Radius Server Port Authentifizierung

[scarw06 0]

Hallo erstmal!!

 

Und zwar ich bräuchte Hilfe bei einem Vorhaben.

Als Projektarbeit steht ein Radius-Dienst an.

 

Als Infrastruktur gibt es eine FortiGate Firewall, 3 HP Aruba Switches, wobei der erste vom Core Switch gespeist wird und die anderen zwei auf dem ersten hängen.

Ich weiß nicht ganz zielführend, aber anders geht es nicht.

 

Jedenfalls soll Folgendes realisiert werden:

3 Netze; 1 Lehrernetz, 1 Schülernetz und 1 Gästenetz, welche allesamt mit Benutzerauthentifizierung über jeden Port erreicht werden sollen können.

Hab mir das so überlegt, dass jeder Switch, ein Netz mit einem Vlan darstellen kann, und man dann mit Zonen weiterarbeiten kann, jedoch glaube ich dass ich da auf dem Holzweg bin.

 

Bitte um Hilfe, stehe momentan an.

[fuuussiiidiel 52]

Hi, 

 

ich hatte das in meiner Spielwiese mal mit einem FreeRadius und AD-Gruppen gemacht:

https://stangneth.com/2022/03/01/freeradius-ldap-and-dynamic-vlan-assignment/

 

Eventuell hilft dir das weiter?

 

Viele Grüße

fusi

[NorbertFe 2.032]

vor 6 Minuten schrieb scarw06:

3 Netze; 1 Lehrernetz, 1 Schülernetz und 1 Gästenetz, welche allesamt mit Benutzerauthentifizierung über jeden Port erreicht werden sollen können.

 

vor 6 Minuten schrieb scarw06:

dass jeder Switch, ein Netz mit einem Vlan darstellen kann,

Wiederspricht sich dein Gedanke nicht mit der Anforderung?

 

Was ist jetzt eigentlich deine Frage?

[scarw06 0]

Gerade eben schrieb NorbertFe:

 

Wiederspricht sich dein Gedanke nicht mit der Anforderung?

 

Was ist jetzt eigentlich deine Frage?

Das war dann eigentlich meine Frage. Wie ist das möglich sich an einem x-beliebigen Port anzustecken und dann ins richtige Netz gehauen zu werden. Die Netze können ja entweder per VLANs oder IPs getrennt werden. Aber wenn ich mich jetzt an dem Switch Nr. 2 anhänge, der Port aber in VLAN Schüler ist, ich jedoch ins VLAN Lehrer will kann das doch nicht funktionieren oder? 

 

Bitte um einen Vorschlag wie das realisiert werden kann.

[NorbertFe 2.032]

Naja dann wirst du dich wohl mit 802.1x mal auseinandersetzen müssen. Damit kann man dann eine ankommende Verbindung authentifizieren und anhand von Kriterien einem entsprechenden VLAN zuordnen. Siehe auch obigen Link, den dir jemand gepostet hat.

[scarw06 0]

vor 10 Minuten schrieb fuuussiiidiel:

Hi, 

 

ich hatte das in meiner Spielwiese mal mit einem FreeRadius und AD-Gruppen gemacht:

https://stangneth.com/2022/03/01/freeradius-ldap-and-dynamic-vlan-assignment/

 

Eventuell hilft dir das weiter?

 

Viele Grüße

fusi

Danke für den Link! 

Das kommt dem ganzen wo ich hin will schon näher.

 

Dot 802.1x ordnet die VLANs dann je nach Authentifizierung den Ports zu?

Und dementsprechend sollte man dann auch ins richtige Netz kommen?

 

Bzw. braucht man dann ja auch 3 DHCP-Bereiche, um dafür zu sorgen, dass der Client dann die richtige IP bekommt oder?

 

Danke euch!

 

[fuuussiiidiel 52]

Hi,

 

das VLAN wird anhand der Windows Gruppe in dem Beispiel zugewiesen. Der Lehrer wäre dann beispielsweise in Gruppe VLAN10 (Lehrer) ein Schüler in VLAN20 (Schüler). Das Gast-Wlan könnte anstelle des 666 kommen, wenn keine erfolgreiche Authentifizierung stattgefunden hat.

 

Du brauchst in jedem VLAN einen DHCP (DHCP-Relay über FortiGate?). Denke auch daran via Trunk oder einzelnen Ports an deine FortiGate zu gehen, damit du es routen kannst bzw. ordentliche Firewall-Regeln Richtung der Server erstellen kannst. Die Schüler sollen ja sicherlich weniger dürfen als die Lehrer.

 

Grüße

fusi

[scarw06 0]

vor 5 Minuten schrieb fuuussiiidiel:

Hi,

 

das VLAN wird anhand der Windows Gruppe in dem Beispiel zugewiesen. Der Lehrer wäre dann beispielsweise in Gruppe VLAN10 (Lehrer) ein Schüler in VLAN20 (Schüler). Das Gast-Wlan könnte anstelle des 666 kommen, wenn keine erfolgreiche Authentifizierung stattgefunden hat.

 

Du brauchst in jedem VLAN einen DHCP (DHCP-Relay über FortiGate?). Denke auch daran via Trunk oder einzelnen Ports an deine FortiGate zu gehen, damit du es routen kannst bzw. ordentliche Firewall-Regeln Richtung der Server erstellen kannst. Die Schüler sollen ja sicherlich weniger dürfen als die Lehrer.

 

Grüße

fusi

Ja auf der Fortigate ist es auf jeden Fall möglich VLANS einzurichten mit DHCP-Bereichen, das wäre auf dem Weg gut realisierbar.

 

Jedoch läuft auch ein Windows Server 2019 als Domain Controller im ganzen Netz. Dieser hostet den DHCP-Server momentan, ist das mit dem auch möglich?

Weiters, da ja Server und etwaige andere Dienste, in dem Fall haben wir eine VPN-VM, den Domain Controller und eine Synology, sowie einen Fileserver im Netz.

 

Wie kann man erreichen, dass egal von welchem Netz aus alle theoretisch erreicht werden können? Via Trunk Ports an denen die besagten Devices hängen?

 

Die zwei zusätzlichen Switches hängen daweil nur am ersten Switch, sollten aber zusätzlich an der Firewall hängen oder? Bzw.  wäre das so sauberer oder?

 

LG und danke im Voraus

[NorbertFe 2.032]

vor 14 Minuten schrieb scarw06:

. Dieser hostet den DHCP-Server momentan, ist das mit dem auch möglich?

Nein! ;) Natürlich ist das möglich. Das Relay musst du aber an der jeweiligen Routinginstanz aktivieren. Dein Windows DHCP hat dann einfach für alle VLANs entsprechende DHCP Scopes.

 

vor 14 Minuten schrieb scarw06:

Wie kann man erreichen, dass egal von welchem Netz aus alle theoretisch erreicht werden können? Via Trunk Ports an denen die besagten Devices hängen?

 

Per Routing. Aber wozu sollte man das wollen? Wir reden hier doch grad über Segmentierung.

 

vor 15 Minuten schrieb scarw06:

Die zwei zusätzlichen Switches hängen daweil nur am ersten Switch, sollten aber zusätzlich an der Firewall hängen oder?

Kommt auf dein Design an.

[scarw06 0]

vor 4 Minuten schrieb NorbertFe:

Nein! ;) Natürlich ist das möglich. Das Relay musst du aber an der jeweiligen Routinginstanz aktivieren. Dein Windows DHCP hat dann einfach für alle VLANs entsprechende DHCP Scopes.

 

Tut mir leid mit Routing bin ich wenig bis garnicht erfahren. Welche Routen wären hier von Nöten?

 

vor 4 Minuten schrieb NorbertFe:

 

Per Routing. Aber wozu sollte man das wollen? Wir reden hier doch grad über Segmentierung.

 

Das einzige, was für alle erreichbar sein sollte ist doch der Domain Controller oder nicht? AD und Abfrage bzw. DHCP.

 

vor 4 Minuten schrieb NorbertFe:

Kommt auf dein Design an.

 

Inwiefern? Die Topologie? 

Ich meine theoretisch sollte es doch völlig ausreichen die zwei zusätzlichen Switches (die nur da sind um später bei möglicher Präsentation besser differenzieren zu können wo man sich ansteckt, und wo wie was passiert) an den ersten zu hängen, wo der Core Uplink herkommt und die Firewall dranhängt, bzw. den Traffic durchschleift.

[NorbertFe 2.032]

Gerade eben schrieb scarw06:

Welche Routen wären hier von Nöten?

Na die zwischen den Netzen (wenn gewollt und benötigt) und die Default Route ins Internet (wenn benötigt).

 

Gerade eben schrieb scarw06:

Das einzige, was für alle erreichbar sein sollte ist doch der Domain Controller oder nicht? AD und Abfrage bzw. DHCP.

 

 

Für DHCP muss der DC gar nicht in den anderen Netzen erreichbar sein, das erledigt ja das Relay (stellvertretend). AD muss erreichbar sein, wenn die Clients sich anmelden sollen/müssen. Also ja, der DC müßte in dem Szenario erreichbar sein. Schon deswegen könnte ein Routing über die Firewall sinnvoller sein, als mit ACLs auf den Switches zu hantieren. Aber je nach Konfiguration kann beides gut umgesetzt sein.

vor 2 Minuten schrieb scarw06:

Inwiefern? Die Topologie? 

 

Ja genau. Woher sollen wir denn wissen, was bei deiner Präsentation besser ankommt. In der Realität wirst du beide Varianten treffen. Netzwerkleute werden jetzt mit Core-, Distribution- und Access Switches ankommen. Aber ist das für dein Szenario zielführend?

[scarw06 0]

vor 14 Minuten schrieb NorbertFe:

Na die zwischen den Netzen (wenn gewollt und benötigt) und die Default Route ins Internet (wenn benötigt).

 

Ok ja für die Dot 208.1x Port Security wärs dann durchaus sinnvoll nicht zwischen den Netzen zu routen, da sie ja segmentiert bleiben sollen, sonst wäre das Ganze ja sinnlos.

Default Route ins Internet sollte bei allen Dreien sinnvoll sein..

 

vor 14 Minuten schrieb NorbertFe:

Für DHCP muss der DC gar nicht in den anderen Netzen erreichbar sein, das erledigt ja das Relay (stellvertretend). AD muss erreichbar sein, wenn die Clients sich anmelden sollen/müssen. Also ja, der DC müßte in dem Szenario erreichbar sein. Schon deswegen könnte ein Routing über die Firewall sinnvoller sein, als mit ACLs auf den Switches zu hantieren. Aber je nach Konfiguration kann beides gut umgesetzt sein.

 

Von ACLs würd ich mich da sehr gerne fernhalten, da ist das Routing über die Firewall dann fast besser.

 

vor 14 Minuten schrieb NorbertFe:

Ja genau. Woher sollen wir denn wissen, was bei deiner Präsentation besser ankommt. In der Realität wirst du beide Varianten treffen. Netzwerkleute werden jetzt mit Core-, Distribution- und Access Switches ankommen. Aber ist das für dein Szenario zielführend?

 

Im Bezug auf die Topologie wärs wenn man wirklich über die Firewall routet auch gut jeden Switch an die Firewall zu hängen, die Internetverbindung vom Switch 1 (Uplink vom Core) kann doch dann durch das Routing weitergegeben werden oder?

[NorbertFe 2.032]

vor 1 Minute schrieb scarw06:

da ist das Routing über die Firewall dann fast besser.

Spätestens jetzt solltest du dann aber über Performance nachdenken. ;) Und zwar nicht nur wo die Switches hängen, sondern auch wie schnell sie angebunden sind und welche Routingperformance die Firewall bietet. Über Redundanz kann man dann ebenfalls nachdenken. Firewall aus = Netz aus.

[fuuussiiidiel 52]

vor 20 Stunden schrieb scarw06:

Im Bezug auf die Topologie wärs wenn man wirklich über die Firewall routet auch gut jeden Switch an die Firewall zu hängen, die Internetverbindung vom Switch 1 (Uplink vom Core) kann doch dann durch das Routing weitergegeben werden oder?

 

Du willst jeden Switch an die Firewall hängen? Dann sind ja bald nicht mehr viele Ports auf dieser frei, aber ich weiß ja nicht was für ein Gerät du hast.

Ich würde nur den Core Switch an die Firewall hängen mit einem Trunk Port der alle VLANs getagged hat. Ebenfalls bei allen weiteren Verbindungen von Switch zu Switch die Ports als Trunk nehmen mit allen möglichen VLANs, damit diese durchgeschleift werden.

Auf der Firewall dann in dem Interface die VLAN IDs hinterlegen mit passenden IPs. 

 

Danach kannst du ja alles weitere über Firewall-Regeln steuern.

bearbeitet 16. März 2023 von fuuussiiidiel

[scarw06 0]

vor 6 Stunden schrieb fuuussiiidiel:

 

Du willst jeden Switch an die Firewall hängen? Dann sind ja bald nicht mehr viele Ports auf dieser frei, aber ich weiß ja nicht was für ein Gerät du hast.

Ich würde nur den Core Switch an die Firewall hängen mit einem Trunk Port der alle VLANs getagged hat. Ebenfalls bei allen weiteren Verbindungen von Switch zu Switch die Ports als Trunk nehmen mit allen möglichen VLANs, damit diese durchgeschleift werden.

Auf der Firewall dann in dem Interface die VLAN IDs hinterlegen mit passenden IPs. 

 

Danach kannst du ja alles weitere über Firewall-Regeln steuern.

Genau das ist der Plan!!

 

Ein Kollege meinte dann noch, da momentan das normale Netz ein Gateway hat 192.168.1.99, dass wir für jedes Netz ein eigenes brauchen werden. 

 

Ist das korrekt? Bzw. wie macht man das dann?