Mac-based Authentifizierung mit GAST-WLAN?

[ecox]

Hallo zusammen,

nur erst mal eine Verständnis-frage, da ich nicht so recht sagen kann ob es 1. Sinn macht und 2. ob es überhaupt möglich ist.
Gegeben sei ein 1783VA-4G, ein GS-2310P und ein L322agn

Eingerichtet ist alles eher klassisch, Netze, DHCP, VLANs auf Router, Switch und AP eingerichtet, alles funktionert, alles ist super...
Nun kam die Frage auf ob Port-security am Switchport für den AP möglich sei.
Ok, Port-security, kein Problem...
Nun ist auf dem AP only VLAN30 für die Gäste SSID eingerichtet (DHCP, DNS, Surfen alles i.O)
An dem Switchport, ich sage mal die 8, hängt der AP, dieser wird Mac-based angebunden mit RADIUS auf Router, klappt, AP wird erkannt
Kommt nun ein Gast auf VLAN30 rein, schnallt das die Mac-sec natürlich sofort und wertet ihn als "Unauthorized", verständlich, so soll es ja auch sein

Meine Frage nun:

Ist es möglich, den Switchport nur für die MAC des APs zu erlauben aber alles was mit einem anderen VLAN rein kommt, hier die 30, geht an dieser Kontrolle vorbei und holt sich seine IP aus dem Gäste-Netz? Damit würde ich ja dann den Port schützen gegen andere per LAN angeschlossene Geräte (ok, die würden dann im Gast-Netz landen) und die WLAN CLients die per 30 rein kommen, kriegen ihre Gäste-Adresse...

Ich weiß nicht ob das so ein undenkbares Szenario ist

Grüße

ecox

[Dr.Einstein]

Hallo ecox,

bin der Meinung, ich hatte mal genau dein Szenario. Wenn ich es richtig in Erinnerung habe, dann konnte der GS-2310P keine VLAN basierende MAC-Port Security. Hatte den damals gegen einen Cisco Small Business irgendwas getauscht, damit ging es. Das gleiche Thema hatte ich mal bei IP Source Guard, ging auch nur an / aus. (vielleicht hab ich es aber damals auch einfach nur übersehen, gut möglich)

Gruß Dr.Einstein

[ecox]

Hey,

also im Handbuch finde ich folgendes (Handbuch: https://www.lancom-systems.de//fileadmi ... UAL-EN.pdf)

Punkt 5.5.1 Configuration:

9. Check Guest VLAN Enabled.
10. Specify Guest VLAN ID.

Angeboten für die Auth wird

• Single 802.1X
• Multi 802.1X
• MAC-Based Auth.

Ich denke die Funktion Multi müsste doch das richtige sein oder verstehe ich das falsch?

Code: Alles auswählen

Multi 802.1X:
In port-based 802.1X authentication, once a supplicant is successfully authenticated on a port, the whole port is opened
for network traffic. This allows other clients connected to the port (for instance through a hub) to piggy-back on the
successfully authenticated client and get network access even though they really aren't authenticated. To overcome this
security breach, use the Multi 802.1X variant.
Multi 802.1X is really not an IEEE standard, but features many of the same characteristics as does port-based 802.1X.
Multi 802.1X is - like Single 802.1X - not an IEEE standard, but a variant that features many of the same characteristics.
In Multi 802.1X, one or more supplicants can get authenticated on the same port at the same time. Each supplicant is
authenticated individually and secured in the MAC table using the Port Security module.
In Multi 802.1X it is not possible to use the multicast BPDU MAC address as destination MAC address for EAPOL frames
sent from the switch towards the supplicant, since that would cause all supplicants attached to the port to reply to
requests sent from the switch. Instead, the switch uses the supplicant's MAC address, which is obtained from the first
EAPOL Start or EAPOL Response Identity frame sent by the supplicant. An exception to this is when no supplicants are
attached. In this case, the switch sends EAPOL Request Identity frames using the BPDU multicast MAC address as
destination - to wake up any supplicants that might be on the port.
The maximum numbe

Danke für Feedback

[ecox]

Hab das mal mit Single und Multi probiert, benötige ich zwingend eine aktivierte CA damit dies funktioniert?
Oder sollte es reichen die Zertifikate an einem WLC zu erstellen und diese dann in Router und Access-Point einzuspielen?
Lt. KB sollte man somit mein Szenario lösen können, im Multi-X reicht es ja lt. Definition aus, das sich, wenn die zwei Geräte (Router und AP) authentifiziert haben, alle anderen Clients die über den AP kommen einfach surfen können...

Aktuell funktioniert es nicht, benötige ich zwingend eine CA für dieses Szenario? Das wird in der KB leider nicht gesagt...

Grüße

ecox

[ecox]

Moin,

wollte diss ma pushen, keiner der weiß wie man das einrichten muss?

Grüßee
ecox