zwei Radius Server bei eoGRE Tunnel?
Moderator: Lancom-Systems Moderatoren
zwei Radius Server bei eoGRE Tunnel?
Mein Netzwerk an zwei Standorten ist mir eoGRE verbunden und hat zwei DHCP Server. Sie sind durch DHC snooping voneinander getrennt. Keine DHCP Kommunikation über den Tunnel. Jetzt wäre meine Frage ob ich auch zwei Radius Server betreiben kann, auch auf jeder Seite einen? Mir geht es darum weiter WPA3 nutzen zu können wenn ein Standort offline ist.
Re: zwei Radius Server bei eoGRE Tunnel?
Was möchtest du erreichen bzw. wofür der eoGRE Tunnel?
Du müsstest den gre tunnel im snooping auf trust stellen, damit die radius server über kreuz sichtbar werden - dann wird aber auch dhcp durch den tunnel funktionieren.
oder du richtest je standort den lokalen radius server für wpa enterpise ein und hast keine kreuzbeziehung.
Du müsstest den gre tunnel im snooping auf trust stellen, damit die radius server über kreuz sichtbar werden - dann wird aber auch dhcp durch den tunnel funktionieren.
oder du richtest je standort den lokalen radius server für wpa enterpise ein und hast keine kreuzbeziehung.
Gruß Lukas
Re: zwei Radius Server bei eoGRE Tunnel?
Danke dir, der eoGRE verbindet zwei locations seit nun 15 Jahren, ein Grund warum ich damals Lancom gewählt habe. Hat Vorteile wie Lizenzen der Überwachungssoftware die nicht zwei mal abgeschlossen werden muss wäre so ein Beispiel. Der macht genau was ich brauche.
Deine Radius Hinweise bringen mich schon mal weiter. DHCP bleibt getrennt denke ich da markiere ich im DHCP-snooping alle Pakete mit einer Circuit ID und verwerfe diese auf der Gegenseite des GRE und umgekehrt. Welches Snooping benutze ich um Radius einschränken?
Deine Radius Hinweise bringen mich schon mal weiter. DHCP bleibt getrennt denke ich da markiere ich im DHCP-snooping alle Pakete mit einer Circuit ID und verwerfe diese auf der Gegenseite des GRE und umgekehrt. Welches Snooping benutze ich um Radius einschränken?
Re: zwei Radius Server bei eoGRE Tunnel?
dhcp snooping nutzt du um "piraten" Dhcp server auszuschließen (Mitarbeiter möchte wlan und bringt ne fritzbox mit)
beim radius kann nicht jeder radius server spielen. der radius server muss ja im accesspoint oder wlc hinterlegt sein.
der ap oder wlc fragt den server an und authentifiziert sich mit dem gemeinsamen key.
es kann also keiner versehentlich radiusserver sein oder versehentlich abfragen.
beim radius kann nicht jeder radius server spielen. der radius server muss ja im accesspoint oder wlc hinterlegt sein.
der ap oder wlc fragt den server an und authentifiziert sich mit dem gemeinsamen key.
es kann also keiner versehentlich radiusserver sein oder versehentlich abfragen.
Gruß Lukas
Re: zwei Radius Server bei eoGRE Tunnel?
Genau so trenne ich die beiden DHCP Server damit beide Seiten noch einen haben wenn eine Seite down ist, die Gegenseite ist der Pirat. Das klappt auch, DHCP erledigt jede Tunnelseite selbst in der geteilten Ip Range. Ort 1 .10-.100 verteilt von der Firewall und die andere Seite hat 101-254 verteilt vom Router. Das Passt.
Ort 1 DHCP,Radius-Server <---- eoGRE ----> Ort 2 DHCP, Radius-Server
So stelle ich mir das vor damit beide Sieten laufen wenn eine Seite warum auch immer down ist. Mit DHCP klappt es prima. Aber wie verhindere ich Radius Kommunikation durch den Tunnel? Gibt doch sicher Probleme wenn das zwei Authentifizieren wollen.
Das verstehe ich aber der Radius Server kann bei einem Tunnel offline sein.der ap oder wlc fragt den server an und authentifiziert sich mit dem gemeinsamen key.
es kann also keiner versehentlich radiusserver sein oder versehentlich abfragen.
Ort 1 DHCP,Radius-Server <---- eoGRE ----> Ort 2 DHCP, Radius-Server
So stelle ich mir das vor damit beide Sieten laufen wenn eine Seite warum auch immer down ist. Mit DHCP klappt es prima. Aber wie verhindere ich Radius Kommunikation durch den Tunnel? Gibt doch sicher Probleme wenn das zwei Authentifizieren wollen.
Re: zwei Radius Server bei eoGRE Tunnel?
warum sollten zwei authentifizieren wollen?
du hinterlegst im wlan einen primären und einen sekundären radius server die sich gegenseitig ersetzen.
wlan fragt erst den ersten und wenn der timeouted dann den zweiten.
du hinterlegst im wlan einen primären und einen sekundären radius server die sich gegenseitig ersetzen.
wlan fragt erst den ersten und wenn der timeouted dann den zweiten.
Gruß Lukas
Re: zwei Radius Server bei eoGRE Tunnel?
Ah verstehe, vielen Dank.