scarw06 0 Geschrieben 15. März 2023 Melden Geschrieben 15. März 2023 Hallo erstmal!! Und zwar ich bräuchte Hilfe bei einem Vorhaben. Als Projektarbeit steht ein Radius-Dienst an. Als Infrastruktur gibt es eine FortiGate Firewall, 3 HP Aruba Switches, wobei der erste vom Core Switch gespeist wird und die anderen zwei auf dem ersten hängen. Ich weiß nicht ganz zielführend, aber anders geht es nicht. Jedenfalls soll Folgendes realisiert werden: 3 Netze; 1 Lehrernetz, 1 Schülernetz und 1 Gästenetz, welche allesamt mit Benutzerauthentifizierung über jeden Port erreicht werden sollen können. Hab mir das so überlegt, dass jeder Switch, ein Netz mit einem Vlan darstellen kann, und man dann mit Zonen weiterarbeiten kann, jedoch glaube ich dass ich da auf dem Holzweg bin. Bitte um Hilfe, stehe momentan an. Zitieren
fuuussiiidiel 52 Geschrieben 15. März 2023 Melden Geschrieben 15. März 2023 Hi, ich hatte das in meiner Spielwiese mal mit einem FreeRadius und AD-Gruppen gemacht: https://stangneth.com/2022/03/01/freeradius-ldap-and-dynamic-vlan-assignment/ Eventuell hilft dir das weiter? Viele Grüße fusi Zitieren
NorbertFe 2.184 Geschrieben 15. März 2023 Melden Geschrieben 15. März 2023 Am 15.3.2023 um 09:29 schrieb scarw06: 3 Netze; 1 Lehrernetz, 1 Schülernetz und 1 Gästenetz, welche allesamt mit Benutzerauthentifizierung über jeden Port erreicht werden sollen können. Mehr Am 15.3.2023 um 09:29 schrieb scarw06: dass jeder Switch, ein Netz mit einem Vlan darstellen kann, Mehr Wiederspricht sich dein Gedanke nicht mit der Anforderung? Was ist jetzt eigentlich deine Frage? Zitieren
scarw06 0 Geschrieben 15. März 2023 Autor Melden Geschrieben 15. März 2023 Am 15.3.2023 um 09:36 schrieb NorbertFe: Wiederspricht sich dein Gedanke nicht mit der Anforderung? Was ist jetzt eigentlich deine Frage? Mehr Das war dann eigentlich meine Frage. Wie ist das möglich sich an einem x-beliebigen Port anzustecken und dann ins richtige Netz gehauen zu werden. Die Netze können ja entweder per VLANs oder IPs getrennt werden. Aber wenn ich mich jetzt an dem Switch Nr. 2 anhänge, der Port aber in VLAN Schüler ist, ich jedoch ins VLAN Lehrer will kann das doch nicht funktionieren oder? Bitte um einen Vorschlag wie das realisiert werden kann. Zitieren
NorbertFe 2.184 Geschrieben 15. März 2023 Melden Geschrieben 15. März 2023 Naja dann wirst du dich wohl mit 802.1x mal auseinandersetzen müssen. Damit kann man dann eine ankommende Verbindung authentifizieren und anhand von Kriterien einem entsprechenden VLAN zuordnen. Siehe auch obigen Link, den dir jemand gepostet hat. Zitieren
scarw06 0 Geschrieben 15. März 2023 Autor Melden Geschrieben 15. März 2023 Am 15.3.2023 um 09:35 schrieb fuuussiiidiel: Hi, ich hatte das in meiner Spielwiese mal mit einem FreeRadius und AD-Gruppen gemacht: https://stangneth.com/2022/03/01/freeradius-ldap-and-dynamic-vlan-assignment/ Eventuell hilft dir das weiter? Viele Grüße fusi Mehr Danke für den Link! Das kommt dem ganzen wo ich hin will schon näher. Dot 802.1x ordnet die VLANs dann je nach Authentifizierung den Ports zu? Und dementsprechend sollte man dann auch ins richtige Netz kommen? Bzw. braucht man dann ja auch 3 DHCP-Bereiche, um dafür zu sorgen, dass der Client dann die richtige IP bekommt oder? Danke euch! Zitieren
fuuussiiidiel 52 Geschrieben 15. März 2023 Melden Geschrieben 15. März 2023 Hi, das VLAN wird anhand der Windows Gruppe in dem Beispiel zugewiesen. Der Lehrer wäre dann beispielsweise in Gruppe VLAN10 (Lehrer) ein Schüler in VLAN20 (Schüler). Das Gast-Wlan könnte anstelle des 666 kommen, wenn keine erfolgreiche Authentifizierung stattgefunden hat. Du brauchst in jedem VLAN einen DHCP (DHCP-Relay über FortiGate?). Denke auch daran via Trunk oder einzelnen Ports an deine FortiGate zu gehen, damit du es routen kannst bzw. ordentliche Firewall-Regeln Richtung der Server erstellen kannst. Die Schüler sollen ja sicherlich weniger dürfen als die Lehrer. Grüße fusi Zitieren
scarw06 0 Geschrieben 15. März 2023 Autor Melden Geschrieben 15. März 2023 Am 15.3.2023 um 09:52 schrieb fuuussiiidiel: Hi, das VLAN wird anhand der Windows Gruppe in dem Beispiel zugewiesen. Der Lehrer wäre dann beispielsweise in Gruppe VLAN10 (Lehrer) ein Schüler in VLAN20 (Schüler). Das Gast-Wlan könnte anstelle des 666 kommen, wenn keine erfolgreiche Authentifizierung stattgefunden hat. Du brauchst in jedem VLAN einen DHCP (DHCP-Relay über FortiGate?). Denke auch daran via Trunk oder einzelnen Ports an deine FortiGate zu gehen, damit du es routen kannst bzw. ordentliche Firewall-Regeln Richtung der Server erstellen kannst. Die Schüler sollen ja sicherlich weniger dürfen als die Lehrer. Grüße fusi Mehr Ja auf der Fortigate ist es auf jeden Fall möglich VLANS einzurichten mit DHCP-Bereichen, das wäre auf dem Weg gut realisierbar. Jedoch läuft auch ein Windows Server 2019 als Domain Controller im ganzen Netz. Dieser hostet den DHCP-Server momentan, ist das mit dem auch möglich? Weiters, da ja Server und etwaige andere Dienste, in dem Fall haben wir eine VPN-VM, den Domain Controller und eine Synology, sowie einen Fileserver im Netz. Wie kann man erreichen, dass egal von welchem Netz aus alle theoretisch erreicht werden können? Via Trunk Ports an denen die besagten Devices hängen? Die zwei zusätzlichen Switches hängen daweil nur am ersten Switch, sollten aber zusätzlich an der Firewall hängen oder? Bzw. wäre das so sauberer oder? LG und danke im Voraus Zitieren
NorbertFe 2.184 Geschrieben 15. März 2023 Melden Geschrieben 15. März 2023 Am 15.3.2023 um 10:03 schrieb scarw06: . Dieser hostet den DHCP-Server momentan, ist das mit dem auch möglich? Mehr Nein! ;) Natürlich ist das möglich. Das Relay musst du aber an der jeweiligen Routinginstanz aktivieren. Dein Windows DHCP hat dann einfach für alle VLANs entsprechende DHCP Scopes. Am 15.3.2023 um 10:03 schrieb scarw06: Wie kann man erreichen, dass egal von welchem Netz aus alle theoretisch erreicht werden können? Via Trunk Ports an denen die besagten Devices hängen? Mehr Per Routing. Aber wozu sollte man das wollen? Wir reden hier doch grad über Segmentierung. Am 15.3.2023 um 10:03 schrieb scarw06: Die zwei zusätzlichen Switches hängen daweil nur am ersten Switch, sollten aber zusätzlich an der Firewall hängen oder? Mehr Kommt auf dein Design an. Zitieren
scarw06 0 Geschrieben 15. März 2023 Autor Melden Geschrieben 15. März 2023 Am 15.3.2023 um 10:19 schrieb NorbertFe: Nein! ;) Natürlich ist das möglich. Das Relay musst du aber an der jeweiligen Routinginstanz aktivieren. Dein Windows DHCP hat dann einfach für alle VLANs entsprechende DHCP Scopes. Mehr Tut mir leid mit Routing bin ich wenig bis garnicht erfahren. Welche Routen wären hier von Nöten? Am 15.3.2023 um 10:19 schrieb NorbertFe: Per Routing. Aber wozu sollte man das wollen? Wir reden hier doch grad über Segmentierung. Mehr Das einzige, was für alle erreichbar sein sollte ist doch der Domain Controller oder nicht? AD und Abfrage bzw. DHCP. Am 15.3.2023 um 10:19 schrieb NorbertFe: Kommt auf dein Design an. Mehr Inwiefern? Die Topologie? Ich meine theoretisch sollte es doch völlig ausreichen die zwei zusätzlichen Switches (die nur da sind um später bei möglicher Präsentation besser differenzieren zu können wo man sich ansteckt, und wo wie was passiert) an den ersten zu hängen, wo der Core Uplink herkommt und die Firewall dranhängt, bzw. den Traffic durchschleift. Zitieren
NorbertFe 2.184 Geschrieben 15. März 2023 Melden Geschrieben 15. März 2023 Am 15.3.2023 um 10:26 schrieb scarw06: Welche Routen wären hier von Nöten? Mehr Na die zwischen den Netzen (wenn gewollt und benötigt) und die Default Route ins Internet (wenn benötigt). Am 15.3.2023 um 10:26 schrieb scarw06: Das einzige, was für alle erreichbar sein sollte ist doch der Domain Controller oder nicht? AD und Abfrage bzw. DHCP. Mehr Für DHCP muss der DC gar nicht in den anderen Netzen erreichbar sein, das erledigt ja das Relay (stellvertretend). AD muss erreichbar sein, wenn die Clients sich anmelden sollen/müssen. Also ja, der DC müßte in dem Szenario erreichbar sein. Schon deswegen könnte ein Routing über die Firewall sinnvoller sein, als mit ACLs auf den Switches zu hantieren. Aber je nach Konfiguration kann beides gut umgesetzt sein. Am 15.3.2023 um 10:26 schrieb scarw06: Inwiefern? Die Topologie? Mehr Ja genau. Woher sollen wir denn wissen, was bei deiner Präsentation besser ankommt. In der Realität wirst du beide Varianten treffen. Netzwerkleute werden jetzt mit Core-, Distribution- und Access Switches ankommen. Aber ist das für dein Szenario zielführend? Zitieren
scarw06 0 Geschrieben 15. März 2023 Autor Melden Geschrieben 15. März 2023 Am 15.3.2023 um 10:30 schrieb NorbertFe: Na die zwischen den Netzen (wenn gewollt und benötigt) und die Default Route ins Internet (wenn benötigt). Mehr Ok ja für die Dot 208.1x Port Security wärs dann durchaus sinnvoll nicht zwischen den Netzen zu routen, da sie ja segmentiert bleiben sollen, sonst wäre das Ganze ja sinnlos. Default Route ins Internet sollte bei allen Dreien sinnvoll sein.. Am 15.3.2023 um 10:30 schrieb NorbertFe: Für DHCP muss der DC gar nicht in den anderen Netzen erreichbar sein, das erledigt ja das Relay (stellvertretend). AD muss erreichbar sein, wenn die Clients sich anmelden sollen/müssen. Also ja, der DC müßte in dem Szenario erreichbar sein. Schon deswegen könnte ein Routing über die Firewall sinnvoller sein, als mit ACLs auf den Switches zu hantieren. Aber je nach Konfiguration kann beides gut umgesetzt sein. Mehr Von ACLs würd ich mich da sehr gerne fernhalten, da ist das Routing über die Firewall dann fast besser. Am 15.3.2023 um 10:30 schrieb NorbertFe: Ja genau. Woher sollen wir denn wissen, was bei deiner Präsentation besser ankommt. In der Realität wirst du beide Varianten treffen. Netzwerkleute werden jetzt mit Core-, Distribution- und Access Switches ankommen. Aber ist das für dein Szenario zielführend? Mehr Im Bezug auf die Topologie wärs wenn man wirklich über die Firewall routet auch gut jeden Switch an die Firewall zu hängen, die Internetverbindung vom Switch 1 (Uplink vom Core) kann doch dann durch das Routing weitergegeben werden oder? Zitieren
NorbertFe 2.184 Geschrieben 15. März 2023 Melden Geschrieben 15. März 2023 Am 15.3.2023 um 10:48 schrieb scarw06: da ist das Routing über die Firewall dann fast besser. Mehr Spätestens jetzt solltest du dann aber über Performance nachdenken. ;) Und zwar nicht nur wo die Switches hängen, sondern auch wie schnell sie angebunden sind und welche Routingperformance die Firewall bietet. Über Redundanz kann man dann ebenfalls nachdenken. Firewall aus = Netz aus. Zitieren
fuuussiiidiel 52 Geschrieben 16. März 2023 Melden Geschrieben 16. März 2023 (bearbeitet) Am 15.3.2023 um 10:48 schrieb scarw06: Im Bezug auf die Topologie wärs wenn man wirklich über die Firewall routet auch gut jeden Switch an die Firewall zu hängen, die Internetverbindung vom Switch 1 (Uplink vom Core) kann doch dann durch das Routing weitergegeben werden oder? Mehr Du willst jeden Switch an die Firewall hängen? Dann sind ja bald nicht mehr viele Ports auf dieser frei, aber ich weiß ja nicht was für ein Gerät du hast. Ich würde nur den Core Switch an die Firewall hängen mit einem Trunk Port der alle VLANs getagged hat. Ebenfalls bei allen weiteren Verbindungen von Switch zu Switch die Ports als Trunk nehmen mit allen möglichen VLANs, damit diese durchgeschleift werden. Auf der Firewall dann in dem Interface die VLAN IDs hinterlegen mit passenden IPs. Danach kannst du ja alles weitere über Firewall-Regeln steuern. bearbeitet 16. März 2023 von fuuussiiidiel Zitieren
scarw06 0 Geschrieben 16. März 2023 Autor Melden Geschrieben 16. März 2023 Am 16.3.2023 um 06:37 schrieb fuuussiiidiel: Du willst jeden Switch an die Firewall hängen? Dann sind ja bald nicht mehr viele Ports auf dieser frei, aber ich weiß ja nicht was für ein Gerät du hast. Ich würde nur den Core Switch an die Firewall hängen mit einem Trunk Port der alle VLANs getagged hat. Ebenfalls bei allen weiteren Verbindungen von Switch zu Switch die Ports als Trunk nehmen mit allen möglichen VLANs, damit diese durchgeschleift werden. Auf der Firewall dann in dem Interface die VLAN IDs hinterlegen mit passenden IPs. Danach kannst du ja alles weitere über Firewall-Regeln steuern. Mehr Genau das ist der Plan!! Ein Kollege meinte dann noch, da momentan das normale Netz ein Gateway hat 192.168.1.99, dass wir für jedes Netz ein eigenes brauchen werden. Ist das korrekt? Bzw. wie macht man das dann? Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.