6
Radiusserverabfrage samt IP-Vergabe funktioniert ohne Auth Einstellungen im vorgeschalteten Switch - Warum?
Hallo Admins,
als kleiner Admin möchte ich eine Verständnisfrage an die Großen Admins stellen.
In einem Testnetz stehen eine Firewall, ein Router mit DHCP Server, ein Switch und ein Radius Server. An den Switchports befinden sich einige Hosts. Alle Geräte sind im selben Netz (192.168.1.0).
Auf dem Radius Server sind die MAC Adressen der Hosts eingetragen. Die Hosts bekommen nach einer Auth-Prüfung auf dem Radiusserver ihre IPs. Soweit funktioniert alles prima
Auf dem Switch kann ich unter Einstellungen, AAA, Radiusserver meinen Radiusserver samt Port1812 und Shared Secret eintragen. Des weiteren kann ich eine MAC Authentifikation pro Port aktivieren.
Jetzt meine Frage:
Dies alles habe ich nicht eingetragen aber trotzdem funktioniert meine Radiusserver Authentifizierung mit anschließender IP Zuweisung. Warum? Oder anders gefragt welchen Vorteil hätte ich durch die o.g. Eintragungen?
Weitere Infos:
Im Radiusserver habe ich nur die MAC Adresse der Hosts ohne ein weiteres Passwort eingetragen. Das Shared Secret steht in den Routerdetails auf dem Radiusserver. Der DHCP Server hat in seinen Einstellung den Hinweis "Benutze den Radiusserver" aktiviert bekommen und im Radiusclient auf dem Router steht ebenfalls das Shared Secret.
Vielen Dank freue mich über jede Antwort
als kleiner Admin möchte ich eine Verständnisfrage an die Großen Admins stellen.
In einem Testnetz stehen eine Firewall, ein Router mit DHCP Server, ein Switch und ein Radius Server. An den Switchports befinden sich einige Hosts. Alle Geräte sind im selben Netz (192.168.1.0).
Auf dem Radius Server sind die MAC Adressen der Hosts eingetragen. Die Hosts bekommen nach einer Auth-Prüfung auf dem Radiusserver ihre IPs. Soweit funktioniert alles prima
Auf dem Switch kann ich unter Einstellungen, AAA, Radiusserver meinen Radiusserver samt Port1812 und Shared Secret eintragen. Des weiteren kann ich eine MAC Authentifikation pro Port aktivieren.
Jetzt meine Frage:
Dies alles habe ich nicht eingetragen aber trotzdem funktioniert meine Radiusserver Authentifizierung mit anschließender IP Zuweisung. Warum? Oder anders gefragt welchen Vorteil hätte ich durch die o.g. Eintragungen?
Weitere Infos:
Im Radiusserver habe ich nur die MAC Adresse der Hosts ohne ein weiteres Passwort eingetragen. Das Shared Secret steht in den Routerdetails auf dem Radiusserver. Der DHCP Server hat in seinen Einstellung den Hinweis "Benutze den Radiusserver" aktiviert bekommen und im Radiusclient auf dem Router steht ebenfalls das Shared Secret.
Vielen Dank freue mich über jede Antwort
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4616478611
Url: https://administrator.de/contentid/4616478611
Printed on: April 27, 2024 at 13:04 o'clock
6 Comments
Latest comment
Dies alles habe ich nicht eingetragen aber trotzdem funktioniert meine Radiusserver Authentifizierung mit anschließender IP Zuweisung. Warum? Oder anders gefragt welchen Vorteil hätte ich durch die o.g. Eintragungen?
Bist du sicher, dass die Anfrage vom Switch an den designierten RADIUS-Server geht und dieser diese auch positiv beantwortet?Eine IP-Vergabe per RADIUS in einem Ethernet-basierten Netzwerk wäre mir nämlich auch neu. Hier wäre nämlich der DHCP-Server verantwortlich und den interessiert der RADIUS-Server erstmal nicht. In wie weit deine Einstellungen da etwas anderes bewirken, kann ich aufgrund der Faktenlage nicht bewerten.
Sprich es kann durchaus sein, dass deine Ports einfach "offen" sind oder über eine andere Technik geöffnet werden (Port Security, 802.1X Guest VLAN und Fail-Open-Policy mal als Beispiel genannt)
Wie der Switch die Benutzeranlage benötigt musst du in Erfahrung bringen. Manche Switches haben ein vordefiniertes Passwort, welches für alle gilt und nur die MAC-Adresse ist signifikant, andere benötigen als Passwort ebenfalls die MAC-Adresse in einem bestimmten Format.
Hallo tikayevent,
vielen Dank für deine Antwort!
"Bist du sicher, dass die Anfrage vom Switch an den designierten RADIUS-Server geht und dieser diese auch positiv beantwortet?"
-> ich meine schon weil nur eingetragene MAC Adressen eine IP bekommen
"Eine IP-Vergabe per RADIUS in einem Ethernet-basierten Netzwerk wäre mir nämlich auch neu. Hier wäre nämlich der DHCP-Server verantwortlich und den interessiert der RADIUS-Server erstmal nicht."
-> die Host bekommen ihre IP vom DHCP Server der auf dem Router "sitzt". In den Einstellungen des DHCP Servers kann ich die Radiusserverabfrage festlegen. Gibt es eine passende MAC Adresse gibt es eine IP.
"Sprich es kann durchaus sein, dass deine Ports einfach "offen" sind oder über eine andere Technik geöffnet werden (Port Security, 802.1X Guest VLAN und Fail-Open-Policy mal als Beispiel genannt)"
-> die von dir genannten Optionen werde ich versuchen zu überprüfen... Da steckt (für mich) viel Lerneinsatz drin....
Gruß
vielen Dank für deine Antwort!
"Bist du sicher, dass die Anfrage vom Switch an den designierten RADIUS-Server geht und dieser diese auch positiv beantwortet?"
-> ich meine schon weil nur eingetragene MAC Adressen eine IP bekommen
"Eine IP-Vergabe per RADIUS in einem Ethernet-basierten Netzwerk wäre mir nämlich auch neu. Hier wäre nämlich der DHCP-Server verantwortlich und den interessiert der RADIUS-Server erstmal nicht."
-> die Host bekommen ihre IP vom DHCP Server der auf dem Router "sitzt". In den Einstellungen des DHCP Servers kann ich die Radiusserverabfrage festlegen. Gibt es eine passende MAC Adresse gibt es eine IP.
"Sprich es kann durchaus sein, dass deine Ports einfach "offen" sind oder über eine andere Technik geöffnet werden (Port Security, 802.1X Guest VLAN und Fail-Open-Policy mal als Beispiel genannt)"
-> die von dir genannten Optionen werde ich versuchen zu überprüfen... Da steckt (für mich) viel Lerneinsatz drin....
Gruß
die Host bekommen ihre IP vom DHCP Server der auf dem Router "sitzt". In den Einstellungen des DHCP Servers kann ich die Radiusserverabfrage festlegen. Gibt es eine passende MAC Adresse gibt es eine IP.
Sicher, dass der DHCP-Server in deinem Router RADIUS zur Autorisierung nutzt und nicht zum Accounting? Meine Router haben auch eine RADIUS-Integration im DHCP-Server, diese dient aber nur zum Accounting/Logging, damit man den RADIUS-Server als Informationssammelstelle nutzen kann.
Danke für den Tipp! Werde es heute überprüfen.
Der TO hat sicher eine statische Mac Adresse Security (Mac Port Security) konfiguriert und keine 802.1x/Mac Bypass via Radius. Gute Switches können meist beides und Anfänger verwechseln das oft.
1
Wenns das denn war, bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!