kartoffelesser
Goto Top

Radiusserverabfrage samt IP-Vergabe funktioniert ohne Auth Einstellungen im vorgeschalteten Switch - Warum?

Hallo Admins,
als kleiner Admin möchte ich eine Verständnisfrage an die Großen Admins stellen.

In einem Testnetz stehen eine Firewall, ein Router mit DHCP Server, ein Switch und ein Radius Server. An den Switchports befinden sich einige Hosts. Alle Geräte sind im selben Netz (192.168.1.0).

Auf dem Radius Server sind die MAC Adressen der Hosts eingetragen. Die Hosts bekommen nach einer Auth-Prüfung auf dem Radiusserver ihre IPs. Soweit funktioniert alles prima face-smile

Auf dem Switch kann ich unter Einstellungen, AAA, Radiusserver meinen Radiusserver samt Port1812 und Shared Secret eintragen. Des weiteren kann ich eine MAC Authentifikation pro Port aktivieren.

Jetzt meine Frage:
Dies alles habe ich nicht eingetragen aber trotzdem funktioniert meine Radiusserver Authentifizierung mit anschließender IP Zuweisung. Warum? Oder anders gefragt welchen Vorteil hätte ich durch die o.g. Eintragungen?

Weitere Infos:
Im Radiusserver habe ich nur die MAC Adresse der Hosts ohne ein weiteres Passwort eingetragen. Das Shared Secret steht in den Routerdetails auf dem Radiusserver. Der DHCP Server hat in seinen Einstellung den Hinweis "Benutze den Radiusserver" aktiviert bekommen und im Radiusclient auf dem Router steht ebenfalls das Shared Secret.


Vielen Dank freue mich über jede Antwort

Content-ID: 4616478611

Url: https://administrator.de/contentid/4616478611

Ausgedruckt am: 24.11.2024 um 02:11 Uhr

tikayevent
tikayevent 13.11.2022 um 20:37:16 Uhr
Goto Top
Dies alles habe ich nicht eingetragen aber trotzdem funktioniert meine Radiusserver Authentifizierung mit anschließender IP Zuweisung. Warum? Oder anders gefragt welchen Vorteil hätte ich durch die o.g. Eintragungen?
Bist du sicher, dass die Anfrage vom Switch an den designierten RADIUS-Server geht und dieser diese auch positiv beantwortet?

Eine IP-Vergabe per RADIUS in einem Ethernet-basierten Netzwerk wäre mir nämlich auch neu. Hier wäre nämlich der DHCP-Server verantwortlich und den interessiert der RADIUS-Server erstmal nicht. In wie weit deine Einstellungen da etwas anderes bewirken, kann ich aufgrund der Faktenlage nicht bewerten.

Sprich es kann durchaus sein, dass deine Ports einfach "offen" sind oder über eine andere Technik geöffnet werden (Port Security, 802.1X Guest VLAN und Fail-Open-Policy mal als Beispiel genannt)

Wie der Switch die Benutzeranlage benötigt musst du in Erfahrung bringen. Manche Switches haben ein vordefiniertes Passwort, welches für alle gilt und nur die MAC-Adresse ist signifikant, andere benötigen als Passwort ebenfalls die MAC-Adresse in einem bestimmten Format.
kartoffelesser
kartoffelesser 13.11.2022 um 22:49:33 Uhr
Goto Top
Hallo tikayevent,
vielen Dank für deine Antwort!

"Bist du sicher, dass die Anfrage vom Switch an den designierten RADIUS-Server geht und dieser diese auch positiv beantwortet?"
-> ich meine schon weil nur eingetragene MAC Adressen eine IP bekommen

"Eine IP-Vergabe per RADIUS in einem Ethernet-basierten Netzwerk wäre mir nämlich auch neu. Hier wäre nämlich der DHCP-Server verantwortlich und den interessiert der RADIUS-Server erstmal nicht."
-> die Host bekommen ihre IP vom DHCP Server der auf dem Router "sitzt". In den Einstellungen des DHCP Servers kann ich die Radiusserverabfrage festlegen. Gibt es eine passende MAC Adresse gibt es eine IP.

"Sprich es kann durchaus sein, dass deine Ports einfach "offen" sind oder über eine andere Technik geöffnet werden (Port Security, 802.1X Guest VLAN und Fail-Open-Policy mal als Beispiel genannt)"
-> die von dir genannten Optionen werde ich versuchen zu überprüfen... Da steckt (für mich) viel Lerneinsatz drin....

Gruß
tikayevent
tikayevent 13.11.2022 um 23:14:26 Uhr
Goto Top
die Host bekommen ihre IP vom DHCP Server der auf dem Router "sitzt". In den Einstellungen des DHCP Servers kann ich die Radiusserverabfrage festlegen. Gibt es eine passende MAC Adresse gibt es eine IP.
Sicher, dass der DHCP-Server in deinem Router RADIUS zur Autorisierung nutzt und nicht zum Accounting? Meine Router haben auch eine RADIUS-Integration im DHCP-Server, diese dient aber nur zum Accounting/Logging, damit man den RADIUS-Server als Informationssammelstelle nutzen kann.
kartoffelesser
kartoffelesser 14.11.2022 um 09:02:57 Uhr
Goto Top
Danke für den Tipp! Werde es heute überprüfen.
aqui
aqui 14.11.2022 um 10:06:36 Uhr
Goto Top
Der TO hat sicher eine statische Mac Adresse Security (Mac Port Security) konfiguriert und keine 802.1x/Mac Bypass via Radius. Gute Switches können meist beides und Anfänger verwechseln das oft.
aqui
aqui 18.11.2022 um 16:47:23 Uhr
Goto Top
Wenns das denn war, bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!