802.1X richtig nutzen...

Es gibt 2 Antworten in diesem Thema, welches 5.337 mal aufgerufen wurde. Der letzte Beitrag () ist von Samhain.

    Hi,


    ich habe gestern versucht mit dem Radius im UDM-Pro eine MAC Authentifizierung mit 802.1x zu realisieren. Meine Absicht ist dann die Endgeräte so in die richtigen VLANs zu übergeben. So sind die Endgeräte nicht an einem bestimmten Port gebunden.


    Im Grunde hat alles soweit funktioniert bis auf das Fallback VLAN. Irgendwo scheint dann wohl noch ein Fehler zu sein...


    Was habe ich gemacht:


    1. Radius auf dem UDM-Pro aktiviert

    2. Im alten Menü unter Profile/Radius - UDM-Pro bearbeiten folgende Päckchen gesetzt (im neuen Menü habe ich die Optionen nicht gefunden):

    - RADIUS-zugewiesenes VLAN für kabelgebundene Netzwerke aktivieren

    - RADIUS-zugewiesenes VLAN für Drahlos-Netzwerke aktivieren

    3. Im neuen Menü unter Advanced Features auf dem Radius Server/Radius User ein Gerät erstellt. Benutzername und Passwort bestehend aus der MAC Adresse.

    4. Auf dem Switch 802.1X Control aktiviert. Dabei auch das Fallback VLAN angegeben.

    5. Im jeweiligen WiFi Netz unter MAC Authorization habe ich RADIUS MAC Authentification aktiviert. Ist das richtig? Der Switch überprüft ja auch...


    Bei den Switch-Ports habe ich unter 802.1X Steuerung folgende Möglichkeiten: Automatisch, Anmeldung erzwingen, Abmeldung erzwingen, MAC-basiert und Multi-Host


    Was genau bewirken diese Einstellungen? Ich konnte feststellen, dass wenn ich etwas anderes einstelle als Anmeldung erzwingen der AP sich nicht mehr im Management LAN befindet.


    Hat jemand hierzu Erfahrungen?


    Viele Grüße

    Hi!


    Ich habe mir dieses Thema jetzt abonniert.

    Ich kann Dir derzeit Deine Fragen zwar nicht beantworten.


    Aber dieses Thema ist eines was für mich ganz oben steht, in meiner Liste "Was muss ich noch können!"


    Wenn ich Erkenntnisse habe, teile ich diese mit Dir.

    Falls Du Neues beitragen kannst, würde ich mich über Dein Wissen freuen.


    Gruß!

    Konfiguration passt.


    Die Konfiguration der Switchports ist üblicherweise auf "automatisch", da das Zertifikat auf der UDM pro des Clients geprüft wird. Die Authentifizierung übernimmt dann die entsprechende Firm-/Software, wobei die Hardware darunter zunächst keine Rolle spielt.


    Du kannst beim Einsatz von VPNs mit 802.1x dies auch in der Anmeldung des Clients am Netz erzwingen. Dafür sind die beiden anderen Einstellungen.


    Ebenso ist quasi eine zusätzliche "Art Portsecurity" MAC-basiert möglich. Sie erlaubt, dass Du im Vorfeld MAC Adressen als "geprüft" vorleistest und diese dann direkt ins Ziel-Transfer LAN geswitched werden. So etwas kann man machen, wenn man beispielsweise in einem Firmennetz eine Trennung zwischen VoIP und Datenendgeräten plant. (Die MAC Adressen werden dann vor Inbetriebnahme gescannt, zugewiesen und die Inbetriebnahme funktioniert dann nahezu Plug-and-Play).


    Multi-Host ist optimal, wenn Du es mit APs oder VoIP Phones zu tun hast. Hier sind oft Kaskadierungen (z.B. PC am Switchport des Phones) möglich.

    ------

    vg

    Franky