802.1x Standard. Verständnis Frage
Guten Morgen zusammen.
Ich habe eine Frage zum grundlegeneden Verständnis.
Ich habe z.b einen Freund habe der ein Hotel besitzt, und alle Geräte die sich in diesem Netzwerk anmelden, über 802.1x .
Mein Verständnis vom 802.1x ist, das ich einen Supplicant ( Der der sich anmelden will, Endgerät ) nun sich über den Authentificator authentifizieren lässt, und dann die Erlaubnis vom z.b RADIUS server bekommt mit dem Netzwerk zu kommunizieren. ( z.b ich logge mit einem Handy ins WLAN ).
Nun möchte ich ein "Gateway" in das Netzwerk integrieren. Das "Gateway" hat auch einen "Soft AP" den ich anschalten kann für spezielle Fälle.
Die Voraussetzung des Autohauses ist aber: Alle Geräte die in das Netzwerk kommen müssen den 802.1X standard entsprechen.
Heißt das nun:
Muss das Gateway 802.1x können, damit die Geräte die über den Soft AP angemeldet werden dieses 802.1x Authentifizierungsverfahren durchlaufen ?
Oder wenn ich den "Soft AP" GARNICHT nutze, kann ich eine art "switch/gateway" so in das Netzwerk integrieren ohne überhaupt mit 802.1x in Berührung zu kommen?
Es geht doch nur darum das "Supplicants" sich über 802.1x anmelden. Aber "Authentifizierungsgeräte", sofern Sie keine WLAN anmeldung z.b nutzen wollen, brauchen doch kein 802.1x oder?
Ich bin etwas verwirrt .
Ich habe eine Frage zum grundlegeneden Verständnis.
Ich habe z.b einen Freund habe der ein Hotel besitzt, und alle Geräte die sich in diesem Netzwerk anmelden, über 802.1x .
Mein Verständnis vom 802.1x ist, das ich einen Supplicant ( Der der sich anmelden will, Endgerät ) nun sich über den Authentificator authentifizieren lässt, und dann die Erlaubnis vom z.b RADIUS server bekommt mit dem Netzwerk zu kommunizieren. ( z.b ich logge mit einem Handy ins WLAN ).
Nun möchte ich ein "Gateway" in das Netzwerk integrieren. Das "Gateway" hat auch einen "Soft AP" den ich anschalten kann für spezielle Fälle.
Die Voraussetzung des Autohauses ist aber: Alle Geräte die in das Netzwerk kommen müssen den 802.1X standard entsprechen.
Heißt das nun:
Muss das Gateway 802.1x können, damit die Geräte die über den Soft AP angemeldet werden dieses 802.1x Authentifizierungsverfahren durchlaufen ?
Oder wenn ich den "Soft AP" GARNICHT nutze, kann ich eine art "switch/gateway" so in das Netzwerk integrieren ohne überhaupt mit 802.1x in Berührung zu kommen?
Es geht doch nur darum das "Supplicants" sich über 802.1x anmelden. Aber "Authentifizierungsgeräte", sofern Sie keine WLAN anmeldung z.b nutzen wollen, brauchen doch kein 802.1x oder?
Ich bin etwas verwirrt .
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 344933
Url: https://administrator.de/forum/802-1x-standard-verstaendnis-frage-344933.html
Ausgedruckt am: 26.12.2024 um 04:12 Uhr
10 Kommentare
Neuester Kommentar
802.1x hat auch nicht zwingend etwas mit WLAN oder Benutzerkonten/Vouchern zu tun, das ist der Knackpunkt.
RADIUS-Authentifizierung kann auch über MAC-Adresse oder OU-Zugehörigkeit abgewickelt werden, wobei Ersteres für dein "Gateway" in Frage kommt, sofern es der RADIUS-Server denn unterstützt.
Demnach ja, dein "Gateway" selber muss kein 802.1x können.
RADIUS-Authentifizierung kann auch über MAC-Adresse oder OU-Zugehörigkeit abgewickelt werden, wobei Ersteres für dein "Gateway" in Frage kommt, sofern es der RADIUS-Server denn unterstützt.
Demnach ja, dein "Gateway" selber muss kein 802.1x können.
Zitat von @Haraldger123:
Oder geht es wirklich darum das auch das Gateway irgendwie authenfiziert wird ?
Oder geht es wirklich darum das auch das Gateway irgendwie authenfiziert wird ?
Es geht nur darum. Wenn das Gateway nicht ins Netz darf, darf es auch kein Gerät dahinter.
Und das Gateway braucht auch keine Software, die RADIUS-Authentifizierung via MAC-Adresse passiert auf Hardwareebene.
Heißt im Klartext: (WAN-)MAC-Adresse des Gateway am RADIUS für die Authentifizierung freigeben = Netzzugang gewährt.
Muss das Gateway 802.1x können,
Ja, es muss ein .1x Client auf dem Gateway verfügbar bzw. konfigurierbar sein andernfalls könnte sich dieses Gateway nicht am Netzwerk authentisieren.Der Switch macht keinen Unterschied was da an seinem Port ins Netz will, ob anderer Switch, Gateway, Router, Drucker oder PC.
Viele Router oder Switches haben heutzutage diese Option. Ob dein Gateway das auch hat musst du dem Handbuch entnehmen.
Was den Soft AP anbetrifft kann man die Frage nicht zielführend beantworten weil du leider keinerlei Angaben machst WIE die Clients dieses ABs dann in das Netzwerk gelangen und vor allen Dingen WIE dieser .1x Port am Netzwerk des Autohause konfiguriert ist.
Normal ist es so das sich jede Mac dann per .1x authentisieren muss an dem Port.
Arbeitet der Soft AP also als einfache Bridge wie es die meisten APs ja tun müssen sich auch die Clients dieses APs dann am Switchport authentisieren. Das wäre das gleiche als wenn du einen billigen 5 Port Switch z.B. an diesen Port klemmst.
Arbeitet der Soft AP hingegen als Router, dann nutzt der al Absender Mac Adresse immer nur seine eigene Mac Adresse nuicht aber die der Clients.
In diesem Falle würden dann alle Soft AP Clients problemlos auch ohne .1x ins Netzwerk gelangen.
Was man ebenfalls machen kann wenn das Gateway keinen .1x Client an Bord haben sollte das man die 1.x Portkonfig des Switches dahingegen abändert das der ein Mac Address Passthrough macht. Da hinterlegt man dann die Mac Adresse dieses Endgerätes im Radius Server und sowie diese am Port erscheint wird der Port freigegeben per .1x.
So integriert man nicht 1.x fähige Endgeräte in ein mit .1x gesichertes Netzwerk.
Siehe auch dieses Tutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Leider machst du zu all diesen Dingen keinerlei oder nur sehr banale Angaben, so das man diese Frage nicht zielführend beantworten kann ohne hier im freien Fall raten zu müssen. Weisst du vermutlich auch sicher selber...?!
Zitat von @Haraldger123:
Wäre dies nicht doppelt gemoppelt? Bzw. ne art "2 stufen" authentifizierung dann ?
Wäre dies nicht doppelt gemoppelt? Bzw. ne art "2 stufen" authentifizierung dann ?
Das hängt jetzt von der Konstellation ab.
Auf jeden Fall muss dein Gateway sich am RADIUS des Kunden authentifizieren, um sich im Netzwerk bewegen zu dürfen. Das kann, wie erwähnt, MAC-basiert passieren.
Das Weitere hängt von deinem Gateway ab:
- Baut das Gateway ein eigenes Netzwerk mit eigenem IP-Adressbereich für die mobilen Devices auf und nattet den Traffic zum Kundennetz?
- "Bridged" das Gateway den Traffic vom Kundennetz, sodass die mobilen Devices IP-Adressen aus dem Kundennetzwerk bekommen?
Entschuldige Bitte wenn ich mich so schwammig ausdrücke.
War ja nicht schwammig ausgedrückt sondern die Informationen fehlten komplett.Dein Anliegen was du vorhast ist schon verstanden....
Was das Gateway macht oder nicht macht und wo das hinfunkt ob per WPA oder feuchtem Bindfaden ist erstmal vollkommen irrelevant und spielt für deine eigentliche Frage keinerlei Rolle.
Der Switch bzw. sein Port an dem dieses Gateway angeschlossen ist ist dichtgemacht mit 802.1x Port Security.
Sprich der Switch will hier erstmal eine .1x Authentisierung des Endgerätes (was auch immer das ist) sehen bevor er selbiges ins Internet lässt.
Folglich kommt also dein Gateway per se erstmal gar nicht ins Netz und damit nicht zur Datenbank, Internet usw. da der Switchport ja ohne .1x Authentisierung den Port dichthält.
Erster Schritt ist also das dieses Gateway an seinem LAN Port .1x aktiviert bekommt.
Funktioniert das gateway mit einem der üblichen Betreibssysteme wie Winblows, Linux, Mac OS usw. dann sind solche .1x Clients immer gleich mit an Bord bzw. lassen sich nachinstallieren und lösen diese einfache Hürde im Handumdrehen.
Bei erforlgreicher .1x Authentisierung öffnet der Switch den Port an dem das Gateway hängt und gut...
Damit ist das Gateway dann erstmal im Netzwerk und kann selber überall hin.
Wenn die PDAs rein nur mit dem Gateway reden um dort Daten hinzusenden und das Gateway dann diese Daten selber versendet wird das dann alles sauber funktionieren.
Erst wenn die PDAs irgendwie vom AP gebridged werden also selber ins drunterliegende .1x Netzwerk müssen wirds wieder spannend.
Soviel zur Technik die relativ banal und einfach zu verstehen ist.
Dein Gateway muss also irgendeine Art von .1x Client Funktion an Bord haben um sich gegenüber dem Switchport authentisieren zu können. Ohne das geht erstmal gar nix.
Hat es das nicht und kann man das auch nicht nachinstallieren, dann hast du nur die Option das man das über die Gateway Macadresse mit 802.1x Mac Passthrough regelt es sei denn man schlatet den Gateway Port komplett frei von .1x, was dann abewr die Security Policy des Netzwerkes dann vollkommen aushebelt und ad absurdum führt.