Umstellung von MAC-Filterung auf RADIUS
Guten Tag,
In unserem Studentenwohnheim wollen wir den Netzwerkzugang auf eine Authentifizierung per RADIUS umstellen. Aktuell tragen wir noch die MAC-Adressen der freigeschalteten Geräte ein, was natürlich recht unsicher ist und außerdem ein großer Verwaltungsaufwand.
Wir haben:
Zur Umsetzung haben wir noch zwei Fragen:
In unserem Studentenwohnheim wollen wir den Netzwerkzugang auf eine Authentifizierung per RADIUS umstellen. Aktuell tragen wir noch die MAC-Adressen der freigeschalteten Geräte ein, was natürlich recht unsicher ist und außerdem ein großer Verwaltungsaufwand.
Wir haben:
- knapp 100 Bewohner mit ca 350 Geräten
- Pfsense 2.2.4 als Firewall (AMD Athlon 64 X2 3800+, 4 GB RAM)
- RADIUS-fähige Switche und AP's
- die AP's sind im LAN mit angeschlossen
Zur Umsetzung haben wir noch zwei Fragen:
- Wir würden gerne den FreeRADIUS als RADIUS-Server benutzen. Jetzt gibt es für Pfsense ein freeradius2-package. Macht es Sinn das Package zu benutzen oder sollen wir besser einen eigenen Server für FreeRADIUS benutzen?
- Ist es möglich pro Benutzer einen IP-Bereich zu vergeben? Aktuell weisen wir den Geräten der Bewohner zur Zimmernummer passende IP-Adressen zu.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 287324
Url: https://administrator.de/forum/umstellung-von-mac-filterung-auf-radius-287324.html
Ausgedruckt am: 26.04.2025 um 18:04 Uhr
3 Kommentare
Neuester Kommentar
Man kann ja auch Mac Authentisierung zentral mit Radius machen, was auch der übliche Weg wäre. Aber in der Tat Mac Adressen sind kinderleicht frei konfigurierbar und biten letztlich keinerlei Sicherheit wie du auch hier an einem aktuellen Thread sehen kannst:
Es macht also duschaus Sinn etwas schärfere Geschütze aufzufahren wie du ja planst.
Zu deinen Fragen:
1.)
In puncto Skalierbarkeit solltest du einen eigenen Server nehmen z.B. auf einem NUC oder als VM. Am besten natürlich 2 oder spiegeln um entsprechend redundanz zu haben, denn der zentrale Zugang wird dann auf diesem Server basieren.
Hier siehst du schon das das Package auf der pfSense so komfortable es auch ist nicht ganz das Optimum ist für dich.
2.)
Ja, das geht erfordert aber etwas mehr Aufwand bei der Einrichtung. 802.1x bietet selber von sich aus keine Möglichkeit eine IP fest zuzuweisen, das musst du dann mit anderen Mitteln wie DHCP Nailing usw. machen.
Grundlagen findest du hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Management Server mit Raspberry Pi
Es macht also duschaus Sinn etwas schärfere Geschütze aufzufahren wie du ja planst.
Zu deinen Fragen:
1.)
In puncto Skalierbarkeit solltest du einen eigenen Server nehmen z.B. auf einem NUC oder als VM. Am besten natürlich 2 oder spiegeln um entsprechend redundanz zu haben, denn der zentrale Zugang wird dann auf diesem Server basieren.
Hier siehst du schon das das Package auf der pfSense so komfortable es auch ist nicht ganz das Optimum ist für dich.
2.)
Ja, das geht erfordert aber etwas mehr Aufwand bei der Einrichtung. 802.1x bietet selber von sich aus keine Möglichkeit eine IP fest zuzuweisen, das musst du dann mit anderen Mitteln wie DHCP Nailing usw. machen.
Grundlagen findest du hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Management Server mit Raspberry Pi
In puncto Skalierbarkeit solltest du einen eigenen Server nehmen z.B. auf einem NUC oder als VM.
Wie potent sollte denn der NUC/Server sein, um bei ca 120 Benutzern nicht ins straucheln zu kommen. Reicht da z.B. dieser hier Intel NUC5PGYH
wenn ichda auch noch einen LDAP mit FrontEnd drauf laufen lassen möchte.
Ja, das geht erfordert aber etwas mehr Aufwand bei der Einrichtung. 802.1x bietet selber von sich aus keine Möglichkeit eine IP fest zuzuweisen, das musst du dann mit anderen Mitteln wie DHCP Nailing usw. machen.
Kann jetzt gerade mit DHCP Nailing nicht anfangen und auch die Ergebnisse von Google sind nicht gerade aufschlussreich. Würde aber mal auf Anhieb sagen, das es heißt die Geräte manuell einzutragen um die IP-Adresse zu vergeben.
Wie potent sollte denn der NUC/Server sein, um bei ca 120 Benutzern nicht ins straucheln zu kommen
Da kannst du das allerkleinste Modell nehmen. Dafür reicht sogar ein RaspberryPi vollkommen aus.Kann jetzt gerade mit DHCP Nailing nicht anfangen
Das ist wenn der DHCP Server einem Endgerät auf Basis dessen Mac Adresse immer eine feste IP zuteilt.
