3
MS NPS + Switch + WLAN AP Verständnisproblem?
Hallo, mir brummt die Birne!
Ich habe ein Projekt gewählt welches wohl evtl. nicht so funktioniert wie gewünscht!
Bzw. ich es gerne hätte.
Folgende Soll Funktion:
Radius (MS Nps) soll sich um die Authentifizierung im Netzwerk kümmern.
Für Ethernet sowie WLAN.
Dies geschieht per Zertifikat welches an Domänen Computer per GPO ausgerollt wird.
Pc‘s ohne Zertifikat werden vom Lancom Gs 3510xp in ein Gast Vlan (20) geschickt.
Das Gast VLan wird vom Lancom Router bereitgestellt.
Der Lancom Router stellt lediglich das Internet zur Verfügung sowie VLans und ist im Firmen internen Netz wo auch die die Domänen Computer stecken.
VLan 1 untagged 10.0.0.0/24
VLan 20 tagged 10.0.20.0/24
Radius Server Inkl. DC CA DNS und DHCP 10.0.0.1
Angeschlossen am Switch Port 1 der auf Force Authorized unter Security/802.1x steht.
Radius Client Lancom Switch GS3510xp
In diesem ist Port 1 auch als Hybrid Port unter VLan für VLan 1 untagged und VLAN 20 Tagged angelegt.
An Port 4 und 5 des Switches ist Single 802.1x aktiviert sowie Enable Guest VLAN aktiviert.
Schließe ich nun an Port 4 o. 5 einen Pc mit Zertifikat an, wird dieser (auch per MS NET Monitor nachzuvollziehen) auch Acceptet und bekommt eine IP Config vom DHCP und kann sich wie gewünscht im Netz bewegen.
Pc ohne Zertifikat wird ins Guest VLAN befördert. Dort kann er halt nur ins Internet.
Soweit bin ich sehr zufrieden!
Außerdem gibt es einen Lancom WL-500 AP.
Und hier beginnt der Spaß!
Der AP ist derzeit an Port 8 am Switch.
-Port 8 auf Force Authorized.
AP ist so konfiguriert, das dieser als Radius Client wie der Switch an den Radius weiterleitet.
Nur mit dem unterschied das hier nicht Zertifikat bassiert gearbeitet wird, sondern mit den AD User Credentials.
Funktioniert super!
Und nach der Ellen langen Erklärung wie alles aufgebaut ist, hoffe ich auf den einen Administrator der sich mit Radius ausgezeichnet auskennt, und mir entweder sagt ist nicht möglich, oder mir die Richtung sagt in welche ich denken muss. 😬
Damit die ganze Geschichte makellos durch Radius sicherer ist, möchte ich das Port 8 nicht auf Force Authorized steht, sondern der AP sich durch ?!MAC-Adr?! Erst Authentifiziert oder durch eine andere Methode, und erst dann sich um die Supplicants kümmert.
Denn wenn ich als Eindringling nen Laptop an das AP Ethernet Kabel anbringe bin ich ja im Netz als würd es kein Radius geben und all die Mühe umsonst.
Ich habe soviel zum Thema Radius und Konfigurationen gelesen, das ich nun auf dem Schlauch stehe 😅
Und wenn wir grad dabei sind, welche Settings muss ich im NPS tätigen um MAC Authentifizierung als Bedingung zu konfigurieren?
Ich freue mich über eure Antworten, gewiss habe ich auch Infos unterschlagen, bin jedoch bemüht so schnell als möglich benötigte Infos bekannt zu geben.
Gruß Patrick
Ich habe ein Projekt gewählt welches wohl evtl. nicht so funktioniert wie gewünscht!
Bzw. ich es gerne hätte.
Folgende Soll Funktion:
Radius (MS Nps) soll sich um die Authentifizierung im Netzwerk kümmern.
Für Ethernet sowie WLAN.
Dies geschieht per Zertifikat welches an Domänen Computer per GPO ausgerollt wird.
Pc‘s ohne Zertifikat werden vom Lancom Gs 3510xp in ein Gast Vlan (20) geschickt.
Das Gast VLan wird vom Lancom Router bereitgestellt.
Der Lancom Router stellt lediglich das Internet zur Verfügung sowie VLans und ist im Firmen internen Netz wo auch die die Domänen Computer stecken.
VLan 1 untagged 10.0.0.0/24
VLan 20 tagged 10.0.20.0/24
Radius Server Inkl. DC CA DNS und DHCP 10.0.0.1
Angeschlossen am Switch Port 1 der auf Force Authorized unter Security/802.1x steht.
Radius Client Lancom Switch GS3510xp
In diesem ist Port 1 auch als Hybrid Port unter VLan für VLan 1 untagged und VLAN 20 Tagged angelegt.
An Port 4 und 5 des Switches ist Single 802.1x aktiviert sowie Enable Guest VLAN aktiviert.
Schließe ich nun an Port 4 o. 5 einen Pc mit Zertifikat an, wird dieser (auch per MS NET Monitor nachzuvollziehen) auch Acceptet und bekommt eine IP Config vom DHCP und kann sich wie gewünscht im Netz bewegen.
Pc ohne Zertifikat wird ins Guest VLAN befördert. Dort kann er halt nur ins Internet.
Soweit bin ich sehr zufrieden!
Außerdem gibt es einen Lancom WL-500 AP.
Und hier beginnt der Spaß!
Der AP ist derzeit an Port 8 am Switch.
-Port 8 auf Force Authorized.
AP ist so konfiguriert, das dieser als Radius Client wie der Switch an den Radius weiterleitet.
Nur mit dem unterschied das hier nicht Zertifikat bassiert gearbeitet wird, sondern mit den AD User Credentials.
Funktioniert super!
Und nach der Ellen langen Erklärung wie alles aufgebaut ist, hoffe ich auf den einen Administrator der sich mit Radius ausgezeichnet auskennt, und mir entweder sagt ist nicht möglich, oder mir die Richtung sagt in welche ich denken muss. 😬
Damit die ganze Geschichte makellos durch Radius sicherer ist, möchte ich das Port 8 nicht auf Force Authorized steht, sondern der AP sich durch ?!MAC-Adr?! Erst Authentifiziert oder durch eine andere Methode, und erst dann sich um die Supplicants kümmert.
Denn wenn ich als Eindringling nen Laptop an das AP Ethernet Kabel anbringe bin ich ja im Netz als würd es kein Radius geben und all die Mühe umsonst.
Ich habe soviel zum Thema Radius und Konfigurationen gelesen, das ich nun auf dem Schlauch stehe 😅
Und wenn wir grad dabei sind, welche Settings muss ich im NPS tätigen um MAC Authentifizierung als Bedingung zu konfigurieren?
Ich freue mich über eure Antworten, gewiss habe ich auch Infos unterschlagen, bin jedoch bemüht so schnell als möglich benötigte Infos bekannt zu geben.
Gruß Patrick
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 41655756642
Url: https://administrator.de/contentid/41655756642
Printed on: April 29, 2024 at 02:04 o'clock
3 Comments
Latest comment
Moin,
bezüglich Absicherung des AP Ports kannst du diesen am besten auf Shutdown setzen lassen sobald das Kabel entfernt wird.
Eine effektivere Lösung würde mir ohne NAC nicht einfallen.
Haben wir hier letztens noch diskutiert.
Gruß
Spirit
bezüglich Absicherung des AP Ports kannst du diesen am besten auf Shutdown setzen lassen sobald das Kabel entfernt wird.
Eine effektivere Lösung würde mir ohne NAC nicht einfallen.
Haben wir hier letztens noch diskutiert.
Gruß
Spirit
1
Deine Vorgehensweise ist absolut richtig und auch ein heute gängiges Verfahren AP Ports an Switche so abzusichern.
Alternativ könnte man zentral allen AP Traffic über CapWap und andere Protokolle tunneln an einen WLAN Controller aber das ist ein veraltetes Verfahren was wenig skalierbar ist und massiv Performance kostet. Ein Hauptgrund warum es heute größtenteils aus Setups verschwunden ist.
Du hast 2 Möglichkeiten das zu realisieren die du ja auch schon selber richtig beschreibst:
Der Radius hat dann schlicht und einfach als Usernamen und Passwort nur die Mac Adresse definiert. Oder alternativ sagt man dem Radius das er gleich ein Access accept senden soll wenn die Mac erkannt wurde.
Alles in allem ein klassisches und gängiges verfahren was millionenfach so im Einsatz ist. Wo genau sind denn nun deine spezifischen Fragen dazu?!
Grundlageninfos zu der Thematik findest du, wie immer, auch HIER.
Alternativ könnte man zentral allen AP Traffic über CapWap und andere Protokolle tunneln an einen WLAN Controller aber das ist ein veraltetes Verfahren was wenig skalierbar ist und massiv Performance kostet. Ein Hauptgrund warum es heute größtenteils aus Setups verschwunden ist.
Du hast 2 Möglichkeiten das zu realisieren die du ja auch schon selber richtig beschreibst:
- Einfach über Mac Bypass (MAB) also lediglich der Authentisierung der AP Mac Adresse über den Radius Server. Der Port ist dann grundkonfiguriert mit Native VLAN und tagged MSSID VLANs je nachdem ob du eine dynamische MSSID VLAN Zuweisung am AP machst oder nicht. Wird die AP Mac authentisiert ist der Switchport frei.
- Alternativ statt via MAB dann mit 802.1x. Das erfordert aber einen .1x Client auf dem AP der sich dann am Switchport mit seinen .1x Credentials authentisiert.
Settings muss ich im NPS tätigen um MAC Authentifizierung als Bedingung zu konfigurieren?
Gar keine! Du bestimmst immer am Switch oder AP ob dieser an dem spezifischen Port MAB oder 802.1x oder eine Kombination von beidem macht sofern supportet (sog. "Flexible Authentication)Der Radius hat dann schlicht und einfach als Usernamen und Passwort nur die Mac Adresse definiert. Oder alternativ sagt man dem Radius das er gleich ein Access accept senden soll wenn die Mac erkannt wurde.
Alles in allem ein klassisches und gängiges verfahren was millionenfach so im Einsatz ist. Wo genau sind denn nun deine spezifischen Fragen dazu?!
Grundlageninfos zu der Thematik findest du, wie immer, auch HIER.
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!
