jensano
Goto Top

PFSense + Cisco SG350 + AP AC Pro: Netzwerksegmentierung

Hallo,

ich habe nun den letzten Teil meiner Hardware den Cisco SG350-28 Switch bekommen und wollte mich mal an die Netzsegmentaufteilung wagen. Bisher habe ich die PFSense in Betrieb und daran meine 2 Ubiquiti AP AC Pro angeschlossen. Nun soll der Switch ran.

Ich würde mich freuen wenn ihr mir dafür ein paar Tips geben könntet in welche Richtung / mit welchen Techniken ich Arbeiten muss um mein Vorhaben zu erreichen.

Ich habe versucht mein Netz auf dem Bild darzustellen. Also wer Zugriff auf welches Netz haben soll. Dabei soll man an den Geräten selber keine festen IP Adressen vergeben müssen. Die sollen alle auf DHCP stehen. Geräte können über WLAN oder LAN angeschlossen sein. Dabei dachte ich mir das alle neuen Teilnehmer erst mal Gäste sind und somit lediglich Zugriff auf das Internet haben. Erst wenn ich dann z.B mittels Mac Adresse weitere Konfigurationen vornehme hat das Gerät andere Zugriffe.

Ohne mich jetzt speziell tief eingelesen zu haben (Da wollte ich jetzt ja hören welche Techniken ich benötigen werde) dachte ich mir das ich VLAN, eventuell ACL? und IP Adressreservierung für Mac Adressen benötige.

  • Internet wäre an LAN1 der PFSense der ja dann zum Switch geht verfügbar. Kann man dann die restliche Konfiguration im Switch machen oder muss ich z.B. VLAN Technisch auch noch was in der PFSense machen? Würde jetzt schätzen das ich dem IOT2 in der PFSense den Internetzugriff blocken muss.
  • Welche Herangehensweise wäre die richtige? Welche Themen sollte ich wo konfigurieren?
  • Der Switch kann zwar Layer 3 aber benötige ich das hier überhaupt? Das sollte man ja vor dem ersten konfigurieren entscheiden da sich wohl der Switch zurücksetzt wenn man das ändert.

Wäre sehr dankbar über ein paar Tips. Mit euren Anleitungen habe ich ja bereits die PFSense mit den APs in Betrieb nehmen können.


VG Jens
netzwerk

Content-ID: 557621

Url: https://administrator.de/forum/pfsense-cisco-sg350-ap-ac-pro-netzwerksegmentierung-557621.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

tech-flare
tech-flare 14.03.2020 um 01:22:28 Uhr
Goto Top
Hallo,
Servus
ich habe nun den letzten Teil meiner Hardware den Cisco SG350-28 Switch bekommen und wollte mich mal an die Netzsegmentaufteilung wagen. Bisher habe ich die PFSense in Betrieb und daran meine 2 Ubiquiti AP AC Pro angeschlossen. Nun soll der Switch ran.
ok
Ohne mich jetzt speziell tief eingelesen zu haben (Da wollte ich jetzt ja hören welche Techniken ich benötigen werde) dachte ich mir das ich VLAN, eventuell ACL? und IP Adressreservierung für Mac Adressen benötige.
Einlesen ist aber das a und o!
Du kannst das Routing über die *sense machen und machst dort die Regeln, oder du nimmst den Cisco und aktivierst dort das Routing und machst am Cisco die ACL

  • Internet wäre an LAN1 der PFSense der ja dann zum Switch geht verfügbar. Kann man dann die restliche Konfiguration im Switch machen oder muss ich z.B. VLAN Technisch auch noch was in der PFSense machen? Würde jetzt schätzen das ich dem IOT2 in der PFSense den Internetzugriff blocken muss.
Siehe eins oben drüber. Entweder oder. Wenn du Layer 3 Routing machst, dann kennst die *sense die VLAN nicht...da gibt es nur ein "Transfer VLAN" zwischen der Sense und dem Switch und die Sense ist am Switch als Default Route eingetragen.
* Der Switch kann zwar Layer 3 aber benötige ich das hier überhaupt? Das sollte man ja vor dem ersten konfigurieren entscheiden da sich wohl der Switch zurücksetzt wenn man das ändert.
Wieder siehe oben....ich konfigurier lieber auf einer Sense. Im Unternehmen habe ich aber aufgrund der größe und Geschwindigkeit das Routing am Core-Switch.
aqui
aqui 14.03.2020 aktualisiert um 08:25:31 Uhr
Goto Top
Du du musst zu allererst einmal grundsätzlich klären ob du das Routing und Filtering zw. den VLANs auf dem Layer 3 Switch machen willst oder ob du das mit der Firewall machen willst.
Wie der Kollege @wuebra oben schon richtig sagt ist davon dein finales Design abhängig. (Transfer VLAN oder Tagged Trunk auf die FW)
Versteht man deine Zeichnung richtig tendierst du mehr zum Routing über den Switch und ACLs dort und dann Transfer VLAN zur Firewall. Leider kann man da nur raten. Letztlich ist das auch sinnvoll wenn man einen L3 Switch hat. Man darf nur nicht vergessen das ACLs zur Traffic Steuerung am Switch im Gegensatz zur Firewall nicht stateful sind.
Einzig das Gast VLAN/WLAN solltest du immer über die Firewall ziehen. Sprich keine Gateway IP am Switch sondern nur Layer 2 Durchreichen auf die Firewall und dort mit einem Captive_Portal etc. arbeiten !

Alle zu diesem L3 Design dann nötigen Schritte findest du, wie immer, hier im Detail beschrieben:
Verständnissproblem Routing mit SG300-28
Halte dich daran dann kommt das in 20 Minuten alles zum Fliegen !

Möchtest du das VLAN Routing dann doch zentral über die pfSense machen hat das hiesige VLAN Tutorial alle dafür nötigen Schritte:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die Design Entscheidung musst du selber fällen !
Jensano
Jensano 15.03.2020 um 13:30:12 Uhr
Goto Top
Ich fummel jetzt schon länger mit der PFSense rum und die gefällt mir sehr gut. In einem anderen Talk wurde ja bereits gesagt das man beim Routing über den Switch die Firewallfuktionen der PFSense verliert. AUch wurde erwähnt das beim privaten Netzwerk der zusätzliche Weg über die PFSense anstatt direkt vom Switch zu den Clients zu gehen wohl keinen merkbaren Unterschied machen würde. Den L3 Switch habe ich mir nur geholt damit man hat was man hat und preislich das nicht so relevant war.
=> Ich habe mich somit entschieden das Routing auf der PFSense zumachen und den Switch somit im Layer 2 Betrieb zu betreiben.

PFSense
  • VLAN IDs auf der PFSense sind eingerichtet (10=Admin, 20=Family, 30=IOT, 40=Gäste)
  • Einem Interface zugeordnet
  • DHCP für die VLANs aktiviert
  • Firewall Rules erstmal auf alles erlauben für die VLANs

AP AC Pro
Testweise erstmal eine neue SSID eingerichtet mit VLAN Tag 40

In den Tutorials ist immer die Rede davon das man bestimmten Ports eine VLAN IS verpasst. Steckt man dann den LAN Stecker in diesen Switchport verwendet das angeschlossene Geräte die entsprechende VLAN ID.

  • Was aber wenn ich die VLAN IDs unabhängig vom LAN Port machen möchte? Ein Benutzer kann ja sein LAN Kabel in irgendeinen LAN Port stecken und da möchte ich gerne das dieser (über die MAC Adresse, auch wenn man die manipulieren kann) erstmal in einem bestimmten VLAN landet, bis ich diese MAC Adresse einem anderen VLAN zuordne. So habe ich meine eigenen Geräte, egal wo ich die anklemme, immer im richtigen VLAN. Und wenn ein Gastnutzer sich irgendwo ansteckt, dann ist sein Gerät, da die MAC keinem anderen VLAN zugeordnet ist, immer im Gast VLAN.
  • Zusätzlich habe ich APs die ja die VLAN per Einwahl über die entsprechenden SSIDs mitgeben. Da darf der Port auch keine VLAN Bindung haben?
  • Ich habe zwar DHCP aktiviert, möchte aber dabei auch IP Reservierungen über MAC Adresse auf der PFSense machen damit auch meine eigenen Geräte immer dieselbe IP haben. Nicht hinterlegte Gastgeräte sollten dann entsprechend VLANID für Gäste bekommen.
aqui
aqui 15.03.2020 aktualisiert um 15:05:12 Uhr
Goto Top
das man beim Routing über den Switch die Firewallfuktionen der PFSense verliert.
Nein, das ist technisch natürlich Quatsch !
Die Routing Funktion verliert ja ein Gerät nicht nur weil ein anderes im Netz auch routen kann.
Technisch behalten beide ihre Routing Funktion.
Was du aber sicher meinst das du dich vom Layer 3 Design her entscheiden musst mit welcher Komponente du zentral die VLANs routest. Entweder Firewall oder Switch.
Macht du es mit dem Switch verliert die Firewall ja niemals ihre Routing Funktion. Wäre ja auch fatal, denn dann könnte sie nicht mehr ins Internet routen !
Außerdem würdest du ja ein Gastnetz auch aus Sicherheitsgründen niemals auf dem Switch routen lassen, denn das birgt die große Gefahr das Gäste in deine lokalen VLANs eindringen könnten wenn hier nur irgendwas an den Switch ACLs nicht stimmt.
Deshalb schleift man z.B. Gäste Netze und andere unsichere Segmente über den Switch im Layer 2 durch und terminiert sie auf der Firewall wo man erheblich sicherere Regeln für den Zugriff erstellen kann.
Es ist also immer ein Miteinander im Routing !
Ich habe mich somit entschieden das Routing auf der PFSense zumachen und den Switch somit im Layer 2 Betrieb zu betreiben.
Was ja auch absolut OK ist ! (Da hätte dann aber auch ein preiswerter nur L2 Switch SG-220 gereicht face-wink )
das man bestimmten Ports eine VLAN IS verpasst.
Was bitte ist eine "VLAN IS" ???
verwendet das angeschlossene Geräte die entsprechende VLAN ID.
Das ist Quatsch ! Die Verwendung von VLAN Tags musst du immer auf dem angeschlossenen Gerät explizit aktivieren (oder Deaktivieren)
Bitte dringenst nochmal die "VLAN Schnellschulung" dazu lesen...und vor allem verstehen !
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
und da möchte ich gerne das dieser (über die MAC Adresse, auch wenn man die manipulieren kann) erstmal in einem bestimmten VLAN landet,
Kein Problem. Das macht dein Switch oder WLAN AP mit Links ! Guckst du hier:
Cisco SG 350x Grundkonfiguration
und WLAN
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Nennt man Dynamic VLANs. face-wink
Da darf der Port auch keine VLAN Bindung haben?
Kommt drauf an !
Wenn deine SSIDs und besonders wenn du mit MSSIDs arbeitest auf unterschiedliche VLAN IDs gemappt sind musst du logischerweise schon Taggen ! Guckst du hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Wenn du hier wieder mit dynmaischen VLANs im WLAN arbeitest macht der AP das in Abhängigkeit des Radius automatisch für dich.
Der Switchport an dem dieser AP dann angeschlossen ist muss aber immer diese VLAN Tags verstehen ! Sprich er muss dann also Tagged für alles MSSID VLANs eingestellt sein ! (Siehe Tutorial oben oder das hiesige_Praxisbeispiel.
möchte aber dabei auch IP Reservierungen über MAC Adresse auf der PFSense machen damit auch meine eigenen Geräte immer dieselbe IP haben.
Auch das macht deine pfSense mit Links:
statdhcp
Jensano
Jensano 15.03.2020, aktualisiert am 14.03.2023 um 11:03:32 Uhr
Goto Top
Was ja auch absolut OK ist ! (Da hätte dann aber auch ein preiswerter nur L2 Switch SG-220 gereicht )
Die Urlaubsreise ist ja dieses Jahr gestrichen.

Was bitte ist eine "VLAN IS" ???
Auch wenn das S im Alphabet weit weg ist vom D, stehen die auf der Tastatur direkt nebeneinander

Wenn deine SSIDs und besonders wenn du mit MSSIDs arbeitest auf unterschiedliche VLAN IDs gemappt sind musst du logischerweise schon Taggen !
Der Switchport an dem dieser AP dann angeschlossen ist muss aber immer diese VLAN Tags verstehen ! Sprich er muss dann also Tagged für alles MSSID VLANs eingestellt sein !
Für WLAN war das für mich verständlich. Alle Geräte (PC, Laptop, Smartphones,...) die sich über die entsprechende SSID anmelden die in meinem MSSID AP gesetzt sind, kommunizieren mit der im AP Menü zugewiesenen VLAN ID. Das habe ich dann auch in der PFSense dem Port zugwiesen wo dieser AP gerade dran hängt. (Bin noch in der Testumgebung und die APs hängen direkt an der PFSense.
2020-03-15 22_47_50

Das ist Quatsch ! Die Verwendung von VLAN Tags musst du immer auf dem angeschlossenen Gerät explizit aktivieren (oder Deaktivieren)
Bitte dringenst nochmal die "VLAN Schnellschulung" dazu lesen...und vor allem verstehen !
Hab ich. Mit "angeschlossenem Gerät" meinte ich ein PC oder Laptop. Auf diesen Geräten aktiviere ich ja keine VLAN Tags. Die kennen die doch gar nicht.
Wenn ich also so einen PC an dem entsprechenden LAN Port (der ja einer eigenen VLAN ID angehört) zuweise, dann kommuniziert der PC doch mit dieser VLAN ID die dem Port zugewiesen ist.???

Kein Problem. Das macht dein Switch oder WLAN AP mit Links ! Guckst du hier:
Cisco SG 350x Grundkonfiguration
und WLAN
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Nennt man Dynamic VLANs.
WLAN ist klar. Das mache ich bei mir ja über MSSID.
Bei LAN hatte ich bisher gedacht kann ich das auch irgendwie über die PFSense machen. Dann hätte der Switch fast nichts mehr zu tun. (Unmanaged)
Dachte irgendwie da DHCP auf der PFSense läuft, kann ich da die PCs automatisch einem VLAN zuweisen. So nach dem Motto MAC xx:xx:xx:xx:xx:xx gehört ins VLAN X oder halt im Zusammenhang mit "Static Mapping" IP xxx.xxx.xx.x gehört ins VLAN X.
Aber das geht nicht?
aqui
aqui 16.03.2020 aktualisiert um 09:17:26 Uhr
Goto Top
Auf diesen Geräten aktiviere ich ja keine VLAN Tags. Die kennen die doch gar nicht.
Nein, das geht natürlich ohne Tags, da hast du Recht. Deshalb weist man diesen Ports in der Switchkonfig ja immer fest und statisch das VLAN zu. Sog. "Port based VLANs".
Alternative dann eben dynamische VLANs mit 802.1x oder Mac Passthrough am Port.
dem entsprechenden LAN Port zuweise, dann kommuniziert der PC doch mit dieser VLAN ID die dem Port zugewiesen ist.???
Richtig ! Port based VLANs eben...
Bei LAN hatte ich bisher gedacht kann ich das auch irgendwie über die PFSense machen.
Ja, das geht mit der pfSense auch kinderleicht !
  • Über die Package Verwaltung das FreeRadius Packet dazu installieren
  • Mac Adressen und ihre VLANs konfigurieren
  • Am Switch bzw. Ports VLANs dynamisch zuweisen
  • Fertisch !
Dachte irgendwie da DHCP auf der PFSense läuft, kann ich da die PCs automatisch einem VLAN zuweisen.
Theoretisch ja, aber DHCP bietet im Protokoll Standard (den man nachlesen kann um nicht "denken" zu müssen face-wink ) dieses Feature nicht. Es liegt also letztlich am DHCP Protokoll.
Jensano
Jensano 21.03.2020 um 09:15:36 Uhr
Goto Top
Ich möchte soviel wie möglich rein über die PFSense machen.
Den Cisco hatte ich bereits gestartet 🤯 Was hab ich mir da angetan?
Meine Überlegungen zum Netzwerkaufbau bringen mich gerade zu der Frage ob man diesen Switch bzw. einen Layer 2 Switch überhaupt braucht.

Die PFSense gibt mir doch mehrere Möglichkeiten mein Netzwerk zu segmentieren
  1. Segmentierung über VLAN wobei in den Firewall Regeln die Rechte für die einzelnen VLANs eingestellt werden.
  2. In der PFSense Erstellung von Aliases (Privat, IOT, Work,...). Dort dann Hosts zufügen und mit IP Adresse definieren. Dann mit "Static DHCP Mapping" den MAC Adressen feste IPs geben womit die Teilnehmer immer zu einem bestimmten Alias gehören. Die Aliases kann ich dann doch genau wie VLANs mit Regeln steuern. Hierbei ist meine Überlegung, braucht man dann überhaupt noch einen Managed Switch?
  3. Auch bei dynamischer VLAN Zuweisung MAC Adressen basiert über Radius an der PFSense frage ich mich was muss der Switch dann noch können? Brauche ich da überhaupt noch einen managed Switch der VLAN tauglich ist oder reicht ein unmanged?

Oder gibt es beim Verzicht auf VLAN Funktionalität, egal ob dynamisch oder statisch, die Gefahr das die Teilnehmer untereinander ohne Kontrolle kommunizieren können?
aqui
aqui 21.03.2020 aktualisiert um 14:30:07 Uhr
Goto Top
bringen mich gerade zu der Frage ob man diesen Switch bzw. einen Layer 2 Switch überhaupt braucht.
Diese Frage wirt dir vermutlich niemand hier umfassend beantworten können, denn das kommt ganz darauf an was DU individuell von deinem Netzwerk verlangst und vor allem welches Design du anstrebst.
Und JA, wenn das gesamte Layer 3 Routimng Geschäft auf der pfSense ablaufen soll, dann hätte ein simpler, billiger TP-Link Layer 2 only VLAN Switch vollkommen ausgereicht.
Die PFSense gibt mir doch mehrere Möglichkeiten mein Netzwerk zu segmentieren
Ja !
Segmentierung über VLAN
Richtig !
Die Aliases kann ich dann doch genau wie VLANs mit Regeln steuern
Richtig !
braucht man dann überhaupt noch einen Managed Switch?
Wie würdest du denn sonst deine VLANs an einen Access Switch bringen bei Port based VLANs ?
OK, zwingend ist ein VLAN Switch natürlich nicht. Wenn du z.B. 3 VLANs hast kannst du auch 3 RJ-45 Strippen einzeln von der pfSense zu 3 einzelnen ungemanagten Switches ziehen. Geht auch, ist aber Steinzeit Niveau und natürlich teurer. Aber generell machbar ist es natürlich.
Radius an der PFSense frage ich mich was muss der Switch dann noch können?
Er muss dazu das Feature 802.1x Port Security supporten.
die Gefahr das die Teilnehmer untereinander ohne Kontrolle kommunizieren können?
Du meinst du fährst mit 3 IP Netzen auf einem gemeinsamen Layer 2 Draht ?
Das ist zuerst einmal ein Verstoß gegen den TCP/IP Standard insgesamt, da dieser den Betrieb so nicht oder nur mit erheblichen Einschränkungen verbunden ist. Der TCP/IP Standard sieht das nicht vor, da es eben nicht Standard konform ist.
Zweitens können dann diese Netze nie untereinander kommunizieren.
Auch nicht über die FW weil die dann sog. Secondary IPs auf dem Interface supporten müsste was Firewalls aber aus gutem Grund niemals machen weil so die Security aushebelbar wäre.
Jensano
Jensano 02.04.2020 um 10:01:39 Uhr
Goto Top
So CISCO SG 350-28 ist für VLANs eingerichtet. Beim Switch selber habe ich IPV4 und IPV6 Routing deaktiviert. Funktioniert somit als Layer 2 Switch. (Spars dir, ich hab halt die Kohle 😉)

Switch Port 1 (Verbindung zu LAN1 der PFSense)
    • Als Trunk
    • VLAN 1 untagged
    • VLAN 10, 20, 30, 40, 50 tagged (Alle VLANs die es auf dem Swicth gibt)

Switch Port 2 & 3 (Verbindung zu WLAN AccesPoint 1 & 2)
    • Als Trunk
    • VLAN 1 untagged
    • VLAN 10, 30, 40, 50 tagged (Alle VLANs die vom AP über die verschiedenen SSIDs kommen).

Switch Port 4-28 momentan untagged für VLAN 1 (Ist ja standard)
Wenn ich mich jetzt in einen beliebigen Port von 4-28 stecke, bekommt dieses Gerät eine Verbindung in das Netz 192.168.1.0/24 und demnach über DHCP eine IP in diesem Netz. In diesem Netz sind auch meine "Verwaltungsgeräte" (PFSense, Switch, AccesPoint, Unifi Controller) erreichbar.


Frage bezüglich dieser Dynamik VLAN Geschichte. Finde da den Wald vor lauter Bäumen nicht
  1. Wie kann ich es machen das wenn ich mich in einen Port stöpsele ich pauschal erstmal im VLAN 50 für Gäste lande?
  2. Dann wollte ich spezielle MAC Adressen an diesen Ports in andere VLANs bringen. Z.B. meinen eigenen Laptop den ich per LAN Kabel anstöpsele immer ins VLAN 10. Das sollte dann für alle Ports gelten also egal wo ich mich einstöpsele landen die Devices in den entsprechenden VLANs. Das geht ja so wie ich es verstanden habe nur über einen Radius Server?
  3. Wie muss ich die Ports am Switch konfigurieren?
  4. Wie die Geschichte mit dem Radius Server die ich am liebsten in der PFSense und nicht auf dem Switch machen möchte?
aqui
aqui 02.04.2020 aktualisiert um 11:05:44 Uhr
Goto Top
Zu deinen Fragen:
1.)
Mit dynamischen VLANs und Radius ??
Das geht so:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Du musst dazu einen Radius Server im Netz haben. Idealerweise das FreeRadius Package auf der pfSense oder FreeRadius auf einem NAS usw.
2.)
Soll das auch dynamisch gehen ??
Wenn ja ist es das gleiche Verfahren wie unter 1.) Anhand der Mac Adresse bestimmst du das VLAN. Kennt der Switch die Mac Adresse nicht landet alles im VLAN 50. Fertisch...
Geht mit dynamsichen VLANs problemlos.
Alternativ ohne Dynamik musst du den Port immer statisch dem VLAN zuweisen. (Port based VLANs)
3.)
dot1x

4.)
Wie oben schon gesagt: FreeRadius Package auf der pfSense (System --> Package Manager) !
reerad

Fertisch !
Jensano
Jensano 03.04.2020 um 21:44:22 Uhr
Goto Top
Die Anleitungen in allen Ehren, aber danach bin ich doch nicht in der Lage sowas funktionsfähig zu konfigurieren. Da fehlen doch Teile. Gut wenn man eh weis wie es geht dann kann man den Rest interpolieren aber als Anfänger?
Ich habe mir auch ein Video von Cisco angeschaut. Die Frau sagt doch im ernst "You successfully configured your MAC Authentication Settings" Die hat nicht ein Gerät damit ins Netz genommen! Da ist nichts mit successfully.
Und die geht auf deine Einstellungen gar nicht ein. Die geht einfach zum Reiter "Mac Based Authentication" Auch nichts wie in deinem Tutorial mit dem Radius Server.
"Du machst in deinen Tutorials "Clients für die 802.1x Zugangskontrolle einrichten" und stellst dabei an den Client PCs rum.
Warum? Der soll stumpf seine MAC übertragen und ich sage dann welches VLAN er bekommt. Mein Drucker z.B. kann sowas doch auch gar nicht und ich will nicht jeden Teilnehmer separat befummeln.

Das Gäste VLAN sagt Cisco muss man wie in dem von dir gezeigten Screenshot Global aktivieren. Aber damit ist es doch nicht getan? Das muss man auch pro Port aktivieren oder nicht?
Global
2020-04-03 18_15_36
Port Einstellungen
2020-04-03 21_21_53

Müssen vorher die Ports speziell konfiguriert werden?
2020-04-03 18_05_59

Müssen VLANs den Ports zugewiesen werden?
2020-04-03 17_59_04

Die PFSense ud die APs einrichten hat Spaß gemacht, aber das hier verlangt mir gerade alles ab 🤯 beim Radius Server aufsetzen (Brauch ich das echt wenn ich nur sagen möchte MAC XY soll ins VLAN XY, egal an welchem Port er hängt) bin ich ja noch gar nicht. Aber auch hier denke ich schon darüber nach muss ich doch dem Switch sagen welchen Radius Server er befragen soll? Nur wo?
tech-flare
tech-flare 03.04.2020 aktualisiert um 21:52:36 Uhr
Goto Top
Müssen VLANs den Ports zugewiesen werden?
2020-04-03 17_59_04

Aber auch hier denke ich schon darüber nach muss ich doch dem Switch sagen welchen Radius Server er befragen soll? Nur wo?
Schau mal auf dein letztes Bild......Bei Security.....Da steht es doch dort ;)
aqui
aqui 04.04.2020 aktualisiert um 09:30:54 Uhr
Goto Top
Brauch ich das echt wenn ich nur sagen möchte MAC XY soll ins VLAN XY, egal an welchem Port er hängt
Ja, brauchst du. Ohne das geht es nicht, jedenfalls nicht die dynamische VLAN Zuweisung nach Mac oder .1x Login Credentials.
Alternative ist dann nur die Port Security. Da merkt sich der Port statisch die Mac die reindarf, mehr aber auch nicht. VLAN musst du da auch wieder statisch zuweisen.
Dynamische VLANs nur mit Radius !
Im Grunde ist es kinderleicht, denn du musst nix weiter machen als 802.1x auf den Ports aktivieren die du so kontrollieren willst. Den Rest macht komplett der Radius Server.
Jensano
Jensano 04.04.2020 um 23:40:33 Uhr
Goto Top
Ich schaff es nicht ein Rechner in ein MAC Based VLAN zu stecken. Ich habe jetzt folgendes gemacht.

Security / 802.1X Authentication / Properties
2020-04-04 20_04_38
  • Hier erstmal Port-Based Authentication auf aktiviert damit überhaupt irgendeine Authentication an den Ports genutzt werden kann.
  • Und die Authentication Method auf Radius gestellt damit zwingend eine Antwort vom Radius Server auf eine Anfrage kommen muss. "Radius, None" würde bei "Radius Server Down" den Port einfach authorisieren. Dann wahrscheinlich im VLAN 1.
  • Guest VLAN auf Enable gestellt, damit Geräte die nicht authentifziert werden im Gäste VLAN landen.
  • Dazu die Guest VLAN ID auf 90 gestellt, da das meine Gäste VLAN ID ist.

Security / 802.1X Authentication / Port Authentication
2020-04-04 23_10_32
  • Administrative Port Control auf Auto gestellt. Bei "Force Unauthorized" würde keine Authentifizierung am Port möglich sein, bei "Force Authorized" hört sich die Doku schauderich an. Authorizes the interface without authentication Wobei ich mich wieder fragen würde als was? VLAN 1? Aber egal.
  • RADIUS VLAN Assignment auf Reject gestellt. Bedeutet wenn der Radius Server die MAC Adresse kennt, ich aber keine VLAN eingetragen habe, dann wird der Client abgelehnt. Finde wenn ich jemanden im Radius Server hinterlegt habe und die VLAN vergessen habe dann gehört der abgelehnt. Keine Ahnung in welches VLAN der ansonsten gesteckt werden würde. Guest VLAN ist ja nur für unauthorisierte Ports.
  • Guest VLAN auf aktiviert damit unauthorisierte Ports in das Gäste VLAN kommen können. Also wenn die Rechner MAC nicht im Radius hinterlegt ist.
  • 802.1x Based Authentication auf aktiviert gestellt. Warum man das extra machen muss trotz der Aktivierung von Radius auf dem Port die ja nur damit funktioniert erschließt sich mir nicht. Müsste mit der Aktivierung von Radius standardmäßig mit aktiviert werden.
  • Periodic Reauthentication auf aktiviert damit wenn man VLAN IDs im Radius ändert die Reauthentication von bereits angeschlossenen Geräten auch stattfindet. Sonst bleiben die in ihrem alten VLAN hängen. (So klingt das jedenfalls)
Der Rechner an dem Port 4 ist nun offline. Müsste doch bis jetzt eigentlich im Gäste VLAN landen da noch nichts im Radius konfiguriert ist???

Das erstmal bis hier. Als nächstes müsste man unter Security / Radius Client den Radius Server angeben den ich vor habe auf der PFSense zu installieren. Das aber erst morgen. Könnt ihr das oben geschrieben bis hier kommentieren? SInd da Fehler oder falsch verstandene Sachen von mir? Warum ist der Rechner nicht im VLAN 90 gelandet?
aqui
aqui 05.04.2020 aktualisiert um 11:36:33 Uhr
Goto Top
802.1x Based Authentication auf aktiviert gestellt.
Nein, denn hier stellst du ein ob der Port generell über die 802.1x Credentials (Username/Password) authentisiert wird oder über die Mac Adresse (Mac Passthrough). Wenn du rein nur über die Mac Authentisierung die Endgeräte authentisieren willst muss hier natürlich Mac Authentication angehakt werden.
Was man in deiner Konfig komplett vermisst ist der Radius Server !
  • Wie sieht dort deine Konfig aus ?
  • Was hat er im Log wenn ein nicht authorisierter Client und ein authorisierter sich an Port 4 anmeldet ?
All das kann man ja nicht sehen. Das Fallback in das Gäste VLAN passiert dann wenn der Switch ein Radius Authentication Failed Packet zurückbekommt. Bzw. Authentisierung und VLAN Zuordnung dann wenn der Client dem Radius bekannt ist.
Als nächstes müsste man unter Security / Radius Client den Radius Server angeben
Richtig !
SInd da Fehler oder falsch verstandene Sachen von mir?
Nein soweit alles richtig nur das du zw. 802.1x und Mac Auth dich entscheiden musst.
Warum ist der Rechner nicht im VLAN 90 gelandet?
Weil gar keine Antwort vom Radius gekommen ist ?!?
Jensano
Jensano 05.04.2020 um 12:30:17 Uhr
Goto Top
Das ganze Thema hat als Überschrift (siehe linke Menüzeile) 802.1X Authentication. Das soll ich aber in den Security / 802.1X Authentication / Port Authentication NICHT aktivieren? Ich dachte das ist das DACH von dem ganzen.

Stattdessen also MAC Based Authentication in den Security / 802.1X Authentication / Port Authentication aktivieren. Dafür gibt es unterhalb 802.1X Authentication auch ein extra Menüeintrag. Muss da was gemacht werden?
2020-04-05 12_00_46

Die Bedienungsanleitung gibt mir da Fragen auf. Dort steht :
Zitat Bedienungsanleitung CISCO
MAC Based Authentication—Select to enable port authentication based on the supplicant MAC address. Only 8 MAC-based authentications can be used on the port.
NOTE For MAC authentication to succeed, the RADIUS server supplicant username and password must be the supplicant MAC address. The MAC address must be in lower case letters and entered without the. or - separators; for example: 0020aa00bbcc.
Was ist mit Only 8 MAC-based gemeint? Ich dachte der schaut im Radius Server nach was da dann eingetragen ist. Da darf ich jetzt nur 8 MAC Adressen eintragen oder wie?

Ich dachte dieser MAC authentication Sektor ist noch irgendwas separates statisches wesegen die Frau von CISCO im Video das auch recht kurz und ohne RadiusServer erklärt hat.

Zitat von @aqui:
Warum ist der Rechner nicht im VLAN 90 gelandet?
Weil gar keine Antwort vom Radius gekommen ist ?!?
Laut Bedienungsanleitung landen nicht Authorisierte Ports im Gäste VLAN. Für mich ist das der Fall wenn ein Radiusserver nicht erreichbr ist. Denn dann sind die Ports ja nicht authorisiert, weshalb der Status von Port 4 ja auch auf unauthorized steht. Somit gehört der doch ins Gäste VLAN??

Zitat Bedienungsanleitung CISCO
Guest VLAN—Select to enable the use of a guest VLAN for unauthorized ports. If a guest VLAN is enabled, all unauthorized ports automatically join the VLAN selected in the Guest VLAN ID field. If a port is later authorized, it is removed from the guest VLAN.
aqui
aqui 05.04.2020 um 14:58:48 Uhr
Goto Top
Ich dachte das ist das DACH von dem ganzen.
Das ist es auch und muss man natürlich auch aktivieren sonst funktioniert der ganze Spaß natürlich nicht. Mac Passthrough ist eine Unterfunktion von 802.1x, denn es nutzt das gleiche Umfeld.
Bei Mac Authentication:
  • Auth Type = Radius
  • Case = Stellt ein ob die Mac Adressen in Klein- oder Großschrift kommen sollen
  • Passwort ist das Radius Server Passwort indem sich die Authenticator (Switch usw.) am Radius selber authentisieren. Guckst du hier: https://de.wikipedia.org/wiki/IEEE_802.1X
Group sollte bei Umstellung auf Radius verschwinden
Was ist mit Only 8 MAC-based gemeint?
Es können max. 8 Mac Adressen zusammen an einem Port authentisiert werden. In der Regel hat man da ja nur ein Endgerät also eine Mac. Du kannst aber einen kleinen doofen ungemanagten 5 Port Switch anschliessen und diese 5 Ports bzw. Macs dann über ein Port auch authentisieren und wechselseitig anderen VLANs dynamisch zuordnen. Das meint die "8".
ch dachte dieser MAC authentication Sektor ist noch irgendwas separates statisches
Ja, das nennt sich Port Security. Da kann man statisch macs einem festen Port zuordnen. Der Switch "merkt" sich dann statisch an welchem Port er welche Macs zulässt. Ist aber ne ganz andere Funktion und dynamische VLANs sind damit nicht möglich !
Jensano
Jensano 05.04.2020 aktualisiert um 19:49:57 Uhr
Goto Top
Ok. Der Radius Server ist etwas später drann. Jetzt muss ich das erstmal hinbekommen das Devices ins VLAN90 (Gäste VLAN) huschen wenn man sie nicht kennt, bzw. wenn der Radius Server wie eben auch gar nicht aktiv ist.

Das LOG sagt gerade wenn ich den PC neu einstöpsele folgendes:
2020-04-05 19_00_52

Ich habe unter Cisco / MAC Address Tabels / Dynamic Addresses noch folgendes gefunden. Danach scheint ja das VLAN 90 auf Port 4 aktiv zu sein. Auch die MAC Adresse die dort angezeigt wird gehört zu dem Rechner der an Port 4 steckt. In PFSense / Status / DHCP Leases (auch wenn die Anzeigen dort immer sehr asynchron sind) wird der auch angezeigt.
Das ganze schwankt nur dauernd zwischen offline und online. Auch im Switch kann ich mal die VLAN90 beim Port 4 sehen und kurz darauf ist sie wieder weg.
Ich kann die 192.168.90.202 auch nicht pingen oder drauf zugreifen.
Irgendwas funktioniert wohl noch nicht richtig.
2020-04-05 19_08_02
2020-04-05 19_34_55
aqui
aqui 06.04.2020 um 10:11:53 Uhr
Goto Top
Danach scheint ja das VLAN 90 auf Port 4 aktiv zu sein. Auch die MAC Adresse die dort angezeigt wird gehört zu dem Rechner der an Port 4 steckt.
Kannst du ja ganz einfach mal testen indem du testweise eine Switch IP Adresse in das VLAN 90 hängst. Wenn du die mit dem Client an Port 4 anpingen kanst...Bingo, das wars dann ! Dann brauchst du einen Konjunktiv mehr bemühren hier. face-wink
Alternativ kannst du ja auch deine VLAN 90 IP der pfSense anpingen !
auch wenn die Anzeigen dort immer sehr asynchron sind
Dann hast du im pfSense DHCP Server einen Konfig Fehler begangen !!
Die Uhr sollte man schon richtig setzen damit es dann wieder sauber passt:
dhcpuhr
Und auch den NTP Server auf einen der richtigen in D einstellen: https://www.heise.de/ct/hotline/Oeffentliche-Zeitquellen-322978.html
Die Anzeige der Leasing Daten funktioniert fehlerlos in der pfSense !
GE1 und GE4 werden doch fehlerlos dem VLAN 90 zugewiesen wenn dein Screenshot stimmt ?!
Du solltest erstmal einen Port statisch dem VLAN 90 zuweisen und dort ZUERST mal wasserdicht testen das IP Adresse per DHCP usw. zugeteilt werden und Pingen (ICMP) klappt. Ist das der Fall kannst du dann mit der Port Dynamik weitermachen. Soviel zur strategischen Reihenfolge...
Ich kann die 192.168.90.202 auch nicht pingen oder drauf zugreifen.
Ist das die pfSense IP ??
Wenn ja, hast du entsprechende Regeln am FW VLAN 90 Port der ICMP zulässt ?