Hallo Zusammen
Ich habe ein kleines Projekt das ich realisieren möchte und zwar wie sichert man ein Netzwerk in einer kleineren Firma ab.
In meiner kleine Testumgebung gibt es jetzt eine pfSense, die das LAN in unterschiedliche VLANs unterteilt, somit konnte ich schon mal das Gäste Netzwerk von dem produktive Netzwerk isolieren ohne zusätzliche Switchs und Kabel zu installieren. Die pfSense verwaltet die VLANs, bedeutet wenn ein VLAN mit einem anderen kommunizieren müsste, geht es über die pfSense und nicht über einen L3 Switch (Keiner Vorhanden, schlimm?).
pfSense verteilt DHCP & DNS für die einzelnen VLANs abgesehen von der Windows Domäne(ESX), der DC verwaltet DHCP & DNS für "sein" Netzwerk selbst.
Mein nächster Schritt war ein AP so zu konfigurieren das die internen Domänen Benutzer in das Interne WLAN kommen über das Domänen-Login. Für das habe ich einen RADIUS Server (Netzwerkrichlinienserver) installiert. Die Verschlüsselung für den RADIUS Server und Client ist PEAP mit MSCHAP v2.
Das möchte ich auf für das normale LAN Netzwerk, um somit zu verhindern das nicht einfach ein Gast sich an einer Dosen anschließen kann und sofort im internen Netzwerk ist. Die Einstellungen auf dem RADIUS Server sind die selben wie beim Wireless nur halt für Ethernet.
Jetzt sollte ich doch beim Switch einfach die Port Authentication anschalten und den Control Mode auf "Force Authorized" schalten oder nicht?
Wenn ich das mache, bleibt der Client (der nicht in der Domäne ist und somit auch kein Domänen Login besitzt) im selben Netzwerk. Wäre eigentlch der Plan das er in das VLAN 80 verschoben wird (Gäste Netzwerk)
Ich hoffe ihr könnt mir helfen.
Vielen Dank
Gruss Dark_Masta