Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

802.11x - Zuordnung des VLANs per MAC-Adresse

Mitglied: mastersp

mastersp (Level 1) - Jetzt verbinden

05.01.2017 um 17:02 Uhr, 1821 Aufrufe, 11 Kommentare

Hallo,

wir sind gerade dabei auf VLANs umzustellen.
Am einfachsten bzw. die bevorzugte Art & Weise, wäre eine dynamische Zuordnung der MAC-Adressen.
Wir wissen das diese Variante nicht die sicherste ist (Stichwort: MAC -verfälschung), steht aber in keinsterweise zur Frage.

Ist es möglich zB einen RADIUS-Server so zu konfigurieren, das lediglich Anhand der MAC-Adresse eine VLAN Zuordnung geschieht?
Also ohne AD-Benutzer / Zertifikatsverteilung / etc. ?

Sollte dann ungefähr so aussehen:
Endgerät schickt Anfrage via Switch (Windows-PC / iPhone via WLAN / IP-Kamera) => Switch schickt diese MAC an RADIUS - Server => dieser entscheidet ob er in eine "Quarantäne VLAN kommt" oder eine Zuordnung erhält ?

Vielen Dank
Mitglied: aqui
05.01.2017, aktualisiert um 17:51 Uhr
Ist es möglich zB einen RADIUS-Server so zu konfigurieren, das lediglich Anhand der MAC-Adresse eine VLAN Zuordnung geschieht?
Ja, das ist schon seit Jahren standartisierte Praxis im .1x Switch Umfeld und nennt sich Mac Bypass. So gut wie alle managebaren Switches und auch eine Menge der billigen Web Smart Switches supporten das schon seit Langem. Natürlich auch mit dynamsicher VLAN Zuweisung.
Solltest du als Netzwerker aber eigentlich auch wissen ?!
Dieses Tutorial gibt einen Überblick und auch praktische Konfig Hilfe:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-fre ...
Mit einem klassischen FreeRadius ist das im Handumdrehen aufgesetzt:
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...
Bitte warten ..
Mitglied: laster
05.01.2017 um 23:01 Uhr
Wenn du Geld dafür ausgeben kannst und willst, dann schau dir das Produkt macmon mal an.
vG
LS
Bitte warten ..
Mitglied: aqui
06.01.2017 um 10:22 Uhr
Kann aber keine dynamische VLAN Zuordnung auf Switchports ! Das kann nur der Switch selber !
Wäre ja auch sinnfrei dafür eine externe Software einzusetzen wenn der Switch das supportet.
Bitte warten ..
Mitglied: laster
06.01.2017, aktualisiert um 11:25 Uhr
Kann aber keine dynamische VLAN Zuordnung auf Switchports ! Das kann nur der Switch selber !
das ist natürlich richtig.

Macmon 'scannt' die Switche per SNMP (oder ssh-script ...) und kann dann per Regelwerk die entsprechenden Ports per SNMP sperren oder in ein gewünschtes VLAN setzen (vorausgesetzt, der Switch unterstützt das). Daneben macht/kann macmon noch einiges mehr...
Bitte warten ..
Mitglied: aqui
06.01.2017 um 16:36 Uhr
Wär natürlich auch ein gangbarer Weg....
Bedeutet aber dann externe kostenpflichtige SW. .1x Mac Bypass haben die Switches onboard und einen NPS unter Winblows oder den kostenlosen FreeRadius hat so gut wie jeder im Netz
Es gibt halt viele Wege nach Rom...
Bitte warten ..
Mitglied: mastersp
08.01.2017, aktualisiert um 18:29 Uhr
Hallo,

Danke für die Antwort(en).
Werde mich via deine Links gleich einlesen.

Setzen Dell N2048 ein, was ich bisher aus den Manuals gelesen habe sollte es per ACL via Switch möglich sein.
Möchte diese ACL-Liste aber nicht am Switch verwalten.

@radius: Habe hier nur die Angst das dieser "vollständig" eingerichtet werden MUSS.
dH Zertifikatsverteilung, ev. AD-Anbindung usw..
Sollte recht "simpel" gehalten werden, dH reine dynamische VLAN Verwaltung. (via MAC-Adresse am besten)

lG
Bitte warten ..
Mitglied: aqui
09.01.2017 um 10:51 Uhr
Viele dieser Switches können auch eine dynamische ACL an dem Port via 802.1x und Mac Bypass.
Du kannst dann also nicht nur das VLAN dynmaisch zuweisen sondern auch eine ACL. Die ACL wird dann zentral auf dem Radius konfiguriert für den Switch.
Diese Funktion der dynmaischen ACLs ist aber schon etwas für bessere Switches. Bei Dell ist das ein bischen immer die Frage welche Switchhardware das ist.
Deren Power Connect Billigschrott kann das ganz sicher nicht, denn das sind billige OEMte Switches von Accton wo Dell nur sein Firmenbäppel aufklebt.
Möglich aber das das eine Hardware aus der Force-10 Akquise von Dell ist von vor paar Jahren. Die Force 10 Teile können atürlich erheblich mehr und da ist es denkbar das die das supporten.
Musst du ins Handbuch sehen.
Cisco, Juniper, Extreme, Brocade und die üblichen Kandidaten dort können auch dynamsiche ACLs per .1x
Bitte warten ..
Mitglied: mastersp
13.01.2017, aktualisiert um 11:37 Uhr
Das heißt im Grund wäre dein Lösungsansatz (werde ich gleich ausprobieren) wie folgt:

- Installation eines freeradius Server
(Ist das in einem Windows-Netzwerk bzw. auf einem Windows-Server vernünftig?)
- Anbindung des Switch / Stack an diesen
- In diesem kann ich dann die MAC-Adresse einen VLAN zuweisen
- & ein "Fallback"-VLAN definieren, falls die MAC nicht angelegt ist

Ohne jetzt eine Windows-AD / Zertifikatsanbindung durchzuführen?
& sollte es an einem Switchport einen weiteren "dummen Switch" geben, sollte es auch kein Problem darstellen, oder?
Die VLAN Zuordnung geschieht ja anhand der MAC-Adresse & wird nicht auf dieses "Port" gebunden?

Danke & liebe Grüße
Bitte warten ..
Mitglied: aqui
13.01.2017, aktualisiert um 16:46 Uhr
Ja, alles richtig. FreeRadius ist nicht zwingend, es kann jeglicher Radius Server sein wie z.B. auch der Microsoft NPS der bei vielen ja so oder so auf dem MS Server ist wenn man denn MS einsetzt ?!
Es wäre wenn MS eh im Einsatz ist dann nicht wirklich vernünftig on Top noch einen Radius dazu zu installieren.
Einer reicht ja dann, denn Radius ist Radius egal wer die Daten liefert. Das ist ein weltweiter Standard und der NPS macht das ebenso wie der FreeRadius oder die zig anderen die es noch gibt.
sollte es an einem Switchport einen weiteren "dummen Switch" geben, sollte es auch kein Problem darstellen, oder?
Nein !
Intelligente Switches forwarden den Traffic dann immer auf Basis der Mac an diesem Port. Nicht authentisierte Macs werden dann auch geblockt und authentisierte können passieren.
Die VLAN Zuordnung geschieht ja anhand der MAC-Adresse & wird nicht auf dieses "Port" gebunden?
Richtig, genauso ist es !
Allerdings gibt es manchmal etwas Unterschiede im Handling bei verschiedenen Herstellern. Im Zweifel da besser nochmal genau ins Handbuch sehen.
Bitte warten ..
Mitglied: mastersp
14.01.2017, aktualisiert um 19:09 Uhr
Danke!
Bin gerade am Einrichten in meiner Testumgebung.

Switch-seitig nennt sich die Funktion: "Dot1x MAC Authentication Bypass"
=> wird somit dasselbe sein, wovon wir sprechen?

Was ich noch nicht verstanden habe, was passiert wenn der RADIUS Server neu gestartet werden muss bzw. kurzzeitig nicht erreichbar ist?
Ich meine, vor allem wenn kein "Request" an den RADIUS gesendet wird, sondern wenn der Client bereits seine VLAN ID erhalten hat & der Server später "nicht erreichbar" ist?

lG
Bitte warten ..
Mitglied: aqui
15.01.2017 um 16:35 Uhr
=> wird somit dasselbe sein, wovon wir sprechen?
Yepp, genau das !
was passiert wenn der RADIUS Server neu gestartet werden muss bzw. kurzzeitig nicht erreichbar ist?
Dann hattu Pech ! Nix Zugriff mehr auf Netzwerk....
Vorausdenkende Netzwerker setzen dafür einen Backup Radius auf.
ch meine, vor allem wenn kein "Request" an den RADIUS gesendet wird
Wenn kein Request gesendet wird, dann kommt logischerweise auch KEINE Antwort vom Radius und der Port bleibt unauthentisiert udn damit dicht...nix Zugriff auf netzwerk. Ist doch logisch und sagt einem der gesunde Menschenverstand
sondern wenn der Client bereits seine VLAN ID erhalten hat
Ääähhh... Bahnhof, Ägypten ??
Wie meinst du das ??
Quasi wenn der Server noch rennt, dem Client dann dynamisch das VLAN 10 zugewiesen hat und den Port authentisiert hat und DANN fällt der Radius aus ??
Dann hängt es davon ab wie der Switch konfiguriert ist. Es gibt Switches indem man eine Reauthentication einstellen kann. Ist der Reauthentication Timer abgelaufen sendet der einen neuen Request an den Radius. Ist der nicht da...Port dicht..Client draussen..klar !
Einfache Switches haben das nicht. Da bleibt der Client solange drin bis der physische Linkstatus am Port auf down geht. Dann gibts logischerweise einen neuen Request und wenn dann keine Antwort komt...siehe oben !
Bitte warten ..
Ähnliche Inhalte
Netzwerke
MAC-Adressen-Zuordnung im VLAN
gelöst Frage von pr3adusNetzwerke2 Kommentare

Guten Tag, ich bin ein Azubi und bereite mich derzeit auf meine Abschlussprüfung als Fachinformatiker für Systemintegration vor. Im ...

Netzwerkmanagement

SNMP-Abfrage bei HP Switch (ProCurve)- Zuordnung Vlan - Mac-Adresse

Frage von CBuechnerNetzwerkmanagement1 Kommentar

Hallo zusammen, ich schreibe momentan ein Programm, welches u.a. HP-Switches abfragt, welche Mac-Adresse welchem Vlan zugeordnet ist. Dazu verwende ...

LAN, WAN, Wireless

PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung

Frage von mrserious73LAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich verwende nun Freeradius auf pfSense, um ein EAP-TLS für's WLAN zu stellen. In Zukunft möchte ich ...

Router & Routing

VLAN einzelne MAC hinzufügen

Frage von PharITRouter & Routing3 Kommentare

Hallo allerseits, nur eine kurze Frage. Mein VMWare Server zu Hause hat nur einen LAN Port (ist kein echter ...

Neue Wissensbeiträge
Windows Server

Windows Server 2016 Suche nicht funktioniert ist ausgegraut Windows Server 2016 Search not work

Erfahrungsbericht von Wano347 vor 20 StundenWindows Server

Hallo Leute, wir haben vor kurzem ein Problem gehabt: Windows Server 2016 frisch installiert. Nach Checkliste konfiguriert (sieht vor ...

Microsoft Office

Microsoft geht nun rechtlich gegen Lizengo vor - Billig Software

Information von takvorian vor 21 StundenMicrosoft Office5 Kommentare

Hallo zusammen, eben auf CRN gefunden, weis nicht ob das schon wer gepostet hat Microsoft verklagt Lizengo Gruß Tak

Firewall
Übernahme von SOPHOS durch Thoma Bravo
Information von Dilbert-MD vor 1 TagFirewall3 Kommentare

Kam die Tage per Newsletter: Zitat: " Das Sophos Board of Directors hat gestern bekanntgegeben, dass die Private-Equity-Investment-Firma Thoma ...

Windows Netzwerk

Ereignis-ID 20226 RasClient Ursachencode 829 VPN Verbindung wird abgebrochen

Anleitung von Hardstyles vor 7 TagenWindows Netzwerk

Hallo zusammen, nach Stundenlanger Analysen und test konnten wir den Fehler Lösen. es geht um folgende Fehler Meldung in ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
Was tun, wenn der Chef seine eigenen IT-Regeln nicht durchsetzt?
gelöst Frage von Bl0ckS1z3Sicherheitsgrundlagen22 Kommentare

Hallo Admins, im Zuge der DSGVO haben wir in unserem Unternehmen mit dem Datenschutzbeauftragten ein neues IT-Nutzerhandbuch erstellt. Hier ...

CPU, RAM, Mainboards
Kein Bild mit neuem Mainboard
Frage von Ghost108CPU, RAM, Mainboards20 Kommentare

Hallo zusammen, habe einen PC mit 4 RAM Riegeln, einer Intel CPU 1151 Socket und einem Mainboard Asus B150M-A/M.2 ...

Windows 10
Win 10 - Seltsame popups die nerven
Frage von BigSnakeyeWindows 1019 Kommentare

Hallöchen! An einem Win 10 Notebook habe ich Probleme mit extrem nervigen Popups rechts unten in der Ecke. Dort ...

Windows 10
Windows 10 Workstation zum Musikmachen für ultra-low-latency (ca. 0,7ms)
Frage von psy-tekWindows 1018 Kommentare

Hallo. Ich benutze meinen DAW Rechner hauptsächlich, als Effektgeräte und Klangerzeuger mit sehr kurzen Latenzen. (Damit man gar nicht ...