804a954c594c4c
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x19efefe709c34ca322c0867311b9e3e7
Finished request 4
(...)
Login OK: [vlan5/<no User-Password attribute>] (from client switch port 57 cli 00-0B-5D-93-0F-4E)
Sending Access-Accept of id 0 to 172.17.0.2 port 49154
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "6"
EAP-Message = 0x03030004
Message-Authenticator = 0x00000000000000000000000000000000
User-Name = "vlan5"
(...)
--- Walking the entire request list ---
Cleaning up request 5 ID 0 with timestamp 4d7dc41e
Nothing to do. Sleeping until we see a request.


Wobei hier bitte zu beachten ist:
Benutzername ist: vlan5
Kennwort ist: vlan5
Der Benutzer soll dann aber in das vlan 6 gesteckt werden.

Die Authentifizierung klappt, aber ich komme immer in mein default VLAN.
Die RADIUS.pcap habe ich mit 7-zip gepackt und unter folgendem Link hochgeladen:
http://www.fileuploadx.de/473748
Bitte warten ..
Mitglied: aqui
14.03.2011 um 12:20 Uhr
Du hast es ja schon sicher selber gesehen, deshalb muss man es eigentlich nicht mehr posten hier.....
Der Radius schickt alles wie er soll an den Switch:
Frame 34: 137 bytes on wire (1096 bits), 137 bytes captured (1096 bits)
Arrival Time: Mar 14, 2011 08:30:40.082449000 Westeuropäische Normalzeit
Epoch Time: 1300087840.082449000 seconds
[Time delta from previous captured frame: 0.000518000 seconds]
[Time delta from previous displayed frame: 0.000518000 seconds]
[Time since reference or first frame: 21.784969000 seconds]
Frame Number: 34
Frame Length: 137 bytes (1096 bits)
Capture Length: 137 bytes (1096 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ip:udp:radius:eap]
[Coloring Rule Name: UDP]
[Coloring Rule String: udp]
Ethernet II, Src: Wistron_06:06:f5 (00:26:2d:06:06:f5), Dst: Cisco_2e:24:9a (58:8d:09:2e:24:9a) (Layer 2 Radius an Switch)
Destination: Cisco_2e:24:9a (58:8d:09:2e:24:9a)
Address: Cisco_2e:24:9a (58:8d:09:2e:24:9a)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: Wistron_06:06:f5 (00:26:2d:06:06:f5)
Address: Wistron_06:06:f5 (00:26:2d:06:06:f5)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Type: IP (0x0800)
Internet Protocol, Src: 172.17.0.1 (172.17.0.1), Dst: 172.17.0.2 (172.17.0.2) (Layer 3 Radius an Switch)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 123
Identification: 0x73ac (29612)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: UDP (17)
Header checksum: 0xaea0 [correct]
[Good: True]
[Bad: False]
Source: 172.17.0.1 (172.17.0.1)
Destination: 172.17.0.2 (172.17.0.2)
User Datagram Protocol, Src Port: radius (1812), Dst Port: 49154 (49154) UDP 1812 ist Radius Protokoll !
Source port: radius (1812)
Destination port: 49154 (49154)
Length: 103
Checksum: 0x0467 [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
Radius Protocol
Code: Access-challenge (11)
Packet identifier: 0x0 (0)
Length: 95
Authenticator: 3644cd7ef8200dc027277a12e8b03190
Attribute Value Pairs
AVP: l=6 t=Tunnel-Type(64) Tag=0x00: VLAN(13) --> (Das ist der dyn.VLAN Service "Tunnel Type VLAN")
Tag: 0x00
Tunnel-Type: VLAN (13)
AVP: l=6 t=Tunnel-Medium-Type(65) Tag=0x00: IEEE-802(6) --> (Das ist der Medien Typ "802.1q")
Tag: 0x00
Tunnel-Medium-Type: IEEE-802 (6)
AVP: l=3 t=Tunnel-Private-Group-Id(81): 6 --> (Das ist die "VLAN ID 6") Alles 3 wird korrekt an den Switch übergeben !
Tunnel-Private-Group-Id: 6
AVP: l=24 t=EAP-Message(79) Last Segment[1]

EAP fragment
Extensible Authentication Protocol
Code: Request (1)
Id: 3
Length: 22
Type: MD5-Challenge [RFC3748] (4)
Value-Size: 16
Value: d1da01d80b6d0ebb00804a954c594c4c
AVP: l=18 t=Message-Authenticator(80): 548b996610126dca03eadb2e92b0715d
Message-Authenticator: 548b996610126dca03eadb2e92b0715d
AVP: l=18 t=State(24): 19efefe709c34ca322c0867311b9e3e7
State: 19efefe709c34ca322c0867311b9e3e7

Fazit: Der Cisco tut nicht was er soll !!
Da solltest du dann mal einen Case im Cisco TAC aufmachen, denn das ist ein eindeutiger Bug der Firmware, sofern hoffentlich natürlich deine Konfig des Switches korrekt ist !?!
Hast du die aktuellste (1.0.0.19) geflasht !
http://www.cisco.com/cisco/software/release.html?mdfid=283771818&fl ...
Bitte warten ..
Mitglied: Nachtfalkeaw
14.03.2011 um 12:30 Uhr
Hallo,

der gedanke mit der Firmware kam mir auch schon. Die aktuellste Version 1.0.0.19 wurde aber bereits vorinstalliert ausgeliefert. Ich habe mich nun gerade vor wenigen Sekunden im CISCO Small Business Forum registriert und werde nun dort mal mein Problem schildern.

Unabhängig davon schonmal super vielen Dank, dass du dir die Logs und .PCAP einmal angesehen hast und wir von dieser Seiten einen groben Fehler schonmal zu 99% ausschließen können, da der freeRADIUS ja augenscheinlich korrekt arbeitet.

Ich werde den CISCO Support einmal mit dieser Problematik bemühen. Sobald ich dort etwas genaueres gesagt bekomme, werde ich hier zumindest Rückmeldung geben.

Dankeschön erstmal!

PS: Wenn Interesse besteht, könnte ich dir auch mal einen Zugang zu dem Switch einrichten. Da das hier eine reine Testumgebung ist, kann man da bedenkenlos "spielen". Aber ich denke, wir warten ertsmal die CISCO Rückmeldung ab.


Gruß
Bitte warten ..
Mitglied: Nachtfalkeaw
17.03.2011 um 10:41 Uhr
Hallo,

wen es interessiert, kann den Thread im CISCO Forum mitverfolgen. Leider ist das Feedback dort sehr gering.

https://supportforums.cisco.com/message/3316633#3316633
Bitte warten ..
Mitglied: aqui
20.03.2011 um 13:15 Uhr
Na ja der Kollege vom "Sofia TAC" hat ja auch nur Banalfragen gestellt. Relevant ist ja das deine 802.1x Port Authentifizierung einwandfrei funktioniert was die Tatsache das du generell mit dem Usernamen und Passwort reinkommst, ja sauber dokumentiert.
Damit ist ganz klar gezeigt das es generell an der Radius Konfig selber und auch an der Radius bzw. 802.1x Port Konfiguration des Switches keine Probleme gibt, denn sonst würde das auch scheitern.
Der Sniffer Trace des Radius Packets vom Radius Server zum Switch zeigt ja auch ganz klar das die standardtisierten Radius Attribute:
Dezimal 64 = Tunnel Type auf VLAN
Dezimal 65 = Tunnel Medium Type auf 802
Dezimal 81 = Tunnel Private Group ID auf deine VLAN ID 6
richtig gesetzt sind und auch sauber im Antwortpaket an den Switch übertragen werden.
Es ist also ganz klar das der Switch diese Information vom Radius übermittelt bekommt aber irgendwie nicht richtig auswertet oder liest und umsetzt.
Klar das beide VLANs angelegt sein müssen, was bei dir ja auch der Fall ist.
Dynamisch zugewiesene Ports dürfen nicht irgendwie tagged fest einen statischen VLAN zugewiesen sein. Diese sollten immer wie in der Default Konfig im VLAN 1 untagged hängen. Das solltest du beim Test auf alle Fälle nochmal beachten.
Hast du ggf.einen IOS basierten Cisco Switch oder einen anderen Switch mit dem du das einmal wasserdicht testen kannst ?
Die o.a. funktionierende Switch Konfig ist von einem IOS basierten Switch.
Bitte warten ..
Mitglied: Nachtfalkeaw
20.03.2011 um 18:52 Uhr
Hallo,

den Port zur Client Seite hin hatte ich einmal im Trunk, einmal General und einmal Access mode. In allen drei Fällen befanden sich diese Ports ausschließlich im Default VLAN. Im Modus Trunk und General hatte ich dem Port einmal das VLAN5 und VLAN6 als tagged hinzugefügt - ohne Erfolg und dann auch nochmal untagged. Ich habe nun also sämtliche logischen und auch unlogische Konfigurationseinstellungen am Switch durchprobiert.

Einen "richtigen" IOS basierten CISCO Switch habe ich leider nicht.
Bitte warten ..
Mitglied: aqui
30.03.2011 um 16:31 Uhr
Da hilft dann nur Case aufmachen bei Cisco oder dem Systemhaus die Beine langziehen !
Bitte warten ..
Mitglied: Nachtfalkeaw
27.04.2011 um 20:58 Uhr
Hallo,

nach vielen vielen Wochen Wartezeit, Osterurlaub bei meiner CISCO Betreuerin habe ich nun Klarheit:

You are right sir,

There is no option to enable "Dynamic VLAN assignment " in the web gui of the switch. It's written in the Datasheet, but it's a mistake that has been reported and it will be fixed.

Please contact us for futher information -

Thank you

With best of my regards,

Plami




Hallo Herr XYZ,

Leide ist die Funktion Dynamic VLAN Assignment bei den SG200 nicht unterstuetzt, obwohl es in dem Datenblatt geschiben ist.
Die Function ist aber bei den SG300 unterstuetzt. Deshalb schlage ich Ihnen vor, dass Sie das Geraet mit Ihrem Haendler austauschen.

Ich werde den Fall jetzt schliessen, dass technisch geseen kann ich nichts mehr tun.

Ich hoffe Ihnen geholfen zu haben, sollten sich noch
Fragen ergeben zoegern sie nicht mich zu kontaktieren.

Mit freundlichen Gruessen,


Die Switche der SG200 Serie unterstützen kein dynamisches VLAN, obwohl dies im Datenblatt vermerkt ist.
Jetzt soll ich die Switche umtauschen gegen die 300er Serie - die kostet natürlich mehr (ca 60%).
Das könntest du dann in deinem Tutorial abändern - dann hätte es wenigstens erstmal einem von uns geholfen ;)

Jetzt meine Frage:
Wie sieht es bei solch einer Fehlinformation aus, kann ich da einen Preisnachlass herausschlagen und wenn ja, bei CISCO selbst oder über meinen Zulieferer ?

Dankeschön!
Bitte warten ..
Mitglied: brammer
27.04.2011 um 22:59 Uhr
Hallo,

ich würde mich mit der Aussage sowohl an Cisco als auch an den Händler wenden.
Entweder über Cisco einen Tauch gegen ein Modell das "dynamic vlan assignment" effektiv beherrscht.
Oder das Gerät über das Systemhaus zurückgeben.

brammer
Bitte warten ..
Mitglied: aqui
28.04.2011 um 11:49 Uhr
@rs-schmidt
Das ist ja definitiv eine Zusage zu den technischen Fähigkeiten des Switches aufgrund derer deine Kaufentscheidung gefallen ist.
Wenn die nicht zutrifft oder schlicht falsch ist ist das in jedem Falle ein Mangel den du reklamieren kannst und mit einer Fristangabe um Nachbesserung bitten kannst.
Wenn das technisch nicht möglich ist muss dein Händler (mit dem hast du die Vertragsbeziehung) tauschen um die zugesagte Eigenschaft zu erfüllen oder Rückabwickeln.
In der Regel ist dort ein Cisco Systempartner kulant wenn man etwas sanft droht, was du in jedem Falle machen solltest ! Einfach durchgehen lassen solltest du das nicht !!
Bitte warten ..
Mitglied: Nachtfalkeaw
28.04.2011 um 23:43 Uhr
Hallo,

danke für eure Rückmeldung.
Ich habe nun den Schriftverkehr an die bei uns zuständige Stelle weitergeleitet. Die Lieferfirma hieß NextiraOne...und die hatten damals shcon unvershcämte 4 Monate benötigt, die Ware zu liefern, bis letztendlich eine Kollegin von uns dort einmal auf den Tisch gehauen hat, nachdem alle anderen Anrufe wohl abgewiegelt wurden.

Ich hoffe, dass diese Kollegin das diesesmal direkt in die Hand nimmt und dann wollen wir mal schauen, wie kulant NextiraOne ist.


Es ärgert mich nur unheimlich, dass im CISCO Forum scheinbar keiner die eigenen Geräte kennt und diesen Fehler bemerkt hat. Das zeugt natürlich nicht von hoher Kompetenz und damit natürlich meines Erachtens für schlechten Service.

Ich werde jedenfalls Rückmeldung geben, falls sich etwas tut

Grüße und Danke
Bitte warten ..
Mitglied: aqui
29.04.2011 um 11:00 Uhr
He he he NextiraOne. Da hat man den Bock zum Gärtner gemacht. Das ist die Vertriebsschiene von Alcatel, die haben eh kein Interesse an Cisco bzw. auch gar nicht mehr die kompetenten Cisco Leute...kein Wunder das das in die Hose ging. Vermutlich waren sie mal wieder die billigsten die dann bei öffentlichen Kunden genommen werden müssen. Das da kein Geld mehr bleibt für saubere Beratung ist klar. Ähnlich mit dem Forum, da partiziepieren meist keine Cisco Leute sondern nur Partner. Am sichersten geht man da dann wenn man in Hallbergmoos direkt anruft !
Bitte warten ..
Mitglied: Nachtfalkeaw
17.06.2011 um 16:47 Uhr
Hallo nochmal,

wollte erstmal die freudige Nachricht (für mich) mitteilen. CISCO oder NextiraOne, wer auch immer letztendlich die Kosten trägt, haben mir alle 20 alten Geräte SG-200 gegen SG-300 ausgetauscht, ohne zusätzliche Kosten. Diese Lieferung kam dann auch erstaunlich schnell und ohne Probleme. Gut!


Nun wieder zum eigentlichen Thema:
Die Authentifizierung am freeRADIUS mit Benutzername/Kennwort oder Benutzername/Kennwort/Zertifikat funktionieren. Genauso die dynamische VLAN Zuordnung.

Ich habe nun lediglich noch das Problem, dass sich meine Rechner nicht in einer Domäne befinden.
Weiterhin haben die Rechner bzw. die Benutzer die gleichen Windows Benutzernamen und auch die gleichen Kennwörter. Es bringt mir also nichts, wenn ich den Haken setze, dass Windows sich mit den Benutzerinformationen anmelden soll.
Es kommt immer das letzte Bild in deinem Abschnitt "Clients für die 802.1x Zugangskontrolle einrichten". Setze ich den Haken, wie in den Bildern zuvor gezeigt, stimmen die Anmeldedaten logischerweise nicht.

Ich habe gelesen, dass es für PCs in einer Domäne "Computerzertifikate" gibt, so dass sich die Rechner vor der Windows-Anmeldung bereits im Netz anmelden zu können um die Domäne zu erreichen. Ist das auch in meinem Szenario realisierbar, wenn ja, wie ?

Dankeschön!
Bitte warten ..
Mitglied: aqui
17.06.2011 um 21:36 Uhr
OK, damit hebelst du den Sinn der Port Authentifizierung natürlich aus wenn alle User die gleichen Namen und Passwörter haben. Jedenfalls die Authentisierung über die Windows Credentials.
Klappen tut das auch nur das dann jeder der diesen "Universalbenutzer" kennt dann ins Netz kommt. Das ist dann aber eigentlich kein Problem von .1x mehr sondern ein Problem deiner Benutzersicherheit bzw. Verwaltung.
Alternative ist dann eben nicht den Windows Usernamen zu verwenden also den Haken nicht zu setzen. Dann poppt bei jedem User eine individuelle Abfrage hoch in die er dann User und Passwort eintippen muss.
Alternative ist dann natürlich die Domänenbenutzung. Aber auch da macht es dann recht wenig Sinn wenn alle Benutzer und Passwörter gleich sind bzw. du immer das gleiche Zertifikat hast.
Bitte warten ..
Mitglied: Nachtfalkeaw
18.06.2011 um 00:49 Uhr
Das mit den Windows-Anmeldedaten ist eben ein Relikt aus alten Zeiten.
Mein Ziel ist es, dass ich die Leute in grob gesagt 2 unterschiedliche VLANs bekomme. Eines hat Beschränkungen vom Zugriff, das Andere nicht. Problem ist, dass sich diese Leute "vogelfrei" im Haus bewegen und sich an x-beliebige Dosen anklemmen dürfen und auch sollen.

Ist es denn nicht möglich, die Windoes Anmeldedaten irgendwie in die Registry hard code ?
Oder kann ich ein batch/vbs script schreiben, was die Anmedlung im Autostart erledigt ?


Aber es bleibt ja auch immernoch die Frage, wie kann ich den Computer authentifizieren, BEVOR sich ein USer angemeldet hat. Das geht ja auch (nur wie) ?
Bitte warten ..
Mitglied: aqui
18.06.2011 um 12:04 Uhr
Die einfachste Lösung für dich ist dann doch die mit dem Mac basierten VLANs wie sie auch oben im Tutorial beschrieben ist. (Mac Authentication) Du checkst einfach anhand der Mac Adresse in welches VLAN die Geräte kommen. Das ist am einfachsten ohne viel Aufwand umzusetzen und erfüllt genau das was du willst.
Nicht bekannte Mac Adressen landen dann z.B. in einem sog. "Quarantäne VLAN" wo sie erstmal nix anrichten können. Ggf. mit einem Captive Portal um sich registrieren zu lassen.
Das bekommst du im Handumdrehen zum Fliegen ohne erstmal eine Domain und damit eine CA Hierarchie aufbauen zu müssen für die Zertifikate.
Bitte warten ..
Mitglied: Nachtfalkeaw
18.06.2011 um 12:49 Uhr
Das Quarantäne-VLAN oder wie es bei CISCO heißt "Gast-VLAN" habe ich und funktioniert auch. Captive Portal habe ich ebenfalls darauf eingerichtet.

Von den MAC-Adressen wollte ich eigentlich weg...

Am Liebsten wäre mir ein Zertifikat, was die Authentifizierung am radius ermöglich OHNE sonstige Eingaben von Benutzernamen/Kennwörtern und der radius auf Grund der Zertifikats dann das VLAN zuweist.
Kann ich dem radius nicht die CN der Zertifikate mitteilen, auf Grund derer er dann die Entscheidung mit meinen Kriterien trifft ?
Bitte warten ..
Mitglied: aqui
19.06.2011, aktualisiert 18.10.2012
Das könnte klappen wenn der .1x Client sie auch übermittelt. Es ist m.E. auch möglich das im Client einzustellen. Vielleicht hilft dir das WLAN Tutorial weiter was mit Zertifikaten arbeitet:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Das könntest du mal versuchen.
Bitte warten ..
Mitglied: Nachtfalkeaw
19.06.2011 um 12:30 Uhr
Danke!
Da schaue ich auf jeden Fall mal rein. Da muss es doch eine Lösung geben...und wenn ich noch tagelang Google bemühen muss
Bitte warten ..
Mitglied: Nachtfalkeaw
19.06.2011 um 18:11 Uhr
Das hilft mir auch nicht wirklich weiter. Der einzige Unterschied ist, dass der Benutzername und das Kennwort bei den Clients im Configuration Utility eingibt.
Bitte warten ..
Mitglied: aqui
20.06.2011 um 11:55 Uhr
Dann wirds wirklich schwierig. Da hilft dann vermutlich wirklich nur noch Mac Adress basierte VLANs mit .1x oder die Umstellung deiner User/Passwort Struktur. Denn letztlich ist das dein ursächliches Problem.
Bitte warten ..
Mitglied: Nachtfalkeaw
20.06.2011 um 20:15 Uhr
Hi,

ich weiss, die Technik kann nichts dafür. Sie funktioniert, wie sie soll. Das problem liegt leider oftmals bei Schicht 8.
Ich werde es nun erst einmal auf MAC Basis machen, auch das funktioniert vom Ergebnis einwandfrei. Lediglich die Sicherheit ist halt nicht so hoch wie bei Zertifikaten. Das Ganze wird eben Stück für Stück wachsen müssen.

PS: Besteht Interesse daran, dass ich mal eine running-config eines SG300-28 mit dynamischer VLAN Zuordnung hoch lade umd dein Tutorial zu Ergänzen oder ist das unnötig ? Wenn die Geräte das machen, was im Datenblatt steht, ist es eigentlich nicht schwer zu konfigurieren.

Gruße und Danke für die Hilfe!
Bitte warten ..
Mitglied: Mike1974
05.10.2011 um 15:23 Uhr
Hi,
ich habe eine Frage zum Kaskadieren von mehreren Switches unter 802.1x. Wir haben zB einen Cisco SG-200-26 und einen Cisco SG-200-8 in einem LAN. Der SG-200-26 ist fertig konfiguriert und als Radius dient uns Windows NPS. Das funktioniert auch bestens. Jetzt kommt leider der SG-200-8 ins Spiel, eigentlich der gleiche Switch nur mit 8 Port und leider dennoch leicht unterschiedlichen Webinterface. Ich bleibe nun schon ewig daran hängen, den 2. kleineren Switch an dem großen 26 Port Switch richtig anzuschließen. Also nicht das Anschließen mit dem Kabel, das bekomme ich schon hin, aber das richtige Konfigurieren meine ich damit.
Wenn ich am großen Switch einen Port auf forceAuthorize stelle und den kleinen daran anschließe und den Radius gleich dem Großen konfiguriere, passt alles. Nur, so soll es ja nicht sein, denn wenn jemand auf die Idee kommt den kleinen abzuhängen, kann man an diesen Port stattdessen irgendein Gerät anschließen und bekommt Zugriff.
Stelle ich den Port auf Auto, ist es mir nicht möglich den kleinen Switch so zu konfigurieren, dass der Port auf Authorized springt. Zuerst dachte ich die Einstellung Supplicant sei die richtige,aber auch da sperrte der Große den Port sofort.

Hat hier jemand schon Erfahrung mit diesen Switches?

LG Mike
Bitte warten ..
Mitglied: Nachtfalkeaw
05.10.2011 um 22:08 Uhr
Hi Mike,

also erstmal solltest du versuchen, dass niemand unbefugtes einfach an deinen Switches rum stöpseln kann

Ansonsten besitzt der SWITCH ja auch eine MAC Adresse "Status and Statistics -> System Summary -> Base MAC". Du könntest also versuchen am RADIUS die Authetifizierung für dieses Gerät über die MAC Adresse zu lösen.

Bin mir nicht sicher, ob das so funktioniert.
Bitte warten ..
Mitglied: Mike1974
06.10.2011 um 09:40 Uhr
Hi,

ja das mit dem rum stöpseln ist nicht so einfach, wir haben viele Außenstellen (zwischen 5 und 25 Usern) und dort ist nun mal das Rack offen und somit leider auch zugänglich... Mit anderen Worten: Physischen Zugriff kann ich leider nicht verhindern...

Das mit der MAC Adresse könnte funktionieren, nur mit dem NPS ist das so eine Krux - ich glaube da muss man einen User anlegen mit der MAC Adresse im Namen - eigentlich etwas was ich vermeiden wollte. Werde es aber trotzdem mal versuchen. Danke für den Tipp!

Aber so rein zwischen Switch und Switch kann man das nicht regeln? Irgendwie dachte ich an ein Forward von EAP oder so...
Bitte warten ..
Mitglied: Nachtfalkeaw
06.10.2011 um 22:48 Uhr
Hi,

wenn du VLANs nutzt, dann könntest du an den TRUNK ports z.B. nur geTAGGEDte Pakete zulassen. So müsste derjenige schon an seinem laptop/PC die Netzwerkeinstellungen ändern bzw. an der NIC einstellen, dass diese tagged frames verarbeiten soll.

Ich weiss nicht, wie ihr das bei euch geregelt habt, aber um Netzwerkeinstellungen zu ändern brauchen die User ja entsprechende Rechte.

Du könntest aber auch an dem 8er Switch die RADIUS Authentifizierung ausstellen und den switch einfach als "dummen" switch an einen mit RADIUS Authentifizierung eingestellten Port am 28er Switch anschließen. Wenn der Port am 28er im "General" Mode läuft, kann er MAC basiert den Traffic filtern. Er kann den Port auch in verschiedene VLANs gleichzeitig legen.

Ich weiss nicht, ob die switche ansonsten eine Möglichkeit bieten, jeden Port nur eine MAC Adresse statisch zuzuweisen die erlaubt wird.


Andere Möglichkeiten fallen mir leider nicht ein. Ich habe für jeden Switch einen eigenen Uplink zum Core-Switch und meine Technikschränke sind abgeschlossen und nicht für jeden zugänglich.
Bitte warten ..
Mitglied: Mike1974
07.10.2011 um 12:23 Uhr
Danke für deine Hinweise, leider kann ich beide nicht umsetzen. Die Switches SG-200-x sind aus der Small Business Linie und kennen nicht einmal das Wort Trunk oder Tagged und sie keine Layer 3 Switche sind, können die VLANs auch nicht routen.

Bzgl physischen Zugriff: Da wir viele verteilte kleine Büros haben, lassen sich physische Zugriffe nicht wirklich umsetzen...

Auch mit der Restriktion auf die MAC scheint es nicht rosig, zumindest finde ich der Beschreibung nichts dazu. Tja, so wie es aussieht wird der Port wohl offen bleiben müssen...
Bitte warten ..
Mitglied: Nachtfalkeaw
07.10.2011 um 21:00 Uhr
Hallo Mike,

du solltest dich noch einmal etwas besser in das Handbuch einlesen:

http://www.cisco.com/en/US/docs/switches/lan/csb_switching_general/admi ...

Die Seiten ab 106 sind für die VLAN Erstellung.
Seite 165 hilft dir beim Thema RADIUS.


Ich hatte die SG200-28 und nun die SG300-28 Switche von CISCO. Und selbstverständlich können BEIDE Serien VLANs. Und sie können natürlich TAGGED und UNTAGGED (das ist ja Grundlage für VLANs) und sie können auch MAC basierte Authentifizierung an den Ports.

Ein Layer 3 Switch ist ebenfalls nicht notwendig für VLANs. Lediglich benötigt man ein Layer 3 Gerät um die VLANs untereinander zu verbinden. Das läuft über einen Router. Layer 3 Switche haben die Funktionalität eines Switches (Layer 2) und noch zusätzliche Funktionen eines Routers (Layer 3)
Bitte warten ..
Mitglied: Mike1974
18.10.2011 um 15:18 Uhr
Hallo,

danke für deine Hinweise! Leider habe ich es bis jetzt nicht geschafft den SG200-08 mittels MAC-Adresse zuzulassen. Dabei habe ich auch diesen Artikel (http://technet.microsoft.com/en-us/library/dd197535%28WS.10%29.aspx) durchgemacht, leider erfolglos.

Bzgl. VLANs: Wir haben eben leider kein Layer 3 Device zum Routen der VLANs - demnach kann ich sie auch nicht verwenden.

Ich bin aber dafür über neues, ziemlich ungewöhnliches, Problem gestoßen. Wenn ich den SG 200-08 als Radius Client konfiguriere sendet er das Attribut "Account Name" mit max. 32 Zeichen, alles darüber wird einfach abgeschnitten. Der String kommt im Format host/<dNSHostName> und wenn dieser länger als 32 Zeichen ist, beschwert sich der NPS über eine nicht existente Domäne - wobei er natürlich recht hat.
Das Problem tritt nicht auf wenn ich den Rechnernamen derart kürze, sodass der String <= 32 Zeichen ist und beim SG 200-26, der hat das Limit nicht.

Irgendwie kann das doch nur ein Bug sein, was meint ihr?
Bitte warten ..
Mitglied: aqui
19.10.2011, aktualisiert 18.10.2012
@Mike1974
Bezgl. VLANs: Du kannst aber immer und problemlos einen externen Router an deinen Switch anschliessen und über diesen die VLANs routen !
Hier steht wie man sowas macht:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Mit einem 30 Euro Mikrotik 750er Router ist das dann ein sehr preiswertes Kinderspiel !
Bitte warten ..
Mitglied: schramlschnaith
26.10.2011, aktualisiert 18.10.2012
Hallo,

bezugnehmend auf mein Thema: http://www.administrator.de/forum/neues-netzwerk-10-gbit-vmware-und-vla ...
Ich habe die Hardware jetzt bekommen und schon einiges an Theorie zwecks dem Einrichten von 802.1x gelesen.
Die Brocade Turboiron wird bei mir ja die Core Switch, diese konfiguriere ich so wie oben. Das klappt denke ich auch.
die VLANs richte ich auf allen Switche gleich ein - routing macht dann die Brocade. Die ganzen HP ProCurve Switch verbinde ich als Tagged Ports mit der Brocade wegen den VLANs.

Was ich jetzt nicht verstanden habe. Muss ich die HP ProCurve Switche (kaskadiert an Brocade) auch so konfigurieren wie oben beschrieben, dass sie auch direkt am NAP Server anfragen ob der Client berechtigt ist oder holt sich sie Switch die Informationen über die Core der Brocade und ich mache den Port an dem die HP Switch hängt auch als authenticator?

Wie funktioniert das? Oder macht das die Brocade sowieso automatisch und ich muss an den HP Switchen garnichts einstellen weil die Ports getagged sind?

DANKE
Bitte warten ..
Mitglied: Nachtfalkeaw
26.10.2011 um 19:35 Uhr
Die Authentifizierung gegenüber dem RADIUS sollte an jedem Switch stattfinden. Es macht ja keinen Sinn, dass der client sich am HP Switch anmelden kann und Zugriff darauf hat und dann erst der Zugang an deinem Core Switch blockiert wird. Die Zugangskontrolle soll ja am Port stattfinden, wo der Client drinne steckt.

Ich lasse jedenfalls alle meine Switches gegen den RADIUS authetifizieren. Den Core-Switch hingegen habe ich mir gespart, da sind eh nur trunk ports drauf und da wird auch niemals ein client direkt angeschlossen. Wozu als gegen den RADIUS authetifizieren lassen.
Bitte warten ..
Mitglied: aqui
27.10.2011 um 12:09 Uhr
Ja, das ist absolut richtig ! Uplink Ports authentisiert man in der Regel nie !
Bitte warten ..
Mitglied: schramlschnaith
27.10.2011 um 16:51 Uhr
Ok macht sinn

Fragen über Fragen.....bin jetzt grad am VLAN einrichten auf der Brocade Turboiron 24x und am verzweifeln.

Hab ein VLAN angelegt und ein Port hinzugefügt

enable
Configure terminal
vlan 2 name Test
Switch(config-vlan-2)#tagged Ethernet 8 (Uplink zur HP ProCurve Switch)

wenn ich dem VLAN jetzt eine IP Adresse zuweisen will funktioniert es einfach nicht oder ich machs falsch.

Switch(config-vlan-2)# ip address 192.168.3.1 255.255.255.0 --> ändert mir die Haupt IP Adresse der Switch und ich verliere meine Telnet Verbindung.
Switch# interface vlan 2 --> kommt falscher Befehl

Was mach ich falsch? Bzw. wie vergebe ich hier die IP Adresse für jedes VLAN?

Kann es sein das ich in der Switch irgendwie Layer 3 IP noch aktivieren muss?

Danke
Bitte warten ..
Mitglied: aqui
27.10.2011 um 18:06 Uhr
Du machst das völlig falsch mit der IP Adresse ! Der TI ist keine HP Gurke...also mal das TI Handbuch lesen !!
So sieht die funktionierende Konfig auf dem TurboIron aus:
!
vlan 1 name DEFAULT-VLAN by port
!
vlan 2 name Test
tagged ethe 8
untagged ethe 9
(--> um hier im VLAN 2 mal ein Endgerät anzuschliessen !)
router-interface ve 2
(--> DAS definiert dir dein Routing Interface im VLAN 2 !)
!
interface ve 2
port-name VLAN-2 IP Adresse
ip address 192.168.3.1 255.255.255.0
!

Fertig ist der Lack
Achtung: der TI24 sendet das default VLAN 1 am Tagged Link zum HP nicht parallel untagged wie der HP das erwartet !!
Dazu musst du den Port 8 etwas "anpassen":
!
Interface eth 8
port-name Tagged Uplink zum HP
dual-mode 1
!

Schon klappts auch mit der HP Gurke !
Nochmal ACHTUNG: HP supportet KEIN Per VLAN Spanning Tree !! Der TI macht das im Default. Du musst den TI also auf Single Spann umstellen sofern du überhaupt Spanning Tree machst ?!

Weitere Fragen bitte per PM um das Tutorial hier nicht allzu aufzublähen !
Bitte warten ..
Mitglied: panguu
16.05.2014, aktualisiert 17.05.2014
Hallo. Habe gerade dieses Tutorial und die Kommentare dazu gelesen. Einiges ist mir noch nicht ganz klar geworden und ich hoffe ihr könnt mich aufklären. Leider habe ich mehrere SG200-Modelle,aber nur einen einzigen SG300. Das erwähne ich in dem Zusammenhang, weil die SG200 Modelle kein dynamisches 802.1X können und ich somit dieses tolle Feauture nicht nutzen könnte, dass ein User seine VLAN-Zugehörigkeit komfortabel mitnehmen kann, wenn er umzieht innerhalb der Firma.

Habe nur einen einzigen SG300, aber der sitzt im Keller. Würde ich dynamisches 802.1X verwenden wollen, so daß sich User per RADIUS authentifizieren und ihre VLAN-Zugehörigkeit mitnehmen bei einem Umzug, müssen das ALLE bteiltigten Switche dazwischen im Netzwerk können? Oder würde es schon reichen, wenn ich nur einen einzigen SG300 habe, auf dem ich das RADIUS-Zeugs einrichte?

Bsp.:
- im 2.OG gibt's einen SG200, dort sind alle Clients angeschlossen.
- im 1.OG gibt's einen SG200, dort sind auch Clients angeschlossen
- im UG gibt's einen SG300, dort sind keine Clients aktiv, nur Tk-Anlage, und paar weitere unwichtige Hosts. Aber fakt ist, dass der SG300 eben im UG sitzt
- diese 3 Switche sind miteinander verbunden.

Im UG am SG300 richte ich nun RADIUS ein, also quasi die Zuordnung der User zu ihrer VLAN-Zugehörigkeit, die sie haben sollen.

Wenn der User im 2.OG nun seinen Rechner einschaltet, würde er sich durch den SG200 im 2.OG bis hin zum Keller SG300 durchschlingen können, damit der RADIUS-Server dort am SG300 die Abfrage durchführt? Leiten die Switche RADIUS-Informationen weiter? Oder muss ich zwingend an jedem einzelnen Switch RADIUS aktiviert haben? müssen also sämtliche Switche in der Kette RADIUS- und dynamisches 802.1X fähig sein?

Ich glaub ich hab auch nicht so richtig den Unterschied zwischen RADIUS-Server und NAS verstanden. Laut Wikipedia-Eintrag (http://de.wikipedia.org/wiki/IEEE_802.1X#Das_Dienstspektrum_und_die_Ben ...) könnte ich also mein Ziel trotzdem erreichen? Wenn ja, wie? Könnte ich z.B. innerhalb meiner Serverfarm einfach einen FreeRadius installieren (z.B. auf Debian Wheezy) und diesen als Authentication Server (AS) nutzen? Trage ich dann in meinen gesamten Switches ein, dass der Radius-Server, also mein Authentication Server (AS) die Debian-Kiste ist? Und auf der Debian-Kiste könnte ich den Freeradius auch an mein AD anbinden, so daß die User ihre vorhandenen Benutzer/Passwortkombinationen nutzen können? Wo würde dann aber die Zuordnung erfolgen, welcher User zu welchem VLAN zugeordnet werden soll? Richte ich das ebenfalls auf der Debian-Kiste am Freeradius ein? Wenn sich dann quasi ein User, der an einem SG200-Switch eingesteckt ist, sein OS (z.B. Win7 hochfährt) und der 802.1X Supplicant anmelden möchte, wird sein request über den SG200 Switch bis zur Debiankiste weitergeleitet, dort findet die Authentisierung statt, und mittels dieser Tunneling-Protokolle schickt die Debian-Kiste die Info wieder zurück an den Switch an dem der User angeschlossen ist, und der SG200 diesen Client-Port in entsprechende VLAN-Zugehörigkeit um? Dann wäre der AD also die Debiankiste und der NAS der SG200-Switch an dem der client angeschlossen ist? Oder hab ich das komplett missverstanden ?

PS: Kann der Cisco Catalyst 3560, oder der C3550 auch 802.1X und 802.1q so dass ich die auch nutzen kann für mein Vorhaben ? In dem datasheet (http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-3560 ...) konnte ich keine Infos zu dynamischen 802.1X findendazu finden.
Bitte warten ..
Mitglied: aqui
16.05.2014, aktualisiert 18.05.2014
SG200 Modelle kein dynamisches 802.1q können
Das ist technischer Unsinn denn sowas gibt es nicht aber weisst du vermutlich selber.
Erstmal ist 802.1q VLAN Tagging und hat mit dieser Thematik hier nicht das Geringste zu tun. Wenn, dann also 802.1x.
Du meinst damit dann vermutlich die dynamische VLAN Zuordnung bei 802.1x, richtig ??
Korrigier das besser oben denn der Fehler tritt dort öfter auf und verwirrt Leser hier nur unnötigerweise !

ich hoffe ihr könnt mich aufklären.
Wenns Radius technisch ist geben wir mal wie immer unser Bestes...

müssen das ALLE bteiltigten Switche dazwischen im Netzwerk können?
Nein, natürlich nicht !
Logischerweise NUR diese wo ein 802.1x Client, also vermutlich ein Enduser angeschlossen ist ! Auf den Uplink Ports der Switches hat das (meistens) nichts zu suchen.
802.1x ist immer eine direkte Client Beziehung.
Wenn du z.B. einen WLAN AP am Switch angeschlossen hast macht DIESER dann 802.1x zu den WLAN Clients nicht der Switchport. Allerdings....
Willst du diesen ja absichern damit nicht Fritzchen Müller aus der Poststelle seinen Blödmarkt AP bei dir ins Netz hängt und die Poststelle mit ihren Smartphones frei bei YouPorn surfen lässt.
Analog gilt das für kleine non-managed 5 Port Switches...die willst du auch nicht haben.
Diese Geräte müssen gegenüber deinen 802.1x gesicherten Edge Ports aber wieder 802.1x Clients sein wenn sie bei dir in dein .1x gesichertes Netz wollen.
Wenn du so willst ist der AP oder der kleine Switch dann gleichzeitig 802.1x Authenticator UND .1x Client.
Am Beispiel deiner SG-200 Switches kannst du das sehr schön sehen, denn du kannst an jedem Port einstellen ob er da eben Authenticator spielen soll oder ob er da .1x Client ist !
Mal Handbuch lesen vielleicht...

Ich glaub ich hab auch nicht so richtig den Unterschied zwischen RADIUS-Server und NAS verstanden
Das mag sein zumal das Wort "NAS" hier nix mit einem "Network Attached Storage" zu tun hat, deshalb sollte man diesen Begriff besser vermeiden, denn viele raffen halt nicht was Network Access Server und ein Storage NAS sind, oder eben genau NICHT sind, und verwiirt nochmehr.

Könnte ich z.B. innerhalb meiner Serverfarm einfach einen FreeRadius installieren (z.B. auf Debian Wheezy) und diesen als Authentication Server (AS) nutzen?
Ja, natürlich, das ist der Sinn der Sache. Ob das ein Raspberry_Pi ist als Radius Server eine Winblows Möhre oder ob das ein dedizierter Windows/Unix Bolide ist oder eine kleine VM irgendwo spielt dabei keinerlei Rolle.
Wichtig ist nur das sie Radius spricht und IP seitig von den Netzwerk Komponenten, die .1x Authenticator sind, erreichbar sind.
Der Radius Server Port sollte also selber tunlichst nicht mit .1x geblockt sein....logisch

Und auf der Debian-Kiste könnte ich den Freeradius auch an mein AD anbinden, so daß die User ihre vorhandenen Benutzer/Passwortkombinationen nutzen können?
Ja, sicher das ist problemlos möglich. Wie das erklärt dir das FreeRadius_Tutorial hier im Forum.
Etwas einfacher ginge es wenn du auf dem Winblows AD direkt den NPS (Network Policy Server) startest. Du sparst dir das Einklinken des Debian Radius via LDAP ans AD. Microsoft NPS ist nix anderes als ein simpler Radius Dienst.
Beide Lösungen funktionieren fehlerlos.

Wo würde dann aber die Zuordnung erfolgen, welcher User zu welchem VLAN zugeordnet werden soll?
Immer da wo der User mit seinen Credentials registriert ist. Bei dir dann im AD natürlich wenn du dort alle User verwaltest !
Wenn du es zweigeteilt machst fragt der FreeRadius über LDAP nur den User an beim AD, spricht aber Radius mit dem .1x Client.
Mit NPS macht Windows das dann direkt über die AD Datenbank.

wird sein request über den SG200 Switch bis zur Debiankiste weitergeleitet, dort findet die Authentisierung statt, und mittels dieser Tunneling-Protokolle schickt die Debian-Kiste die Info wieder zurück an den Switch an dem der User angeschlossen ist, und der SG200 diesen Client-Port in entsprechende VLAN-Zugehörigkeit um?
Fast richtig.... Dazwischen ist dann noch der LDAP über den der FreeRadius die AD User und die VLAN Credentials am AD abfragt. Du verwaltest ja die User zentral im AD und willst das logischerweise ja nicht 2mal tun.

Dann wäre der AD also die Debiankiste und der NAS der SG200-Switch an dem der client angeschlossen ist? Oder hab ich das komplett missverstanden ?
Das hast du dann vollkommen missverstanden aber mit den obigen Erklärungen ist es ja nun vermutlich klarer geworden bei dir ?!

Kann der Cisco Catalyst 3560, oder der C3550 auch 802.1X und 802.q so dass ich die auch nutzen kann für mein Vorhaben ?
Das kann er natürlich wie Millionen andere Switches unterschiedlicher Hersteller auf der ganzen Welt die die beiden Standards 802.1q und 802.1x supporten.
Mal ganz abgesehen von der Tatsache das diese Frage bei einem Premium Switch bzw. Hersteller eigentlich völlig überflüssig ist....aber weisst du vermutlich auch selber ! Nicht vergessen: .1q VLAN Tagging hat mit .1x Port Security per se nichts zu tun !
"Dynamischer 802.1q" ist technischer Blödsinn aber das steht oben ja schon.
Bitte warten ..
Mitglied: panguu
17.05.2014 um 19:42 Uhr
Das ist technischer Unsinn denn sowas gibt es nicht aber weisst du vermutlich selber.
Erstmal ist 802.1q VLAN Tagging und hat mit dieser Thematik hier nicht das Geringste zu tun. Wenn, dann also 802.1x.
Du meinst damit dann vermutlich die dynamische VLAN Zuordnung bei 802.1x, richtig ??
Korrigier das besser oben denn der Fehler tritt dort öfter auf und verwirrt Leser hier nur unnötigerweise !
Ja, das meinte ich. Sorry, wollte keinen damit irritieren. Hab's in meinem Beitrag korrigiert.

Wenn du so willst ist der AP oder der kleine Switch dann gleichzeitig 802.1x Authenticator UND .1x Client.
Am Beispiel deiner SG-200 Switches kannst du das sehr schön sehen, denn du kannst an jedem Port einstellen ob er da eben
Authenticator spielen soll oder ob er da .1x Client ist !
Das hab ich jetzt danke deines Beispiels verstanden. Danke

Das mag sein zumal das Wort "NAS" hier nix mit einem "Network Attached Storage" zu tun hat, deshalb sollte
man diesen Begriff besser vermeiden, denn viele raffen halt nicht was Network Access Security und ein Storage NAS sind oder
eben nicht sind und verwiirt nochmehr.
Nunja, das storage NAS hab ich damit eigentlich nicht gemeint, das hat hier auch nix verloren Ich meinte mit NAS eigentlich "Network Access Server". Aber ich hab soeben eine Aussage auf Wikipedia gesehen, die mir nun meine Frage beantwortet hat. Da heißt es nämlich:
"Im Kontext der RADIUS-Terminologie wird statt des Begriffs „Authenticator“ der Begriff Network Access Server (NAS) verwendet. Einwählende Computer betrachten den NAS als Server. Aus der Sicht des RADIUS-Servers ist der NAS hingegen ein Client."

Wenn ich das also richtig interpretiere, dann ist damit folgendes gemeint:

Debian Host im LAN<------------->Switch mit 802.1X Port<---------------------->Client
=Freeradius-Server..............................=NAS...............................................=802.1X Supplicant

Etwas einfacher ginge es wenn du auf dem Winblows AD direkt den NPS (Network Policy Server) startest. Du sparst dir das Einklinken
des Debian Radius via LDAP ans AD. Microsoft NPS ist nix anderes als ein simpler Radius Dienst.
Ooops, ich hätte erwähnen sollen dass es sich bei meinem AD um samba4 handelt, also kein Window$

> Wo würde dann aber die Zuordnung erfolgen, welcher User zu welchem VLAN zugeordnet werden soll?
Immer da wo der User mit seinen Credentials registriert ist. Bei dir dann im AD natürlich wenn du dort alle User verwaltest !
Wenn du es zweigeteilt machst fragt der FreeRadius über LDAP nur den User an beim AD, spricht aber Radius mit dem .1x
Client.
Mit NPS macht Windows das dann direkt über die AD Datenbank.
Das habe ich jetzt nicht verstanden. Ich meinte jetzt nicht, wo der Abgleich gemacht wird, ob der User Max Mustermann sich korrekt authentifiziert hat, sondern: wo trage ich diese dynamische Zuordnung des VLANs anhand dem angemeldeten User ein? Genau dafür interessiere mich nämlich. Ich würde gerne erreichen, dass sich ein User per 802.1X anmelden muss, und anhand seinem Login bekommt er dann automatisch die VLAN-ID, zu der er gehört. Wird das also im Falle das ich Samba4 als AD verwende, dort im AD als irgendein Attribut das gespeichert?

Fast richtig.... Dazwischen ist dann noch der LDAP über den der FreeRadius die AD User und die VLAN Credentials am AD
abfragt. Du verwaltest ja die User zentral im AD und willst das logischerweise ja nicht 2mal tun.
Der LDAP-Server läuft doch auf der Debian-Kiste, auf der auch samba4 (mein ActiveDirectory) laufen wird, oder nicht? Ich dachte, das ist Bestandteil von samba4's AD...korrigier mich bitte falls ich falsch liegen sollte.

Bitte nicht hauen, aber mir ist immer noch unklar, ob ich mit den SG200-Switche mein Vorhaben realisieren kann, oder ob das schlichtweg nicht funktionieren kann weil die SG200-Modelle diese dynamische Zuordnung ins VLAN nicht können, nachdem sich ein User per 802.1X authentifiziert hat? Oder reicht es, wenn der Freeradiusserver auf der Debiankiste das evtl. machen kann, und diese Information durch dieses tunneling-Gedöns wieder an den SG200 antwortet, so daß der SG200 daraufhin den besagten Port in das entsprechende VLAN packt?
Bitte warten ..
Mitglied: aqui
18.05.2014, aktualisiert um 12:25 Uhr
Wenn ich das also richtig interpretiere, dann ist damit folgendes gemeint:
Leider kann man die Zeichnung wegen der Forums Formatierung nicht richtig lesen.
Besser du umfasst die ASCII Zeichnung mit den "code plain" Tags im Text damit man genau sehen kann am Bild wie du es meinst !

ich hätte erwähnen sollen dass es sich bei meinem AD um samba4 handelt, also kein Window$
Bingo ! Umso besser, dann erübrigt sich die ganze Frickelei mit Winblows.
Auch erübrigt sich die Frage mit LDAP, denn dann muss man die ganze Kopplung mit dem Windows AD ja nicht machen und alles passiert auf deinem Samba4 AD direkt. Den ganzen Part kannst du dann vergessen...

Ich dachte, das ist Bestandteil von samba4's AD...korrigier mich bitte falls ich falsch liegen sollte.
Nein, du hast natürlich Recht. Das ist genau so wie du sagst !

ob ich mit den SG200-Switche mein Vorhaben realisieren kann
Die Antwort darauf ist ganz einfach:
  • Ja, wenn du nur eine reine Port Authentisierung nach Mac, User Pass oder Zertifikat machen willst
  • Nein, wenn du zusätzlich zum obigen noch eine dynamische VLAN Zuweisung des Ports machen willst, denn das ist ein Feature was die SG oder SF 200er Serie NICHT supporten ! Erst die SF oder SG 300er supporten das Feature dynmaische VLAN Zuweisung. (Siehe dazu auch Tutorial Thread vom User Nachtfalkeaw )

Das dynamische Zuweisen von VLANs mit 802.1x ist ein Switch Feature was die Switch Firmware supporten MUSS ! Hier lohnt also immer ein etwas genauerer Blick ins Handbuch oder Datenblatt des Herstellers !
Bitte warten ..
Mitglied: panguu
19.05.2014 um 09:25 Uhr
Danke für's feedback. Mensch, das ist echt blöd. Hätte das gerne so umgesetzt ... aber meine ganzen SG200 jetzt wieder gegen teurere SG300 zu ersetzen ist leider nicht mehr drin

Naja, dann muss ich eben reines 802.1X nach Port,User oder ... einrichten ohne dynamische VLAN-Zuweisung.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst 802.1x Authentifizierung HP Switch und MS NPS (7)

Frage von NoobOne zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (1)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
WLAN zu LAN Switch oder Bridge (4)

Frage von Stefan3110 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
802.1x funktioniert nur an einem oder zwei Accesspoints (3)

Frage von westberliner zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...