westberliner
Goto Top

802.1x Radius Meldung von VLANS

Hallo Zusammen,

ich habe hier seit längerem bereits eine Zertifizierungsstelle (Windows CA) mit Radiusserver fürs WLAN laufen, damit ich die WLAN-Einstellungen nicht immer manuell eintragen muss. Dies funktioniert mit einer automatischen Zertifikats-Registrierung über das Computer-Objekt in der AD und einer Sicherheitsgruppe.

Nun kam die Anforderung der TISAX auf, einen Radius-Server fürs kabelgebundene Netzwerk einzubauen. Soweit so gut, konnte ich mein System testweise erweitern und funktioniert erstmal.

Was ich nicht ganz verstehe:

Mein zentraler Switch hat mehrer VLANs, unter anderem:
VLAN120 ist das 10.128.84.0 - Netz, in welchem die VMs hängen.
VLAN144 ist das 10.128.86.0 - Netz, in welchem die LAN-Clients hängen.

Bei der Konfiguration kam im Radius-Eventlog, dass eine Radius-Meldung vom 10.128.84.254 (Gateway des VLANs120) empfangen wurde. Ich war aber der Meinung, dass die Meldung vom Gateway des Client-Vlans 144 (also 10.128.86.254) kommen müsste?

Bei den Accesspoints habe ich jeweils die Management-IP des jeweilgen AP verwendet.

Ich habe auch oft Anleitungen im Internet gefunden, welche Radius über Benutzerauthentifizierung verwenden. Habe ich mit meinem konfigurierten System irgendeinen Sicherheitsnachteil o.ä.?

Danke.

Content-ID: 1436217689

Url: https://administrator.de/contentid/1436217689

Ausgedruckt am: 05.11.2024 um 00:11 Uhr

tikayevent
tikayevent 27.10.2021 aktualisiert um 10:34:13 Uhr
Goto Top
Nein, dass ist soweit richtig, weil der Switch sich für die Kommunikation das passende Interface aussucht. Warum sollte er also das Paket "teuer" routen, wenn er eh mit einem Bein im richtigen Netzwerk steht.

802.1X ist eine Layer2-Technologie, daher wird hier die Managementfunktion des Switches verwendet und nicht die Routingfunktion. Daher muss es für jeden Switch einzeln konfiguriert werden, damit es richtig funktioniert.

Nachteil hast du nicht, sondern sogar einen Vorteil. Du könntest, wenn es richtig konfiguriert ist, das Managementnetz komplett unabhängig vom Rest des Netzwerks machen (Out of band-Management).
LordGurke
LordGurke 27.10.2021 um 10:38:52 Uhr
Goto Top
Unabhängig vom Protokoll (ob jetzt RADIUS, DNS oder whatever) wird nicht die IP genutzt, die zum Ingress-VLAN der Anfrage gehört, sondern die, die zum Egress gehört.
Da der Switch resp. RADIUS-Client ja ebenfalls ein Interface mit einer IP aus deinem VM-VLAN hat, wo mutmaßlich der RADIUS-Server läuft, ist es immer auch diese IP, von der du die Anfragen siehst.
Einfach, weil das die IP ist, mit der der Client sicher mit dem Server kommunizieren kann, denn er befindet sich ja im selben Subnetz.
aqui
aqui 27.10.2021 um 11:40:31 Uhr
Goto Top
Bei den meisten Switches kann man die Radius Source IP im Setup konfigurieren die der Switch dann dediziert nutzt als Absender IP der Requests auf den Radius Server.
Das macht auch Sinn wenn man, wie üblich, ein dediziertes Management IP Netz für die Infrastruktur nutzt.