Jump to content

DHCP-Bereich nach MAC aufbauen?


Direkt zur Lösung Gelöst von Doso,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin

 

Ich habe den Thread begrifffen so: Es soll mehr Sicherheit erreicht werden im "LAN" erreicht werden. Ist das richtig so?

 

Ob das aber nur durch verschiedene IP-Bereiche auf der selben Leitung(quasi VLAN 1) erreichbar ist? Zwischen dem IP-Bereich Client und dem IP-Bereich Drucker müsste doch wohl ein Routing. Routing allein bringt aber kein mehr an Sicherheit. Dazu gehörte wohl eine Zugriffskontrolle auf einer Firewall: Nur authentifizierte Benutzer (Clients und User) bekommen Zugriff.

 

Auch ein Routing zwischen den Adressbereichen der VLANs reichte nicht für mehr Sicherheit, auch dort wird ein Access Control benötigt.

 

Ob das aber wirklich mehr Sicherheit brächte? Ein korrupter Client als authentfizierter Benutzer hatte doch Zugang zum Druckernetz.

 

Wir haben hier mal den Fall diskutiert, ob einem korrupter Drucker der Zugang nach draussen verwehrt wäre. Ich hab denn überlegt, ob ich das theoretische bei mir umsetzen könnte? Aber, unsere Drucker müsten aus dem Subnetz und VLAN raus ins "Hauptnetz" zum Erreichen der Remote Control Box des Herstellers und Vermieters, über diese Box die Bestellung des Druckmaterials abgewickelt. Ich hatte aber keine Möglichkeit auf der Box die zusätzlichen Routen für den Rückweg zum Antworten an die Drucker zu konfigurieren.

 

Auch kann auf den MFC-"Drucker" per GUI nur eine IP und nur ein Gateway konfiguriert werden, es kann auch kein VLAN. Das sei erst mit Geräten der nächsten Generation möglich, so der regionale Vertriebsleiter des Herstellers.

 

Eine Möglichkeit wäre gewesen, in den Drucker ein zweites Netzwerkinterfaces einzubauen, der Steckplatz dafür ist vorhanden. Der Servicetechniker konnte mir aber nicht mit Sicherheit sagen, ob das dann per GUI konfigurierbar wäre. Unser GF Zentrale Dienste hielt das Ganze dann für nicht notwendig, damit gestorben.

 

Ich, wir, meine Leute, Studenten und Studienleiter wollten aber gerne zumindest auf ein Gerät drucken aus verschiedenen Bereichen, verschiedene VLANs. Ich baute einen Printserver mit tagged VLANs und verband zwei USB-Ports mit denen des MFC. So konnten wir aus drei Netzen auf das Gerät drucken, das Gerät komnnte weiter die Remote Control Box erreichen und diese die Bestellungen weiterleiten.

 

Ergo: Es werden Geräte mit den geeigneten Eigenschaften benötigt, besonders für den Wunsch mehr Sicherheit. Ob diese aber so wirklich erreichbar ist? Und i.d.R. kostet sowas Geld. Mit Switche Layer 2+ allein wird das wohl nichts, denke ich jedenfalls.

bearbeitet von lefg
Link zu diesem Kommentar

Hi,

 

ursprünglich dachte ich tatsächlich nur ein reines logisches IP-Netz aufzubauen. Doch nach den selbst getesteten und hier geschriebenen Problemen wird es tatsächlich ein VLAN UND ein IP-Netz werden; natürlich mit Firewall davor (Da die Drucker nur zu sehr wenigen Servern über wenige Protokolle kommunizieren müssen halte ich das als Sicherheit für vertretbar). Leider bleibt das Problem: Weder meine IGEL-Clients noch meine Kyocera-Drucker sprechen VLAN... Einzig die Switche könnten VLAN nach Mac-Vendor fahren; aber immer nur Eines und eig. als Voice-VLAN vermarktet...

Bleibt tatsächlich: Entweder Geld in teure Switche investieren (und aktuell trotzdem raten wie das dort geht) oder jeden verdammten Switch-Port einzeln einstellen... :-/

Link zu diesem Kommentar

 

oder jeden verdammten Switch-Port einzeln einstellen.

 

Nun, ich hab so einige VLANs eingerichtet auf einigen Switches: HP 17xx, 18xx, 19xx, ...., die haben eine GUI und Menus, ich hatte die nötige Zeit und hab die Geduld, hatte doch Freude beim Gelingen. Das Zusammenspiel zwischen 17xx und 19xx war nicht so ganz einfach, ich musste erstmal lernen wie die ticken dabei.

Ich hatte auch ein gedankliches Konzept, für jeden Zweck ein VLAN, auch Reserve, jedes VLAN auf jedem Switch auf dem Campus, in jedem Gebäude, jeder Unterstation vorhanden, sozusagen eine Linie vom Hauptor bis zum Hinterausgang mit einigen Abzweigern. Ich musste dann an den Switches noch die Ports an die VLANs knüpfen.

 

Mit Software Defined Networking wäre sowas wohl schöner gewesen, ich musste aber mit dem vorhandenen Material auskommen, und das war eben ein Sammelsorium.

 

Ich hab da keine Trennung vorgenommen von Thick und Thin, das hätte keinen Sinn gemacht. Das VLAN 1 wurde Fallback zur Konfiguration, für den Fall, sollte ein Switch mal abschmieren, dann konnte ich den vielleicht noch erreichen. Eines war Verwaltung mit Verbindung zum Higher Echolon, ein weiteres für die Rechner in den Pools für die Studenten, dann eines für die Verbindung zwischen WLAN-Controller und APs. Andere und deren Zweck führe ich hier mal nicht auf.

 

Zum Monitoring gibt es Admin-Consolen mit PRTG.

 

Wie schon erwähnt, ich hab die Drucker nicht in einem extra VLAN, sie gehören zur Verwaltung, haben eine IP aus dem Bereich und können damit die Remote Control Box beim Higher Echolon erreichen. Die RCBox leitet die automatische Materialbestellung an den Service des Herstellers weiter, wir müssen uns nicht drum kümmern. Das Material kommt per Paketdienst, es ist aufgedruckt für welches Gerät an welchen Aufstellort es ist.

bearbeitet von lefg
Link zu diesem Kommentar
  • 2 Wochen später...

Hallo allerseits,

 

ich bin aktuell wieder ein kleines Stück weitergekommen: Ich habe Freeradius mit MAC-Authentifizierung eingerichtet und es funktioniert: Anhand der MAC-Adresse wird das richtige VLAN zugewiesen und das Gerät kann problemlos im entsprechenden Netz kommunizieren. Jetzt ein paar kleine Detailfragen:

- Kann man auch MAC-Vendors in Freeradius nutzen? Quasi als Gruppe? Das würde mir die Verwaltung erheblich vereinfachen: Ein client würde in die passende Gruppe geschubst und bekommt automatisch eine passende VLAN mit...

- Kann man ein Default-VLAN mitgeben für alle Geräte welche sich nicht authentifizieren können? Ein "Auth-Fail-VLAN" direkt auf dem HP-V1910-Switch scheint die Kommunikation vollständig zu blockieren, daher hatte ich hier an eine Einstellung im Freeradius gedacht... @lefg: Wäre das evtl. mit dem VLAN 1möglich, wenn man kein "Auth-Fail-VLAN" konfiguriert?

- Kann man unbekannte MACs sofort melden lassen? Quasi vom Freeradius zum Admin?

 

Lieben Dank für die ein oder andere Antwort...

Link zu diesem Kommentar

@lefg: Jetzt verstehe ich Deine Frage nicht: was meinst du damit WO freeradius eingerichtet wurde? Auf einem normalen Server... außerdem ist das WO eigentlich unrelevant, das interessante ist die Frage WIE man ein AuthFail-Vlan (oder ähnliches) im konfigurieren und nutzen kann. Beim Switch kann man ja einfach bei AuthFail das vlan 1 vergeben; geht das auch bei einem Radius-Server?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...