====== Technischer Bericht ======
^ Version  ^ Status               ^ Datum       ^ Autor:in          ^ URL  ^
| 0.1      | Erster Entwurf       | 02.03.2023  | Flurin Pudil      |      |
| 0.2      | Ergänzungen          | 04.09.2023  | Flurin Pudil      |      |
| 1.0      | Review und Freigabe  | TT.MM.JJJJ  | Vorname Nachname  |      |

===== 1. Kurzfassung  =====
diese seite befasst sich mit dem einrichten von 802.1x auf zyxel switches mit Firmware V4.70(ABRT.5).
===== 2. Hauptteil =====

==== Konfiguration Radius Server ====

=== Voraussetzungen ===

(Ich habe windows server 2022 Standard verwendet)

Netzwerkrichtlinienserver ist installiert
Zertifizierungsstelle ist installiert

=== vorbereitung für swithces ===

Die Switches die 802.1x für die verteilung von VLANS verwenden sollen müssen unter RADIUS-Clients und -Server>RADIUS-Clients mit Bezeichnung, IP und Geheimen schlüssel eingetragen werden.

WICHTIG!!!: Der geheime Schlüssel wird bei der konfiguration der Switches gebraucht.

{{:intern:dokumentationen:pasted:20230302-112715.png}}

=== vorbereitung für Access Points ===

Die Access points (nicht der Unify Controller) die 802.1x für die verteilung von VLANS verwenden sollen müssen unter RADIUS-Clients und -Server>RADIUS-Clients mit Bezeichnung, IP und Geheimen schlüssel eingetragen werden.

WICHTIG!!!: Der geheime Schlüssel wird bei der konfiguration der AP's gebraucht.

{{:intern:dokumentationen:pasted:20230302-112915.png}}

=== Richtlinien Konfiguration ===

Alle folgenden Richtlinien sind Für LAN und WLAN gedacht

Verbindungsanforderungsrichtlinien:

Bei der erstellung dieser Richtlinie müssen nur der "Name" der richtlinie und der "NAS-Porttyp" definiert werden.
Unter NAS-Porttyp verwenden wir für unseren Zweck "Drahtlos (IEEE 802.11)", "Ethernet" und "Drahtlos (Sonstige)"

{{:intern:dokumentationen:pasted:20230302-113654.png}}

Netzwerkrichtlinien:

Hier Konfigurieren wir welche Computer, Benutzer und Gruppen welches VLAN zugeteilt erhalten.
Wichtig für uns sind die einstellungen:

 - Richtlinienname

 - NAS-Porttyp

 - Windows-Gruppe

 - Authentifizierungsmethode

Unter RADIUS-Attribute>Standard

 - Termination-Action

 - Tunnel-Medium-Type

 - Tunnel-Pvt-Group-ID

 - Tunnel-Type

Alle anderen einstellungen können auf Standard gelassen werden.
Für uns gilt

Richtlinienname = Sinvollerweise der gruppe entsprechend für die das VLAN gesetzt werden soll

NAS-Porttyp = wie bei Verbindungsanforderungsrichtlinie definiert

Windows Gruppe = Domänengruppe für die das VLAN gestezt wird

Authentifizierungsmethode = Microsoft Geschütztes EAP (PEAP)

{{:intern:dokumentationen:pasted:20230302-115410.png}}

Termination-Action = RADIUS-Request

Tunnel-Medium-Type = 802 (includes all 802 media plus Ethernet canonical format)

Tunnel-Pvt-Group-ID = VLAn in welches die gewählte gruppe kommen soll

Tunnel-Type =Virtual LANs (VLAN)

{{:intern:dokumentationen:pasted:20230302-115225.png}}

==== Zyxel Dynamic VLAN mit 802.1x ====

=== Voraussetzungen ===

Radius fertig konfiguriert
Dynamic VLAN Fähige switches

=== Clients (Supplicants) vorbereiten ===

Damit ein Windows Client sich über 802.1x anmelden kann müssen einige einstellungen vorgenommen werden.

als erstes muss der Dienst "Automatische Konfiguration (verkabelt)" (Englisch: "Wired AutoConfig") auf automatisch gestellt werden damit dieser beim starten des gerätes auch gestartet wird. Da der dienst noch nicht läuft kann man in auch gleich starten.

{{:intern:dokumentationen:pasted:20230908-101708.png}}

Nun muss man in die Netzwerkadabter einstellungen gelangen.

{{:intern:dokumentationen:pasted:20230908-102121.png}}

Hier muss man nun den gewünschten netzwerkadabter auswählen und die eigenschaften öffnen.

{{:intern:dokumentationen:pasted:20230908-102328.png}}

in den Eigenschaften sollte nun der Reiter "Authentifizierung" erscheinen. Darin aktivieren wir nun die IEEE 802.1x Authentifizierung.

{{:intern:dokumentationen:pasted:20230908-102457.png}}

Damit die authentivizierung vor dem anmelden stattfindet muss nun unter den zusätzlichen einstellungen die option authentifizierungs methode angeben aktiviert werden und auf "benutzerauthentifizierung" oder "benutzer- oder computerauthentifizierung" gestellt werden. Ebenfalls muss Singlesignon für dieses Netzwerk aktiviert werden und "unmittelbar vor der benutzeranmeldung ausführen" ausgewählt werden, dies armöglicht es dem gerät sich beim radius zu authentivizieren bevor ein loginversuch in der Domäne gestartet wird.

{{:intern:dokumentationen:pasted:20230908-102818.png}}

=== AAA ===
Unter AAA muss man den Radius server eintragen, über den die benutzer sich dann anmelden werden. Dazu verwendet man die IP des radius servers und den im Radius zufor eingetragenen geheimen schlüssel.

** WICHTIG!!!: um diesen server eintragen zu können braucht man volle Admin-Rechte. **

{{:intern:dokumentationen:pasted:20230908-100638.png}}

=== VLAN ===

Unter VLAN müssen die Vlans die auf dem gewünschten port verfügbar sein sollen auf Fixed untagged gestellt werden damit diese vom switch richtig verteilt werden können.

{{:intern:dokumentationen:pasted:20230908-100546.png}}

=== Port Authorization ===

Unter Port authorization>802.1x müssen nun die ports die über Radius gesteuert werden sollen aktiviert werdden. Auch muss man oben 802.1x insgesamt auf active stellen. nachdem dies gemacht worden ist kann man nun gast Vlans aktivieren.

{{:intern:dokumentationen:pasted:20230908-100847.png}}

Gast Vlans werden in dem Fall verwendet dass sich ein user mit credentials die unbekannt sind oder ganz ohne an den port anhängt. In unserem fall werden diese ins Vlan 23 geschickt.

{{:intern:dokumentationen:pasted:20230908-100939.png}}

==== Unify Dynamic VLAN mit 802.1x ====

=== Voraussetzungen ===
===== 3. Quellenverzeichnis =====
//Alle im Bericht verwendeten Quellen sind angegeben.//