bee.mt
Goto Top

MS NPS + Switch + WLAN AP Verständnisproblem?

Hallo, mir brummt die Birne!

Ich habe ein Projekt gewählt welches wohl evtl. nicht so funktioniert wie gewünscht!
Bzw. ich es gerne hätte.

Folgende Soll Funktion:

Radius (MS Nps) soll sich um die Authentifizierung im Netzwerk kümmern.

Für Ethernet sowie WLAN.


Dies geschieht per Zertifikat welches an Domänen Computer per GPO ausgerollt wird.
Pc‘s ohne Zertifikat werden vom Lancom Gs 3510xp in ein Gast Vlan (20) geschickt.
Das Gast VLan wird vom Lancom Router bereitgestellt.
Der Lancom Router stellt lediglich das Internet zur Verfügung sowie VLans und ist im Firmen internen Netz wo auch die die Domänen Computer stecken.

VLan 1 untagged 10.0.0.0/24
VLan 20 tagged 10.0.20.0/24

Radius Server Inkl. DC CA DNS und DHCP 10.0.0.1
Angeschlossen am Switch Port 1 der auf Force Authorized unter Security/802.1x steht.

Radius Client Lancom Switch GS3510xp
In diesem ist Port 1 auch als Hybrid Port unter VLan für VLan 1 untagged und VLAN 20 Tagged angelegt.

An Port 4 und 5 des Switches ist Single 802.1x aktiviert sowie Enable Guest VLAN aktiviert.

Schließe ich nun an Port 4 o. 5 einen Pc mit Zertifikat an, wird dieser (auch per MS NET Monitor nachzuvollziehen) auch Acceptet und bekommt eine IP Config vom DHCP und kann sich wie gewünscht im Netz bewegen.

Pc ohne Zertifikat wird ins Guest VLAN befördert. Dort kann er halt nur ins Internet.

Soweit bin ich sehr zufrieden!

Außerdem gibt es einen Lancom WL-500 AP.

Und hier beginnt der Spaß!

Der AP ist derzeit an Port 8 am Switch.
-Port 8 auf Force Authorized.
AP ist so konfiguriert, das dieser als Radius Client wie der Switch an den Radius weiterleitet.
Nur mit dem unterschied das hier nicht Zertifikat bassiert gearbeitet wird, sondern mit den AD User Credentials.

Funktioniert super!

Und nach der Ellen langen Erklärung wie alles aufgebaut ist, hoffe ich auf den einen Administrator der sich mit Radius ausgezeichnet auskennt, und mir entweder sagt ist nicht möglich, oder mir die Richtung sagt in welche ich denken muss. 😬

Damit die ganze Geschichte makellos durch Radius sicherer ist, möchte ich das Port 8 nicht auf Force Authorized steht, sondern der AP sich durch ?!MAC-Adr?! Erst Authentifiziert oder durch eine andere Methode, und erst dann sich um die Supplicants kümmert.

Denn wenn ich als Eindringling nen Laptop an das AP Ethernet Kabel anbringe bin ich ja im Netz als würd es kein Radius geben und all die Mühe umsonst.

Ich habe soviel zum Thema Radius und Konfigurationen gelesen, das ich nun auf dem Schlauch stehe 😅

Und wenn wir grad dabei sind, welche Settings muss ich im NPS tätigen um MAC Authentifizierung als Bedingung zu konfigurieren?

Ich freue mich über eure Antworten, gewiss habe ich auch Infos unterschlagen, bin jedoch bemüht so schnell als möglich benötigte Infos bekannt zu geben.

Gruß Patrick

Content-ID: 41655756642

Url: https://administrator.de/forum/ms-nps-switch-wlan-ap-verstaendnisproblem-41655756642.html

Ausgedruckt am: 21.12.2024 um 12:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 12.10.2023 um 21:42:30 Uhr
Goto Top
Moin,

bezüglich Absicherung des AP Ports kannst du diesen am besten auf Shutdown setzen lassen sobald das Kabel entfernt wird.
Eine effektivere Lösung würde mir ohne NAC nicht einfallen.
Haben wir hier letztens noch diskutiert.

Gruß
Spirit
aqui
aqui 13.10.2023 aktualisiert um 09:50:38 Uhr
Goto Top
Deine Vorgehensweise ist absolut richtig und auch ein heute gängiges Verfahren AP Ports an Switche so abzusichern.
Alternativ könnte man zentral allen AP Traffic über CapWap und andere Protokolle tunneln an einen WLAN Controller aber das ist ein veraltetes Verfahren was wenig skalierbar ist und massiv Performance kostet. Ein Hauptgrund warum es heute größtenteils aus Setups verschwunden ist.

Du hast 2 Möglichkeiten das zu realisieren die du ja auch schon selber richtig beschreibst:
  • Einfach über Mac Bypass (MAB) also lediglich der Authentisierung der AP Mac Adresse über den Radius Server. Der Port ist dann grundkonfiguriert mit Native VLAN und tagged MSSID VLANs je nachdem ob du eine dynamische MSSID VLAN Zuweisung am AP machst oder nicht. Wird die AP Mac authentisiert ist der Switchport frei.
  • Alternativ statt via MAB dann mit 802.1x. Das erfordert aber einen .1x Client auf dem AP der sich dann am Switchport mit seinen .1x Credentials authentisiert.

Settings muss ich im NPS tätigen um MAC Authentifizierung als Bedingung zu konfigurieren?
Gar keine! Du bestimmst immer am Switch oder AP ob dieser an dem spezifischen Port MAB oder 802.1x oder eine Kombination von beidem macht sofern supportet (sog. "Flexible Authentication)
Der Radius hat dann schlicht und einfach als Usernamen und Passwort nur die Mac Adresse definiert. Oder alternativ sagt man dem Radius das er gleich ein Access accept senden soll wenn die Mac erkannt wurde.

Alles in allem ein klassisches und gängiges verfahren was millionenfach so im Einsatz ist. Wo genau sind denn nun deine spezifischen Fragen dazu?!
Grundlageninfos zu der Thematik findest du, wie immer, auch HIER.
aqui
aqui 24.10.2023 um 15:59:05 Uhr
Goto Top
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!