3
802.1x Radius Meldung von VLANS
Hallo Zusammen,
ich habe hier seit längerem bereits eine Zertifizierungsstelle (Windows CA) mit Radiusserver fürs WLAN laufen, damit ich die WLAN-Einstellungen nicht immer manuell eintragen muss. Dies funktioniert mit einer automatischen Zertifikats-Registrierung über das Computer-Objekt in der AD und einer Sicherheitsgruppe.
Nun kam die Anforderung der TISAX auf, einen Radius-Server fürs kabelgebundene Netzwerk einzubauen. Soweit so gut, konnte ich mein System testweise erweitern und funktioniert erstmal.
Was ich nicht ganz verstehe:
Mein zentraler Switch hat mehrer VLANs, unter anderem:
VLAN120 ist das 10.128.84.0 - Netz, in welchem die VMs hängen.
VLAN144 ist das 10.128.86.0 - Netz, in welchem die LAN-Clients hängen.
Bei der Konfiguration kam im Radius-Eventlog, dass eine Radius-Meldung vom 10.128.84.254 (Gateway des VLANs120) empfangen wurde. Ich war aber der Meinung, dass die Meldung vom Gateway des Client-Vlans 144 (also 10.128.86.254) kommen müsste?
Bei den Accesspoints habe ich jeweils die Management-IP des jeweilgen AP verwendet.
Ich habe auch oft Anleitungen im Internet gefunden, welche Radius über Benutzerauthentifizierung verwenden. Habe ich mit meinem konfigurierten System irgendeinen Sicherheitsnachteil o.ä.?
Danke.
ich habe hier seit längerem bereits eine Zertifizierungsstelle (Windows CA) mit Radiusserver fürs WLAN laufen, damit ich die WLAN-Einstellungen nicht immer manuell eintragen muss. Dies funktioniert mit einer automatischen Zertifikats-Registrierung über das Computer-Objekt in der AD und einer Sicherheitsgruppe.
Nun kam die Anforderung der TISAX auf, einen Radius-Server fürs kabelgebundene Netzwerk einzubauen. Soweit so gut, konnte ich mein System testweise erweitern und funktioniert erstmal.
Was ich nicht ganz verstehe:
Mein zentraler Switch hat mehrer VLANs, unter anderem:
VLAN120 ist das 10.128.84.0 - Netz, in welchem die VMs hängen.
VLAN144 ist das 10.128.86.0 - Netz, in welchem die LAN-Clients hängen.
Bei der Konfiguration kam im Radius-Eventlog, dass eine Radius-Meldung vom 10.128.84.254 (Gateway des VLANs120) empfangen wurde. Ich war aber der Meinung, dass die Meldung vom Gateway des Client-Vlans 144 (also 10.128.86.254) kommen müsste?
Bei den Accesspoints habe ich jeweils die Management-IP des jeweilgen AP verwendet.
Ich habe auch oft Anleitungen im Internet gefunden, welche Radius über Benutzerauthentifizierung verwenden. Habe ich mit meinem konfigurierten System irgendeinen Sicherheitsnachteil o.ä.?
Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1436217689
Url: https://administrator.de/contentid/1436217689
Printed on: April 19, 2024 at 22:04 o'clock
3 Comments
Latest comment
Nein, dass ist soweit richtig, weil der Switch sich für die Kommunikation das passende Interface aussucht. Warum sollte er also das Paket "teuer" routen, wenn er eh mit einem Bein im richtigen Netzwerk steht.
802.1X ist eine Layer2-Technologie, daher wird hier die Managementfunktion des Switches verwendet und nicht die Routingfunktion. Daher muss es für jeden Switch einzeln konfiguriert werden, damit es richtig funktioniert.
Nachteil hast du nicht, sondern sogar einen Vorteil. Du könntest, wenn es richtig konfiguriert ist, das Managementnetz komplett unabhängig vom Rest des Netzwerks machen (Out of band-Management).
802.1X ist eine Layer2-Technologie, daher wird hier die Managementfunktion des Switches verwendet und nicht die Routingfunktion. Daher muss es für jeden Switch einzeln konfiguriert werden, damit es richtig funktioniert.
Nachteil hast du nicht, sondern sogar einen Vorteil. Du könntest, wenn es richtig konfiguriert ist, das Managementnetz komplett unabhängig vom Rest des Netzwerks machen (Out of band-Management).
Unabhängig vom Protokoll (ob jetzt RADIUS, DNS oder whatever) wird nicht die IP genutzt, die zum Ingress-VLAN der Anfrage gehört, sondern die, die zum Egress gehört.
Da der Switch resp. RADIUS-Client ja ebenfalls ein Interface mit einer IP aus deinem VM-VLAN hat, wo mutmaßlich der RADIUS-Server läuft, ist es immer auch diese IP, von der du die Anfragen siehst.
Einfach, weil das die IP ist, mit der der Client sicher mit dem Server kommunizieren kann, denn er befindet sich ja im selben Subnetz.
Da der Switch resp. RADIUS-Client ja ebenfalls ein Interface mit einer IP aus deinem VM-VLAN hat, wo mutmaßlich der RADIUS-Server läuft, ist es immer auch diese IP, von der du die Anfragen siehst.
Einfach, weil das die IP ist, mit der der Client sicher mit dem Server kommunizieren kann, denn er befindet sich ja im selben Subnetz.
Bei den meisten Switches kann man die Radius Source IP im Setup konfigurieren die der Switch dann dediziert nutzt als Absender IP der Requests auf den Radius Server.
Das macht auch Sinn wenn man, wie üblich, ein dediziertes Management IP Netz für die Infrastruktur nutzt.
Das macht auch Sinn wenn man, wie üblich, ein dediziertes Management IP Netz für die Infrastruktur nutzt.
