radius in ein vpn-netz einbauen

[Jay Cutler]

Guten Tach,

folgendes:

Habe ich das richtig verstanden (RADIUS-Thematik)?

Der Client schickt einem NAS eine Anfrage und muss Username + Passwort eingeben. Der NAS schickt die Daten weiter an den Radius-Server. Dieser Server vergleicht die Daten mit seiner Datenbank. Wenns stimmt, schickt der RadiusServer dem NAS ein "accept", d.h., der NAS gewährt dem Client den Verbindungsaufbau. Richtig?

Wenn ich jetzt folgende Netzwerkstruktur habe:

(VPNSRV = VPNSERVER)

PC1 -> LAN1 -> VPNSRV1 <-VPN-Tunnel-> VPNSRV2 <- LAN2 <- PC2

Das sind Windows XP Clients und Linux-Server. Realisiert über IPsec.

Kann ich auf dem VPNSRV1 einen Radius-Server installieren?

Ziel: Die PCs aus dem LAN2 müssen sich erst mit Usernamen + Password anmelden, bevor sie den Tunnel benutzen können und mit LAN1 verbunden werden. Geht das?

Hmm, PC2 schließt sich am LAN2 an, dann ist der doch automatisch über den Tunnel mit dem LAN1 verbunden.. da kann ja dann auch gar keine Abfrage stattfinden?! Also geht es ohne einen NAS nicht? Ich benötige einen Router?

Habe FreeRADIUS installiert und angeschaut, aber irgendwie geht das nicht so ganz!

Danke

[dgr243]

schau mal unter dem stichwort 802.1x

ist na klar die frage ob deine hardware das unterstützt, aber prinzipiell ist das genau die funktionalität die du suchst.

wo du da den radius hinstellst ist vollkommen wurst. wichtig ist nur, dass der radius von allen geräten (switches) die clients per 802.1x authentifizieren sollen erreicht werden kann

[Jay Cutler]

hey vielen dank das bringt mich schon viel weiter :cool:

also dient der switch dann als nas..

ich frage mich nur, wie das mit der passwort-abfrage ist.

nehmen wir an, ich trage den switch (unterstützt den standard ieee 802.1x) als client aufm radius-server ein.

wenn sich ein rechner dann an den switch anschließt, wird er ja nicht nach einem passwort gefragt... ^^

die thematik die ich beschrieben habe (im ersten post) stimmt oder?

[dgr243]

da ich nas nur als network attached storage kenne (oder nen knoten im kopf habe) weiss ich noch nicht wo du hier drauf hinaus willst

was den switch angeht, so konfigurierst du den ja so, dass jeder client sich erst per 802.1x am switch authentifizieren muss. dass der diese anfrage hinten rum per radius authentifizieren lässt interessiert den client ja nicht

schließt du nun einen 802.1x fähigen rechner an diesen switchport an, so wirst du nach einem passwort gefragt (alternativ geht das natürlich auch per smartcard etc., ändert aber nichts an der sache). schließt du einen nicht 802.1x fähigen client an, bekommst du zwar einen link (layer 1) aber keine weitere datenübertragung (layer 2 und höher) ausser die anforderung dich zu authentifizieren.

edit:

und ja das szenario wie oben sollte - bei korrekter konfiguration der beteiligten clients switche- einwandfrei funktionieren. einzige einschränkung die ich im live betrieb derzeit beobachten konnte ist, dass manche radius server teils sehr zickig sind. das ist aber kein fehler im netzdesign an sich sondern einfach nur zickige software

[Jay Cutler]

Danke, jetzt wird mir schon einiges klarer.. :cool:

Der Client ist der "Supplicant", muss Namen und Passwort eingeben, diese Daten gehen dann zum Switch (Authenticator), welcher die Daten an den RADIUS-Server schickt. Wenn die Daten mit der Datenbank übereinstimmen, sagt er dem Client bescheid dass es in Ordnung geht..

So habe ich das verstanden.

DAS habe ich mit NAS gemeint

Ich brauche also einen Layer-3 Switch?

Ich nutze nämlich diese ganz "normalen" 5 Port Switchs von Netgear.

Hmm, habe die Netz-IP in die clients.conf eingetragen (FreeRADIUS 2.0.3); es geschiet einfach nichts ^^

Ich denke mal dass inzwischen alle Rechner 802.1x unterstützen :confused:

Der Client benutzt für die Verbindung zum Switch z.B. EAP, und der Switch kommuniziert mit dem RADIUS-Server über das RADIUS-Protokoll?

[dgr243]

Mit netgear kenn ich mich nu rein gar nicht aus. kann man die viecher überhaupt konfigurieren?

ansonsten ist deine beschreibung aber richtig und richtig verstanden.

NAS kenne ich nun auch eine weitere bedeutung von

Edit:

Nochmal zusammenfassend:

1. Client -Credentials-> Switch -Credentials-> Radius

2. Radius -Cred. OK-> Switch -Authenticated-> Client

Hoffe das ist trotz der kürze verständlich

Edit2:

Und nein, du brauchst keinen layer 3 switch. jedenfalls nicht sofern die layer 3 funktionalität deiner VPN strecke von einem router oder einer firewall übernommen wird. 802.1x selbst ist ein reines layer 2 protokoll, mit der einschränkung, dass der switch halt in der lage sein muss den radius per IP anzusprechen. nur weil der switch ip spricht ist er ja aber noch laaaange kein layer 3 switch

[Jay Cutler]

So, wie das ganze funktioniert ist nun klar

Hmm, als Koppelelemente stehen nur Switchs zur Verfügung, und diese Netgear-Dinger kann man nicht konfigurieren.

PC1 -> Switch1 -> VPN1 -> Switch2 -> VPN2 -> Switch3 -> PC2

So sieht das aus. Switch2 ist das "Internet"; das ist nämlich nur eine Testumgebung. Der Tunnel zwischen VPN1 und VPN2 steht.

Der RADIUS auf VPN1 soll dafür sorgen, dass nicht jeder auf das LAN zugreifen darf, dass Switch1 bildet ^^

Mit diesen Switchs lässt sich das nicht realisieren oder?

[Jay Cutler]

So, wie das ganze funktioniert ist nun klar

Hmm, als Koppelelemente stehen nur Switchs zur Verfügung, und diese Netgear-Dinger kann man nicht konfigurieren.

PC1 -> Switch1 -> VPN1 -> Switch2 -> VPN2 -> Switch3 -> PC2

So sieht das aus. Switch2 ist das "Internet"; das ist nämlich nur eine Testumgebung. Der Tunnel zwischen VPN1 und VPN2 steht.

Der RADIUS auf VPN1 soll dafür sorgen, dass nicht jeder auf das LAN zugreifen darf, dass Switch1 bildet ^^

Mit diesen Switchs lässt sich das nicht realisieren oder?

EDIT:

wtf? Die nachfolgenden Post sind ja gelöscht?? Lag wohl an den Wartungsarbeiten :eat: (fehlt noch ein wütender Smile ^^ ).

Also kann ich keinen RADIUS einbauen.. die Netgear-Dinger sind nämlich nicht 802.1x fähig..

Was gäbe es für Alternativen? Ein Proxy wäre ja auch nicht so das Wahre... mmhhh...

lol anstatt auf ändern zu klicken habe ich den zitier-button erwischt.. loool =D

[dgr243]

joah ich vermisse auch den einen oder anderen post von gestern

alternativen fallen mir jetzt spontan keine ein. jedenfalls nicht ohne mit vernünftigen switches zu arbeiten. mit vernünftigen switches wären auch dynmische vlans und ACLs möglich. aber netgear gehört für mich nunmal nicht dazu. netgear = SoHo

[Jay Cutler]

Soho :confused:

KA was das bedeuten soll ^^

Jo gut, andere Switche müssen her..

Hast du denn Erfahrungen mit solchen Dingern?

Wie kann ich mir das vorstellen? ->

Man greift über Telnet auf den Switch zu, gibt ihm ne IP, welche man im RADIUS einträgt. Im RADIUS wird das shared secret definiert, um eine Verbindung zwischen Switch und RADIUS herzustellen. Außerdem definiert man im RADIUS den Usernamen und das Password für einen Netzbereich (z.B. 192.168.15.0/24 name = test passwort = testtest).

Wenn sich jetzt ein Client an den Switch anschließt, bekommt er das typische Windows Anmeldefenster und wird aufgefordert, Name und Passwort einzutragen.

Diese angegebenen Daten werden über EAP an den Switch geschickt, dieser verschickt die Daten wiederrum mit dem RADIUS-Protokoll an den Authtification-Server (also der RADIUS-Server).

Läuft das so ab? Wenn ja, geile Sache..

P.S. Wow, 802.1x fähige Layer3 Switche sind ja verdammt teuer.. die fangen ja bei 400€ an :eek

Gibt es nicht irgendwo was billigeres?!

[dgr243]

SoHo == Small Office Home Office

Ansonsten ist die beschreibung von dir im grunde korrekt.

preislich kann ich dir nix günstiges empfehlen, weil ich für die aufbauten die ich für kunden mache im access layer mindestens mit cisco 2960 arbeite. bei vielen stehen aber mittlerweile auch schon 65xx

da sind 400 euro nix

kann dir daher auch nicht verraten wie 802.1x auf anderer hardware als cisco konfiguriert wird. wer 802.1x will kriegt cisco. jedenfalls wenn er will, dass wir das LAN für den kunden betreuen

[Jay Cutler]

Waaaas?! Also 400€ sind da echt nichts.. ^^

Naja, wie sagt man, Qualität haben eben seinen Preis ^^

Was ich nur noch wissen will ist, was es sich der Authentifizierung auf sich hat.. da gibt es ja mehrere Möglichkeiten (EAP-TLS, EAP-MD5, PEAP...)..

Welches nutzt man bei einer ganz normalen Identitätsabfrage?

Einfach gesagt -> Kabel an den Switch stecken -> Name und PW eingeben -> an den Switch senden -> an den RADIUS senden -> Daten stimmen überein -> zurück an den Switch senden -> Zugriff gewähren.

Ohne jetzt Zertifikate zu benutzen. Da fallen ja schon mal so Dinger wie EAP-TLS und PEAP weg.

Im RADIUS-Server konfiguriert man, welches Verfahren Client und Switch zu benutzen haben, oder?

Das einzige, was man bei Switch einstellt ist, ihm eine IP geben; der Rest wird am RADIUS-Server konfiguriert. Oder ist dem nicht so?

Der Authentication-Server kommuniziert mit dem Switch über das RADIUS-Protokoll und der Switch kommuniziert mit dem Client über EAP(x)?

[dgr243]

da gibt es wie so oft verschiedene lösungen

im regelfall konfigurierst du die verschlüsselung jeweils auf den beteiligten endgeräten.

also im falle switch <-> radius eben auf den beiden und im falle switch <-> client eben auf switch und client

protokoll zum radius ist klar

protokoll zum client wird vom switch vorgegeben und vom client genutzt. das ist dann halt abhängig, was deine clients können und was du nutzen möchtest.

[Jay Cutler]

Aaaahh, also wird die Verbindung Client-Switch vom Switch festgelegt!

Dachte, das dies auch der RADIUS-Server festlegt!

Weil man beim FreeRADIUS auch diverse Authentifizierungsmechanismen (hmm als wir Geigenmännchen gespielt haben ist mir dieses Wort nie eingefallen..) konfigurieren kann (MsCHAP, EAS-TLS usw.), das verwirrt mich ein wenig..

Soso.. dann müssen das ja gewaltige Switchs sein

Wenn man jetzt ein funktionsfähiges Win 2k3 Netz hat, den IAS aufgesetzt hat und Access Points hinstellt, muss dieser (also der AP) auch den 802.1x Standard integriert haben, um die Anfragen überhaupt an den RADIUS schicken zu können?

Oder ist das beim Win 2k3 anders? Oder unterstützen heutige APs diesen Standard?

Dann ist ein RADIUS-Server ja ein Luxus.. den einfach mal zu Hause aufzustellen geht ja nicht, es sei denn, man hat zu viel Geld..

[dgr243]

geht eiegtnlich.. @home arbeite ich zumindest was das wlan angeht auch mit 802.1x .. der radius läuft auf meinem server (inner firma im rechenzentrum).

preislich isses nich soo viel mehr. allerdings für kabelgebundene clients im heimlan sehe ich den aufwand nicht ein

[Jay Cutler]

Da hast du auf jeden Fall Recht; für ein kleines Heimnetz lohnt es sich überhaupt nicht.

Ich soll das ganze nur mal testen. Deswegen hab ich nach nem günstigen gesucht ^^

Übrigens habe ich (glaub ich) n kleinen Fehler gemacht bei der Funktionsweise; der Client spricht den Switch über EAPoL an, dieser den Authentification Server über das RADIUS-Protokoll, der Switch dann wieder über EAPoL mit dem Client, und der Client kommuniziert dann über PEAP, EAP-MD5 oder was auch immer mit dem Authentification Server. Dachte nämlich, dass der Client den RADIUS-Server überhaupt nicht anspricht.

Wenn diese Switches so verdammt teuer sind, gibt es denn sehr günstige APs die das unterstützen? 802.1x fähige APs sind wesentlich günstiger hab ich das Gefühl?

Also es ist so:

Eine Firma hat eine Zentrale. Die Außenstellen wollen auf das Netz zugreifen. Dazu wird ein VPN eingerichtet. Auf jeder Außenstelle befindet sich ein VPNSRV. Jede Außenstelle hat somit einen Tunnel zur Zentrale. Alle Clients innerhalb einer Außenstelle kontaktieren die Zentrale über diesen einen Tunnel.

Die Übertragung der Daten ist verschlüsselt.

Gut.

Nun soll aber auch sichergestellt werden, dass sich die Clients (der Außenstellen) auch zu erst authentifizieren müssen. Dies erfolgt über einen Authentification-Server.

Dazu wird ein 802.1x fähiges Gerät auf den Außenstellen benötigt. Da Switche zu teuer sind, wird einfach ein AP genommen.

Der Client gibt Name und PW am AP an, dieser sendet die Daten an den RADIUS-Server, der sich auf der Zentrale befindet. Dieser Server gibt die Daten an den Verzeichnis-Dienst weiter. Wenn alles stimmt, schickt er das dem AP zurück. Der AP schickt dem Client ein "Ok, du darfst". Der Client kann den VPN-Tunnel benutzen.

Kann ich das so realisieren?

Wenn ja schön, die 802.1x fähigen APs kriegt man ja schon für n Fuffi.

[dgr243]

zum ienen müsstest du dann jeden client per wlan anbinden, was wenn du sicherheitsüberlegungen anstellst mitunter ein showstopper sein kann

zum anderen authentifizierst du auf diese weise nur die clients am wlan, die daraufhin dann entsprechend alles was gerouted erreicht werden kann erreichen können. also auch das lan hinterm tunnel.

um hier dann noch eine unterscheidung zu machen zwischen "client authentifiziert für standort lokales lan" und "client authentifiziert für lokales und remote lan" müsstest du basierend auf der 802.1x anmeldung den client in entsprechende vlans schieben und dem einen vlan entweder verbieten (ACL) die remote lans zu erreichen oder für dieses vlan einfach keine route vorsehen.

das wiederrum wirst du mit einem "billig ap" wohl nicht hinbekommen.

[Jay Cutler]

Ui.. mit nem billig AP werde ich das nicht hinbekommen, das stimmt..

Ich habe hier einen Netgear W602 v3 rumfliegen.

Könnte ich mit diesen folgendes machen:

Client1 -> Switch1 -> VPN1 -> Switch2 -> VPN2 -> AP-> Client2

Client2 wird nach Namen und PW gefragt. Der AP schickt diese an den VPN1, wo der RADIUS-Server läuft. Dieser schickt dem AP dann, ob es passt oder nicht.

Würde mir vollkommen reichen (oder müsste ich den RADIUS-Server auf dem VPN2 einrichten?).

Ich hoffe mal.. ^^

[dgr243]

wo der radius steht ist dem protokoll egal

ist nur die frage ob der ap das kann, was ich aber mangels kenntnis des aps nicht sagen kann

[hades]

Ich kenne keinen Netgear W602.

Auf die Schnelle habe ich nur einen Netgear WG602 (+v2 und v3) gefunden und der kann das benoetigte 802.1x nicht.

[Jay Cutler]

Oh sry hab mich verschrieben

Der von dir erwähnte ist es.

Hmm schade.. könnte ihr mir einen günstigen empfehlen?

Oder ist es egal.. hauptsache das Viech unterstützt 802.1x?!

So wie ich es jetzt verstanden habe, MUSS das der NAS 802.1x fähig sein?

[Jay Cutler]

Oh sry hab mich verschrieben

Der von dir erwähnte ist es.

Hmm schade.. könnte ihr mir einen günstigen empfehlen?

Oder ist es egal.. hauptsache das Viech unterstützt 802.1x?!

So wie ich es jetzt verstanden habe, MUSS das der NAS 802.1x fähig sein?

Edit: Kann in meinem Beispiel nicht der VPN1 als NAS dienen?

[dgr243]

da ich grad zu faul war nachzusehen :floet:, ob das im lan1 oder im lan2 ist:

der 802.1x fähige AP muss da stehen wo sich die user authentifizieren sollen.

n günstigen wüsste ich jetzt auf anhieb nicht, sorry. hab da leider mit den soho installationen recht wenig zu tun

@home verwende ich einen speedtouch 608i WL von thomson. der fällt aber net mehr unter günstig

[Jay Cutler]

Hehe ok

Muss ich unbedingt eine Methode wie EAP-TLS, PEAP oder was auch immer wählen?

Würde es am liebsten so machen:

1.) Client verbindet sich mit AP

2.) AP schickt die Daten per RADIUS an den Authentification Server

3.) Server schaut, ob Daten stimmen und schick dem AP einen Reply

4.) AP gewährt Zugriff

So dass ich im RADIUS-Server nur den AP eintragen muss, sowie die Usernamen + Passwörter

Geht das?

Wie ist das denn eigentlich bei WPA + RADIUS?

Erst muss der WPA-Key eingegeben werden, wenn dieser stimmt, steht eine Verbindung zum AP. Es erscheint das typische Windows Fenster und man muss nochmal Name + PW eingeben. Right?