802.1x Radius Meldung von VLANS

Hallo Zusammen,

ich habe hier seit längerem bereits eine Zertifizierungsstelle (Windows CA) mit Radiusserver fürs WLAN laufen, damit ich die WLAN-Einstellungen nicht immer manuell eintragen muss. Dies funktioniert mit einer automatischen Zertifikats-Registrierung über das Computer-Objekt in der AD und einer Sicherheitsgruppe.

Nun kam die Anforderung der TISAX auf, einen Radius-Server fürs kabelgebundene Netzwerk einzubauen. Soweit so gut, konnte ich mein System testweise erweitern und funktioniert erstmal.

Was ich nicht ganz verstehe:

Mein zentraler Switch hat mehrer VLANs, unter anderem:
VLAN120 ist das 10.128.84.0 - Netz, in welchem die VMs hängen.
VLAN144 ist das 10.128.86.0 - Netz, in welchem die LAN-Clients hängen.

Bei der Konfiguration kam im Radius-Eventlog, dass eine Radius-Meldung vom 10.128.84.254 (Gateway des VLANs120) empfangen wurde. Ich war aber der Meinung, dass die Meldung vom Gateway des Client-Vlans 144 (also 10.128.86.254) kommen müsste?

Bei den Accesspoints habe ich jeweils die Management-IP des jeweilgen AP verwendet.

Ich habe auch oft Anleitungen im Internet gefunden, welche Radius über Benutzerauthentifizierung verwenden. Habe ich mit meinem konfigurierten System irgendeinen Sicherheitsnachteil o.ä.?

Danke.

Content-Key: 1436217689

Url: https://administrator.de/contentid/1436217689

Ausgedruckt am: 25.01.2022 um 15:01 Uhr

Mitglied: tikayevent
tikayevent 27.10.2021 aktualisiert um 10:34:13 Uhr
Goto Top
Nein, dass ist soweit richtig, weil der Switch sich für die Kommunikation das passende Interface aussucht. Warum sollte er also das Paket "teuer" routen, wenn er eh mit einem Bein im richtigen Netzwerk steht.

802.1X ist eine Layer2-Technologie, daher wird hier die Managementfunktion des Switches verwendet und nicht die Routingfunktion. Daher muss es für jeden Switch einzeln konfiguriert werden, damit es richtig funktioniert.

Nachteil hast du nicht, sondern sogar einen Vorteil. Du könntest, wenn es richtig konfiguriert ist, das Managementnetz komplett unabhängig vom Rest des Netzwerks machen (Out of band-Management).
Mitglied: LordGurke
LordGurke 27.10.2021 um 10:38:52 Uhr
Goto Top
Unabhängig vom Protokoll (ob jetzt RADIUS, DNS oder whatever) wird nicht die IP genutzt, die zum Ingress-VLAN der Anfrage gehört, sondern die, die zum Egress gehört.
Da der Switch resp. RADIUS-Client ja ebenfalls ein Interface mit einer IP aus deinem VM-VLAN hat, wo mutmaßlich der RADIUS-Server läuft, ist es immer auch diese IP, von der du die Anfragen siehst.
Einfach, weil das die IP ist, mit der der Client sicher mit dem Server kommunizieren kann, denn er befindet sich ja im selben Subnetz.
Mitglied: aqui
aqui 27.10.2021 um 11:40:31 Uhr
Goto Top
Bei den meisten Switches kann man die Radius Source IP im Setup konfigurieren die der Switch dann dediziert nutzt als Absender IP der Requests auf den Radius Server.
Das macht auch Sinn wenn man, wie üblich, ein dediziertes Management IP Netz für die Infrastruktur nutzt.
Heiß diskutierte Beiträge
question
Ist diese Hardware sinnvoll für privaten Haushalt?stonevVor 1 TagFrageRouter & Routing6 Kommentare

Hallo erstmal :) Meine alte Fritzbox 7490 spinnt seit gestern. Ich gehe von Alterschwäche aus, es wird also Ersatz fällig. Zufrieden war ich mit ihr ...

question
LTO-5 Bänder Löschen geht nichtkreuzbergerVor 1 TagFrageBackup23 Kommentare

Hallo ihr Helden, ich hab da ein blödes Problem: Ich habe einen Stapel gebrauchte LTO-5-Bänder bekommen, die soweit völlig i. O. sind. Mit welchem Programm ...

question
Teilenummer für weiße Esprimo Mini-PC?LochkartenstanzerVor 1 TagFrageHardware21 Kommentare

Moin, Ich habe eine eigenwillige Kundin, die einen weißen Fujitsu Esprimo Mini-PC haben will. Und der Kundin ist, wie sollte es anders sein, die Farbe ...

question
Ein Smartphone für privat und geschäftliche NutzungNebellichtVor 1 TagFragePeripheriegeräte5 Kommentare

Hallo, für die Firma werden aktuell Smartphone(s) gesucht, die da eine Dual Sim ermöglichen und zusätzlich trennende Sicherheit, d.h. ein Trennen von privaten Daten und ...

question
Tipp für Firewall mit mehreren DHCP-Instanzen für VLAN gesucht gelöst Holly484Vor 22 StundenFrageFirewall5 Kommentare

Hallo zusammen, hatte in einer Gemeinschaftspraxis bisher tolle Erfahrungen mit Netgear über die letzten vielen Jahre gesammelt. Jetzt ist Netgear aus dem Firewall-Business ausgestiegen. Bisher ...

question
Suche nach "Beschreibung"ThabeusVor 1 TagFrageVmware11 Kommentare

Moin, ich stehe gerade auf dem Schlauch bei der Suche nach einer Anleitung. Vielleicht kann mir jemand helfen die "Begrifflichkeit" zu finden. In meinem Netzwerk ...

question
User verschickt mit kryptischer Outlook.com Adresse aus on-prem Exchange 2016LauneBaerVor 1 TagFrageExchange Server10 Kommentare

Servus in die Runde, ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist. Und zwar verschickte ...

question
Windows Admin Center - Zugriff verweigertsaschakpVor 1 TagFrageWindows Update3 Kommentare

Hallo ich habe das Windows Admin Center Installiert, leider bekomme ich beim öffnen die Meldung: Zugriff verweigert Sie sind leider nicht zum Senden dieser Anforderung ...