22
Frage zur Machbarkeit einer sehr individuellen Netzwerklösung
Hallo zusammen,
ich habe gewisse Anforderungen und würde gerne von euch wissen, ob ihr eine Idee habt oder auch fertige Lösungen kennt,
mit denen sich so etwas realisieren lässt, und ob es überhaupt machbar ist.
Angenommen wir wollen in einem Bürogebäude Netzwerkzugänge / Working-Spaces vermieten. Authentifizierung und Anmeldung im Netzwerk soll über Passwort+Benutzername erfolgen, jede Benutzergruppe hat ein eigenes Subnet, IPs werden nach Anmeldung entsprechend per DHCP zugewiesen.
Die einzelnen Benutzer einzelner Gruppen sollen sich an egal welchem Port im Gebäude
anklemmen können und durch die Authentifizierung nur mit den zu ihnen gehörenden anderen Benutzern im Netzwerk und mit dem Internet kommunizieren können. Der Traffic aller anderer User
darf nicht zu sehen sein. Die Netzwerkdosen und WLAN-APs hängen alle an den selben Switch(es). Es soll 100% kein Spoofing von IP- oder MAC-Adressen möglich sein.
Ist sowas _überhaupt_ machbar, ohne das jedes Unternehmen klar definierte Ports hat die über einen Router pro Usergruppe mit dem Rest verbunden sind?
Beste Grüße
bloody
ich habe gewisse Anforderungen und würde gerne von euch wissen, ob ihr eine Idee habt oder auch fertige Lösungen kennt,
mit denen sich so etwas realisieren lässt, und ob es überhaupt machbar ist.
Angenommen wir wollen in einem Bürogebäude Netzwerkzugänge / Working-Spaces vermieten. Authentifizierung und Anmeldung im Netzwerk soll über Passwort+Benutzername erfolgen, jede Benutzergruppe hat ein eigenes Subnet, IPs werden nach Anmeldung entsprechend per DHCP zugewiesen.
Die einzelnen Benutzer einzelner Gruppen sollen sich an egal welchem Port im Gebäude
anklemmen können und durch die Authentifizierung nur mit den zu ihnen gehörenden anderen Benutzern im Netzwerk und mit dem Internet kommunizieren können. Der Traffic aller anderer User
darf nicht zu sehen sein. Die Netzwerkdosen und WLAN-APs hängen alle an den selben Switch(es). Es soll 100% kein Spoofing von IP- oder MAC-Adressen möglich sein.
Ist sowas _überhaupt_ machbar, ohne das jedes Unternehmen klar definierte Ports hat die über einen Router pro Usergruppe mit dem Rest verbunden sind?
Beste Grüße
bloody
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 444818
Url: https://administrator.de/contentid/444818
Printed on: April 18, 2024 at 02:04 o'clock
22 Comments
Latest comment
Moin ...
Ohne die gewissen Anforderungen zu kennen - Ja ...
Einen Ansatz findet du hier > https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_8021x/configur ...
VG
Zitat von @bloodstix:
Ist sowas _überhaupt_ machbar, ohne das jedes Unternehmen klar definierte Ports hat die über einen Router pro Usergruppe mit dem Rest verbunden sind?
Ist sowas _überhaupt_ machbar, ohne das jedes Unternehmen klar definierte Ports hat die über einen Router pro Usergruppe mit dem Rest verbunden sind?
Ohne die gewissen Anforderungen zu kennen - Ja ...
Einen Ansatz findet du hier > https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_8021x/configur ...
VG
Hallo Ashnod,
hast du meinen Text nicht gelesen oder wieso meinst du "ohne die gewissen Anforderungen zu kennen - Ja"?
Die stehen ja oben:
1. Es gibt Benutzergruppen die sich ein Subnetz teilen und untereinander kommunizieren können sollen
2. Benutzer müssen sich authentifizieren um ins Netz zu dürfen und ihre IP zu erhalten
3. Es soll egal sein ob sie sich im Erdgeschoss an nen LAN-Port klemmen oder im 3. Stock im WLAN hängen, Punkt 1 soll durchs ganze Haus von jedem Port oder WLAN-AP aus funktionieren
Grüße
bloody
hast du meinen Text nicht gelesen oder wieso meinst du "ohne die gewissen Anforderungen zu kennen - Ja"?
Die stehen ja oben:
1. Es gibt Benutzergruppen die sich ein Subnetz teilen und untereinander kommunizieren können sollen
2. Benutzer müssen sich authentifizieren um ins Netz zu dürfen und ihre IP zu erhalten
3. Es soll egal sein ob sie sich im Erdgeschoss an nen LAN-Port klemmen oder im 3. Stock im WLAN hängen, Punkt 1 soll durchs ganze Haus von jedem Port oder WLAN-AP aus funktionieren
Grüße
bloody
Hallo,
Deine Frage ist etwas vage formuliert. Ja, im Prinzip ist das machbar. Denn Dienstleister, welche Räumlichkeiten /Gebäude vermieten bieten so etwas an. Es gibt meines Wissens nach keine fertige Lösungen, sondern das muss selbst aufgebaut und konfiguriert werden.
Gruss Penny.
Deine Frage ist etwas vage formuliert. Ja, im Prinzip ist das machbar. Denn Dienstleister, welche Räumlichkeiten /Gebäude vermieten bieten so etwas an. Es gibt meines Wissens nach keine fertige Lösungen, sondern das muss selbst aufgebaut und konfiguriert werden.
Gruss Penny.
Hallo Penny.Cilin,
was genau ist deiner Meinung nach vage formuliert? Dann versuche ich es an der Stelle noch zu konkretisieren.
Gruß
bloody
was genau ist deiner Meinung nach vage formuliert? Dann versuche ich es an der Stelle noch zu konkretisieren.
Gruß
bloody
Zitat von @bloodstix:
hast du meinen Text nicht gelesen oder wieso meinst du "ohne die gewissen Anforderungen zu kennen - Ja"?
hast du meinen Text nicht gelesen oder wieso meinst du "ohne die gewissen Anforderungen zu kennen - Ja"?
Schon gelesen - aber es war deine Einleitung mit gewisse Anforderungen... der Link zeigt dir eine Möglichkeit auf ... aber für die Umsetzung ist deutlich mehr notwendig .. und ich kann nicht erahnen ob das alle Anforderungen sind ...
du wolltest ja nur grob wissen ob es geht ... und soweit schon, aber für die Planung sollte man sich genügend Zeit nehmen
und wenn da einer ist der das am Tisch planen kann, dann wird das auch funktionieren
Machbar ist es, allerdings bringt dich username/passwort spätestens bei Geräten ohne Konsole (e. g. Drucker) an Grenzen.
/Thomas
/Thomas
Servus,
hier hättest du eine fast fertige Anleitung:
https://www.heinlein-support.de/sites/default/files/zutrittskontrolle_im ...
Dazu auch noch lizenzkostenfrei.
Grüße, Stefan
hier hättest du eine fast fertige Anleitung:
https://www.heinlein-support.de/sites/default/files/zutrittskontrolle_im ...
Dazu auch noch lizenzkostenfrei.
Grüße, Stefan
Sowas sollte nicht entgegen stehen.
Voraussetzungen:
Wenn es BJOD- Devices sind, dann eventuell mit Zertifikaten arbeiten oder die MAC der Geräte registrieren und den OUs zuweisen.
Voraussetzungen:
- Domain
- definierte OUs denen die Benutzer hinterlegt sind
Wenn es BJOD- Devices sind, dann eventuell mit Zertifikaten arbeiten oder die MAC der Geräte registrieren und den OUs zuweisen.
Zitat von @stefaan:
Servus,
hier hättest du eine fast fertige Anleitung:
https://www.heinlein-support.de/sites/default/files/zutrittskontrolle_im ...
Dazu auch noch lizenzkostenfrei.
Grüße, Stefan
Servus,
hier hättest du eine fast fertige Anleitung:
https://www.heinlein-support.de/sites/default/files/zutrittskontrolle_im ...
Dazu auch noch lizenzkostenfrei.
Grüße, Stefan
Nicht sicher ob das schon schlagend wird, aber kommst du damit nicht mit Artikel 13 in Konflikt :P
Danke an alle, jetzt weiss ich wenigstens schon mal in welche Richtung ich schauen muss.
Eine letzte Frage noch: Zu der dynamischen VLAN-Zuweisung: Müssen die involvierten Switche/WLAN-AP dann
nur die genannten Standards
- 802.1X bzw. RADIUS
- Port Access Security (evtl. MAC based)
- VLANs (802.1q)
unterstützen und der Rest ist egal?
Grüße
bloody
Eine letzte Frage noch: Zu der dynamischen VLAN-Zuweisung: Müssen die involvierten Switche/WLAN-AP dann
nur die genannten Standards
- 802.1X bzw. RADIUS
- Port Access Security (evtl. MAC based)
- VLANs (802.1q)
unterstützen und der Rest ist egal?
Grüße
bloody
Zitat von @bloodstix:
Eine letzte Frage noch: Zu der dynamischen VLAN-Zuweisung: Müssen die involvierten Switche/WLAN-AP dann
Eine letzte Frage noch: Zu der dynamischen VLAN-Zuweisung: Müssen die involvierten Switche/WLAN-AP dann
Am besten fängst du mit einem kleinen Testaufbau an ... die WLAN-AP's sollten Multi-SSID können ..
Kernpunkt ist der Radius .. und dessen Anbindung an eine Benutzerverwaltung
Nur so als Hinweis, wenn du VLANs nutzt kannst du max 4000 Kunden einrichten.
Du solltest dich eher in Richtung VXLAN informieren, das Prinzip wäre aber das gleiche.
/Thomas
Hallo Thomas,
so viele Kunden tummeln sich nicht pro Standort, könnte jedoch trotzdem relevant werden, wenn man sich entscheidet Standortübergreifend ein zentrales Register zu haben.
Danke für den Hinweis.
Grüße
bloody
so viele Kunden tummeln sich nicht pro Standort, könnte jedoch trotzdem relevant werden, wenn man sich entscheidet Standortübergreifend ein zentrales Register zu haben.
Danke für den Hinweis.
Grüße
bloody
Ich würde erst mal überlegen ob du das wirklich selbst umsetzen willst... Sorry, aber die Fragestellung deutet zumindest darauf hin das du das nicht kennst. Das ist auch nicht schlimm und man muss ja auch mal anfangen um was zu lernen. ABER: Es wäre äussert blöd (und vermutlich teuer) wenn du Workspaces vermietest und dann durch nen Fehler doch die Daten offenlegst. Nehmen wir an das z.B. nen Software-Entwickler dir dadurch nachweisen kann das sein Quellcode von jemand anders geklaut und verkauft wurde.
Solche Dinge würde ich immer entweder mit jemanden der Erfahrung hat machen ODER erst mal gründlich eigene Erfahrungen in einer unkritschen Umgebung sammeln (z.B. das ganze mal aufbauen und den Kollegen dann den entsprechenden Zugang hinwerfen).
Solche Dinge würde ich immer entweder mit jemanden der Erfahrung hat machen ODER erst mal gründlich eigene Erfahrungen in einer unkritschen Umgebung sammeln (z.B. das ganze mal aufbauen und den Kollegen dann den entsprechenden Zugang hinwerfen).
Da hast du völlig recht. Spricht ja nichts dagegen das ich mich jetzt, wo ich die nötigen technischen Mittel erfragt habe, dort einarbeite oder mich Schulen lasse oder weiss, was für Spezialisten ich einkaufen muss.
Hallo bloody,
Schau dir doch mal macmon an (https://www.macmon.eu)
„Mit macmon Network Access Control wissen Sie jederzeit, welche Geräte sich in Ihrem Netzwerk befinden und wo diese sind. Sämtliche eingesetzten Geräte wie PCs, Drucker, Laptops, medizinische und technische Geräte werden jederzeit effizient überwacht und vor unbefugten Zugriffen geschützt. Gast- und Mitarbeitergeräte (BYOD) können über das Gästeportal, mithilfe eines dynamischen Managements der Netzwerksegmente, einfach und sicher zugelassen werden.“
Bei Fragen kannst du dich gerne melden.
Viele Gruesse
Schau dir doch mal macmon an (https://www.macmon.eu)
„Mit macmon Network Access Control wissen Sie jederzeit, welche Geräte sich in Ihrem Netzwerk befinden und wo diese sind. Sämtliche eingesetzten Geräte wie PCs, Drucker, Laptops, medizinische und technische Geräte werden jederzeit effizient überwacht und vor unbefugten Zugriffen geschützt. Gast- und Mitarbeitergeräte (BYOD) können über das Gästeportal, mithilfe eines dynamischen Managements der Netzwerksegmente, einfach und sicher zugelassen werden.“
Bei Fragen kannst du dich gerne melden.
Viele Gruesse
Ich würde mir mal Solitons Network-Access-Control Lösungen anschauen.. Wenn die Rechner DHCP-Anfragen schicken, werden die Switchports automatisch auf entsprechende VLANs programmiert. DHCP-Clients schicken individuelle IDs mit, wodurch Spoofing ausgeschlossen wird.
Für WLAN bieten die bestimmt auch etwas an.
Viel Erfolg!
Max
Für WLAN bieten die bestimmt auch etwas an.
Viel Erfolg!
Max
Ist sowas _überhaupt_ machbar,
Ja, das ist ein simpler Klassiker der millionenfach im Einsatz ist. Solltest du als Netzwerk Admin eigentlich kennen.Das Zauberwort heisst: Private VLANs oder Isolated VLANs.
Die kombiniert man mit einer 802.1x oder Mac based Port Authentisierung und dynamischer VLAN Zuweisung über einen zentralen Radius Server.
Fertig ist der Lack.
Kann man mit den meisten besseren Switches einfachst mit Bordmitteln lösen (diese müssen aber zwingend das PVLAN Feature supporten !) und Radius Server hast du mit kostenfreien FreeRadius Server die weltweit meistgenutze Plattform oder du nimmst wenn du eine Winblows Umgebung hast den bordeigenen NPS Server.
Da muss man nix Spezielles für kaufen und individuell ist das nun wahrlich auch nicht !
Hallo aqui,
danke für die ausführliche und direkte Antwort.
Hatte bisher nur wenig bis gar nichts mit Features wie diesem zu tun.
Eher kleine/kleinst-Netzwerke ohne VLANs.
Vielen Dank an alle.
Grüße
bloody
danke für die ausführliche und direkte Antwort.
Hatte bisher nur wenig bis gar nichts mit Features wie diesem zu tun.
Eher kleine/kleinst-Netzwerke ohne VLANs.
Vielen Dank an alle.
Grüße
bloody
Eher kleine/kleinst-Netzwerke ohne VLANs.
OK, das erklärt das dann....Wie gesagt: Sollte man eigentlich kennen....
Ist eine Allerwelts Konfig und mit den Features ist das dann ein Kinderspiel das umzusetzen.802.1x Infos findest du auch hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
1
Hallo nochmal,
habe noch eine abschließende Frage: Lässt sich das mit folgenden Geräten umsetzen:
- ZYXEL GS1920-24v2
- Ubiquiti UniFi AP AC LR
?
Laut Featureliste würde ich vermuten ja. Aber irgendwie bin ich langsam doch etwas verwirrt :s
Grüße
bloody
habe noch eine abschließende Frage: Lässt sich das mit folgenden Geräten umsetzen:
- ZYXEL GS1920-24v2
- Ubiquiti UniFi AP AC LR
?
Laut Featureliste würde ich vermuten ja. Aber irgendwie bin ich langsam doch etwas verwirrt :s
Grüße
bloody
Ja, der Zyxel kann das !
ftp://ftp.zyxel.com/GS1920-24HPv2/user_guide/GS1920-24HPv2_V4.50_ed2.pdf
Kapitel 31.1
Kannst du ja selber sehen....
ftp://ftp.zyxel.com/GS1920-24HPv2/user_guide/GS1920-24HPv2_V4.50_ed2.pdf
Kapitel 31.1
Kannst du ja selber sehen....
