Anleitung

1. Was du lernst

• Was 802.1x ist und wie es funktioniert
• Die drei Komponenten: Supplicant, Authenticator, RADIUS-Server
• PacketFence als NAC-Lösung installieren
• Den UniFi Switch für 802.1x konfigurieren
• Best Practices für sichere Netzwerkzugangskontrolle
• Erste Authentifizierungen testen

---

2. Was ist 802.1x?

3. Netzwerkzugangskontrolle auf Port-Ebene

802.1x ist ein IEEE-Standard für die Authentifizierung von Geräten, die sich mit einem Netzwerk verbinden möchten. Anders als bei normalen WLAN-Passwörtern wird hier nicht nur das WLAN, sondern jeder einzelne Netzwerkport authentifiziert.

Stell es dir so vor: Jede Steckdose an deinem Switch ist ein “Türsteher”. Bevor ein Gerät durch diese “Tür” ins Netzwerk darf, muss es sich ausweisen.

4. Die drei Hauptkomponenten

1. Supplicant (Client) Das Gerät, das sich mit dem Netzwerk verbinden möchte - also dein Laptop, Smartphone oder ein IoT-Gerät. Der Supplicant schickt die Anmeldedaten an den Switch.

2. Authenticator (Switch) Der Switch fungiert als “Türsteher”. Er blockiert zunächst alle Netzwerkpakete (außer RADIUS) und leitet die Authentifizierungsanfrage an den RADIUS-Server weiter.

3. Authentication Server (RADIUS) Der Server, der die Anmeldedaten prüft und entscheidet, ob das Gerät Zugang bekommt. In unserem Fall ist das PacketFence.

5. Das Zusammenspiel im Detail

[Client] ---(EAP over LAN)---> [Switch] ---(RADIUS)---> [PacketFence]
                                      |
                                      v
                               [Entscheidung:
                                Zugang erlaubt/verweigert]

1. Client steckt Netzwerkkabel ein
2. Switch erkennt neues Gerät und blockiert Port (nur RADIUS-Traffic erlaubt)
3. Client sendet “Ich will mich anmelden”
4. Switch leitet das an PacketFence weiter
5. PacketFence prüft (z.B. Benutzername/Passwort, Zertifikat, MAC)
6. PacketFence sagt: “OK” oder “Nein”
7. Switch öffnet oder blockiert den Port

6. Warum 802.1x wichtig ist

Ohne 802.1x:

• Jeder kann sich einfach ins Netzwerk stöpseln
• Sicherheitslücken können ausgenutzt werden
• Keine Kontrolle über eingesteckte Geräte

Mit 802.1x:

• Nur autorisierte Geräte kommen ins Netzwerk
• Automatische VLAN-Zuweisung möglich
• Vollständige Audit-Trail (wer war wann drin?)
• Schutz vor Rogue Access Points

7. EAP-Methoden kurz erklärt

EAP (Extensible Authentication Protocol) ist das Protokoll, das für die eigentliche Authentifizierung genutzt wird. Die gängigsten Methoden:

Methode	Sicherheit	Benötigte Zertifikate	Use-Case
EAP-TLS	Sehr hoch	Server + Client Zertifikat	Enterprise
PEAP-MSCHAPv2	Hoch	Nur Server-Zertifikat	Enterprise
EAP-MD5	Niedrig	Keine	Veraltet, nicht empfohlen

Für dieses Tutorial nutzen wir eine vereinfachte Variante mit Benutzername/Passwort (auch wenn Zertifikate sicherer sind).

---

8. Die Komponenten verstehen

Bevor wir installieren, schauen wir uns an, welche Hardware und Software wir brauchen.

9. Hardware-Übersicht

Der RADIUS-Server:

• Raspberry Pi 4 (4GB oder 8GB) - ab ~55€
• Oder eine VM auf deinem Proxmox/Docker-Host
• Oder ein dedizierter alter PC

Der Switch:

• UniFi Switch Pro (USW-Pro-24-PoE oder USW-Pro-48-PoE)
• UniFi Switch Enterprise
• Andere 802.1x-fähige Switche gehen auch (Cisco, HP, Dell)

Wichtig: Nicht alle UniFi-Switches unterstützen 802.1x vollständig:

Modell	802.1x Support	MAB Support
USW-Pro (alle)	✅ Vollständig	✅
USW-Enterprise	✅ Vollständig	✅
USW-Lite 8	❌	❌
USW-Flex Mini	❌	❌

10. Software-Übersicht

PacketFence ist unsere Wahl:

• Open Source NAC (Network Access Control)
• Vollständiger RADIUS-Server eingebaut
• Webinterface für einfache Verwaltung
• Unterstützt VLAN-Assignment
• LDAP/AD-Integration möglich
• Sehr aktive Community

Alternativen wären Cisco ISE (teuer), Microsoft NAP (komplex), oder eigenständige RADIUS-Server wie FreeRADIUS.

---

11. Planung & Best Practices

12. Netzwerk-Design

Bevor wir starten, planen wir unser Netzwerk:

Empfohlene VLAN-Struktur:

VLAN ID	Name	Zweck
1	Default/Management	Switch-Management (nicht für User!)
10	Corporate/Internal	Authorisierte Geräte
20	Gast	Gäste, nur Internet
30	IoT	Smart Home, Kameras
99	Quarantäne	Nicht authentifizierte Geräte

Best Practice: Niemals VLAN 1 (Default) für User-Traffic nutzen!

13. Ports die wir brauchen

Port	Protokoll	Richtung
1812	UDP	RADIUS Authentication
1813	UDP	RADIUS Accounting
8443	TCP	PacketFence Webinterface
22	TCP	SSH (für Installation)

14. Checkliste vor dem Start

• RADIUS-Server (Pi/VM) bereit
• UniFi Switch mit 802.1x Support
• Netzwerkplan (VLANs) festgelegt
• Statische IP für RADIUS-Server
• Backup vom Switch gemacht

---

15. PacketFence installieren

16. Variante A: Auf Raspberry Pi

System vorbereiten:

1. Raspberry Pi OS (64-bit) installieren
2. Per SSH verbinden
3. Updates einspielen:

sudo apt update && sudo apt upgrade -y

PacketFence installieren:

# Paketquelle hinzufügen
wget -qO- https://packetfence.org/downloads/PacketFence-GPG-Key | sudo apt-key add -
echo "deb http://packetfence.org/debian/12 packetfence-12.0 main" | sudo tee /etc/apt/sources.list.d/packetfence.list

# Paketliste aktualisieren
sudo apt update

# PacketFence installieren
sudo apt install packetfence

Während der Installation:

• Frage nach “Configure as primary server”: Yes
• Frage nach “Configure PacketFence now”: No (wir konfigurieren manuell)

Konfiguration starten:

sudo /usr/local/pf/bin/pfcmd configure

Das öffnet den Webinstaller auf Port 8443.

---

17. Variante B: Auf Debian VM

Debian 12 vorbereiten:

# Hostname setzen
hostnamectl set-hostname packetfence

# /etc/hosts anpassen
echo "127.0.1.1 packetfence.local packetfence" | sudo tee -a /etc/hosts

PacketFence installieren (wie oben):

# Paketquelle und Installation
wget -qO- https://packetfence.org/downloads/PacketFence-GPG-Key | sudo apt-key add -
echo "deb http://packetfence.org/debian/12 packetfence-12.0 main" | sudo tee /etc/apt/sources.list.d/packetfence.list

sudo apt update
sudo apt install packetfence

18. Ersteinrichtung über Webinterface

1. Browser öffnen: https://ip-des-servers:8443
2. Selbstsigniertes Zertifikat akzeptieren
3. Admin-Passwort festlegen
4. “Start” klicken

Wichtige Einstellungen:

• Mode: Standalone
• Interface: Alle Interfaces (oder nur LAN)
• DHCP: Deaktivieren (falls du schon einen DHCP-Server hast)

---

19. RADIUS in PacketFence konfigurieren

20. RADIUS-Server aktivieren

1. Im PacketFence Webinterface anmelden
2. Configuration → Networking → RADIUS aufrufen
3. ” earsdropping” oder “Authentication” aktivieren

21. UniFi Switch als Client hinzufügen

1. Configuration → Networking → RADIUS → NAS / Proxy Clients
2. “Add NAS” klicken
3. Daten eingeben:

Feld	Wert
IP Address	IP deines UniFi Switch
Secret	Ein sicheres Passwort (merken!)
Vendor	Ubiquiti
Type	Other

Beispiel:

• IP: 192.168.1.254
• Secret: DeinSicheresRadiusSecret123!
• Vendor: Ubiquiti

22. VLAN-Assignment aktivieren

1. Configuration → Networking → VLANs
2. “Default VLAN” festlegen (z.B. VLAN 99 für Quarantäne)
3. “VLAN by auth status” aktivieren

---

23. UniFi Switch für 802.1x konfigurieren

24. Voraussetzungen

• UniFi Controller muss laufen (lokal oder in der Cloud)
• Switch muss adoptiert sein

25. RADIUS-Server im Controller eintragen

1. UniFi Controller öffnen
2. Settings → Services → RADIUS
3. “Create New RADIUS Server”

Einstellung	Wert
Name	PacketFence
IP Address	IP des PacketFence Servers
Port	1812
Secret	Das Secret das du in PacketFence vergeben hast

26. 1x pro Port aktivieren

Methode 1: Über den UniFi Controller

1. Devices → Switch auswählen
2. Auf den Port klicken
3. Profile → 802.1X Control → Enabled
4. Mode: RADIUS MAC Authentication (MAB) + 802.1X

Empfohlene Einstellungen pro Port:

Port-Typ	802.1x Mode	Fallback	Notes
PC/Laptop	RADIUS + MAB	VLAN 99	Normaler Arbeitsplatz
IP-Phone	MAB only	VLAN 10	Telefone
AP/Guest	Disabled	-	Access Points
Printer	MAB only	VLAN 99	Printer
Uplink	Disabled	-	Zum Router/Switch

Methode 2: CLI (für Fortgeschrittene)

# Per SSH auf Switch verbinden
ssh admin@192.168.1.254

# 802.1x für Port 1 aktivieren
configure
set interface eth0 aaa authentication dot1x credentials_radius1 radius_server_1 192.168.1.1
commit

27. MAC-Authentication Bypass (MAB)

MAB ist ein wichtiger Fallback: Manche Geräte (Drucker, Kameras, IoT) können kein 802.1x. Dann wird die MAC-Adresse als “Notfall-Authentifizierung” genutzt.

MAB aktivieren:

1. Port-Einstellungen → MAC Authentication Bypass → Enable
2. Fallback VLAN: VLAN 99 (Quarantäne)

---

28. Zertifikate (vereinfacht)

29. Warum Zertifikate?

Ohne Zertifikate nutzen wir “PEAP-MSCHAPv2” - das ist sicherer als MD5, aber nicht so sicher wie TLS-Zertifikate.

Für den Anfang reicht:

• Server-Zertifikat (selbstsigniert - Browser warnt)
• Benutzername/Passwort für Clients

30. Eigene CA erstellen (Optional für Fortgeschrittene)

# CA erstellen
openssl genrsa -out ca.key 4096
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

# Server-Zertifikat erstellen
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -out server.crt

Das ist aber erstmal nicht zwingend nötig!

---

31. Erste Authentifizierung testen

32. Windows-Supplicant einrichten

1. Windows-Taste drücken → “Authentifizierung” suchen
2. “Authentifizierung für Netzwerkzugriff ändern”
3. “IEEE 802.1X” aktivieren
4. Netzwerkauthentifizierungsmethode: “Geschütztes EAP (PEAP)” wählen
5. “Konfigurieren” → Automatische Verwendung des Windows-Anmeldens deaktivieren

33. Test-Authentifizierung durchführen

1. Netzwerkkabel einstecken
2. Im PacketFence Webinterface: Dashboard → Live Events beobachten
3. Erfolg? → Port wird auf VLAN 10 gesetzt
4. Fehler? → Port bleibt auf VLAN 99

34. Troubleshooting häufige Fehler

Fehler: “Access-Reject”

• Falsches Passwort?
• Falsches RADIUS Secret?
• Switch nicht als NAS eingetragen?

Fehler: Keine Antwort vom RADIUS

• Firewall blockiert Port 1812/1813?
• Falsche IP-Adresse im Switch?

Fehler: Port bleibt in Quarantäne

• MAC nicht in PacketFence erlaubt?
• VLAN-Assignment nicht konfiguriert?

---

35. Best Practices für UniFi

36. Trenne Management von User-Traffic

• VLAN 1 NIE für User-Traffic nutzen
• Management nur über dedizetes VLAN (z.B. VLAN 5)

37. Fallback-VLAN immer setzen

Wenn 802.1x fehlschlägt:

• → VLAN 99 (Quarantäne)
• → Manuelle Freischaltung nötig

38. Monitoring aktivieren

• PacketFence: “Live Events” immer im Auge behalten
• Unbekannte MAC-Adressen dokumentieren
• Regelmäßige Reports erstellen

39. Regelmäßige Audits

• Wer hat sich diese Woche authentifiziert?
• Gab es fehlgeschlagene Versuche?
• Sind alle erlaubten Geräte noch bekannt?

40. Backup nicht vergessen

• PacketFence: Settings → Maintenance → Backup
• UniFi Controller: Immer aktuelles Backup

41. Documentation

• Notiere dir:
  • Welches VLAN für welchen Zweck
  • RADIUS Secrets
  • Port-Belegung
  • Ansprechpartner

---

42. Zusammenfassung

Herzlichen Glückwunsch! Du hast jetzt die Grundlagen für 802.1x mit PacketFence und UniFi gelegt.

Was du erreicht hast:

• Verstanden, wie 802.1x funktioniert
• PacketFence als RADIUS-Server installiert
• UniFi Switch für 802.1x konfiguriert
• Erste Authentifizierungen getestet
• Best Practices für den Betrieb kennengelernt

Nächste Schritte (siehe Teil 2):

• Mehr Geräte integrieren
• LDAP/Active Directory Anbindung
• Fortgeschrittene VLAN-Regeln
• Gastnetzwerk mit Captive Portal

Siehe auch: Tutorial #11 - 802.1x Teil 2

---

Dieses Tutorial enthält Affiliate-Links. Als Amazon-Partner verdiene ich an qualifizierten Käufen.