W ramach wolnego czasu postanowiłem troszkę zwiększyć bezpieczeństwo firmowej sieci wprowadzając autoryzację klientów opartą o serwer Radius i 802.1x / dot1x.
Całość infrastruktury sieciowej w firmie oparta jest o sprzęt TP-Linka który nigdy mnie nie zawiódł i realnie sprawdza się doskonale w środowisku Small-Business.
Główny switch w firmie to mający kilka miesięcy switch SG3428X – odpalenie na nim autoryzacji 802.1x nie sprawiło żadnych problemów i podłączone urządzenia autoryzują się poprawnie.
Kolejny który wszedł na tapetę to switch w biurze. To staaary 16 portowy TP-Link TL-SG3216. To naprawdę stary gigabitowy switch (mam ich sporo na półkach magazynu). Daje sobie radę z VLAN’ami, IGMP… Generalnie – po co zmieniać jeśli coś działa 🙂
No ale jeśli ktoś zechce „szukać dziury w całym” tak jak ja i zamarzy mu się to 802.1x to niestety ale będzie musiał tego switcha wymienić na coś nowszego.
Wszystkie specyfikacje tego konkretnego modelu mówią, że „802.1x: supported”. No to jak supported – to dawaj. Konfigurujemy i poziom security rośnie!
Switch został skonfigurowany, dodałem dane serwera Radius, skonfigurowałem sobie Guest VLAN i próbuję autoryzować pierwsze urządzenie – dużą drukarkę Sharpa… Jako, że nie chce mi się generalnie bawić w certyfikaty per klient – wybrałem model EAP-PEAP. Klientom daje się Root CA i w sumie tyle.
W logach Freeradius’a widać że komunikacja się zaczyna po czym nagle się urywa.
0) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(0) authenticate {
(0) eap: Peer sent packet with method EAP Identity (1)
(0) eap: Using default_eap_type = PEAP
(0) eap: Calling submodule eap_peap to process data
(0) eap_peap: (TLS) PEAP -Initiating new session
(0) eap: Sending EAP Request (code 1) ID 3 length 6
(0) eap: EAP session adding &reply:State = 0xd6bf93a4d6bc8a89
(0) [eap] = handled
(0) } # authenticate = handled
(0) Using Post-Auth-Type Challenge
(0) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(0) Challenge { ... } # empty sub-section is ignored
(0) session-state: Saving cached attributes
(0) Framed-MTU = 994
(0) Sent Access-Challenge Id 103 from 192.168.xx.xxx:1812 to 192.168.xx.xxx:1097 length 64
(0) EAP-Message = 0x010300061920
(0) Message-Authenticator = 0x00000000000000000000000000000000
(0) State = 0xd6bf93a4d6bc8a89943a91e990a8d85d
(0) Finished request
Waking up in 4.9 seconds.
(0) Cleaning up request packet ID 103 with timestamp +709 due to cleanup_delay was reached
Ready to process requestsI tyle. W momencie autoryzacji jakiegokolwiek innego klienta na głównym switchu – komunikacja wygląda zupełnie inaczej…
Walka była długa… Przeszukiwanie różnych stron, pytania do AI (ale to zupełnie nie pomogło bo AI jest głupie jak but)… poddałem się po dobrych 8 godzinach walki.
Generalnie dochodzę do wniosku, że stare switche TP-Link JETSTREAM L2 (np. TL-SG3210, TL-SG3216, TL-SG3224) – zupełnie nie wspierają EAP-PEAP więc w 2025 roku zupełnie nie nadają się do 802.1x.
No więc cóż… TP-Link mówi, że 802.1x: supported a ja mówię, że w 2025 roku na tych switchach 802.1x: NOT SUPPORTED
Dodaj komentarz