Enterprise-WLAN mit 802.1X und RADIUS: WPA2/WPA3-Enterprise und dynamische VLAN-Zuweisung

<p>Ein echtes Enterprise-WLAN verbindet drei Welten miteinander: das <strong>IEEE-802.1X-Portauthentifizierungsframework</strong>, ein RADIUS-Backend (Windows NPS oder FreeRADIUS) und dein bestehendes VLAN-Konzept auf dem Managed Switch. Das Ergebnis: Jeder Nutzer landet automatisch im richtigen VLAN – Mitarbeiter in VLAN 10, Gäste in VLAN 20, Drucker in VLAN 99 – ohne manuelle Konfiguration am Access Point. Diese Anleitung zeigt dir den vollständigen Aufbau vom RADIUS-Server bis zur GPO-gesteuerten Supplicant-Konfiguration, benennt die häufigsten Fallstricke und erklärt, warum dynamische VLAN-Zuweisung bei vielen Admins scheitert.</p> <aside class="tldr"><p><strong>Kurzfassung:</strong> 802.1X-Enterprise-WLAN besteht aus Supplicant (Client), Authenticator (AP) und Authentication Server (NPS oder FreeRADIUS). Windows NPS eignet sich ideal für AD-integrierte Umgebungen; FreeRADIUS ist die flexiblere Linux-Alternative mit TLS-1.3-Unterstützung. PEAP-MS-CHAPv2 (Passwort) ist schnell deployt, EAP-TLS (Zertifikat) deutlich sicherer und für WPA3-Enterprise 192-bit Pflicht. Dynamische VLAN-Zuweisung erfordert exakt drei RADIUS-Tunnel-Attribute im Access-Accept – als String, nicht Integer. Drucker ohne 802.1X-Unterstützung bekommst du per MAC Authentication Bypass (MAB) in ein eigenes VLAN. Der häufigste Fehler bei Windows 11: fehlendes Root-CA-Thumbprint im WLAN-Profil führt zu NPS Reason Code 22.</p></aside> <h2>Voraussetzungen</h2> <ul> <li>Windows Server 2019/2022/2025 (für NPS) <em>oder</em> Linux-Server mit FreeRADIUS 3.x</li> <li>Active Directory Domain Services mit Benutzer- und Computerkonten</li> <li>802.1X-fähiger WLAN-Access-Point mit WPA2/WPA3-Enterprise und RADIUS-VLAN-Override</li> <li>Managed Switch mit konfigurierten VLANs und Trunk-Port zum AP (siehe <a href="https://s-edv.com/anleitungen/vlans-verstehen-managed-switch-einrichten">VLANs verstehen und am Managed Switch einrichten</a>)</li> <li>Active Directory Certificate Services (AD CS) für interne PKI, besonders bei EAP-TLS</li> <li>Server-Zertifikat für NPS (EKU: Server Authentication OID 1.3.6.1.5.5.7.3.1, FQDN im SAN)</li> <li>Shared Secret für RADIUS-Kommunikation (AP/Switch ↔ RADIUS, mindestens 22 Zeichen empfohlen)</li> <li>DHCP-Server mit separaten Scopes pro VLAN</li> </ul> <h2>Schritt 1: Architektur verstehen – Rollen und EAP-Methoden</h2> <p>Im 802.1X-Modell spielen drei Akteure zusammen: Der <strong>Supplicant</strong> (Windows-Client, Smartphone) initiiert die Authentifizierung. Der <strong>Authenticator</strong> (Access Point oder Switch) agiert als RADIUS-Client (NAS) und leitet EAP-Pakete zwischen Supplicant und Authentication Server weiter. Der <strong>Authentication Server</strong> – NPS oder FreeRADIUS – trifft die eigentliche Entscheidung und sendet Access-Accept oder Access-Reject zurück.</p> <p>Die Wahl der EAP-Methode bestimmt den PKI-Aufwand erheblich:</p> <table class="article-table"><thead><tr><th>Merkmal</th><th>PEAP-MS-CHAPv2</th><th>EAP-TLS</th></tr></thead><tbody><tr><td>Authentifizierung</td><td>Benutzername + Passwort</td><td>Client- und Serverzertifikat</td></tr><tr><td>Serverzertifikat nötig</td><td>Ja (NPS)</td><td>Ja (NPS)</td></tr><tr><td>Client-Zertifikat nötig</td><td>Nein</td><td>Ja (per AD CS + GPO)</td></tr><tr><td>Sicherheitsniveau</td><td>Mittel</td><td>Hoch</td></tr><tr><td>Deployaufwand</td><td>Gering</td><td>Mittel–Hoch</td></tr><tr><td>WPA3-Enterprise 192-bit</td><td>Nicht unterstützt</td><td>Pflicht (EAP-TLS + TLS 1.2+)</td></tr><tr><td>Passwort-Diebstahl möglich</td><td>Ja (bei schwachem Zertifikat)</td><td>Nein</td></tr></tbody></table> <p><strong>Empfehlung für KMU:</strong> Starte mit PEAP-MS-CHAPv2 für schnellen Rollout, migriere zu EAP-TLS sobald AD CS produktionsreif ist. WPA3-Enterprise 192-bit (Suite B) erfordert zwingend EAP-TLS, ECDHE+ECDSA P-384 und eine durchgehend P-384-basierte Zertifikatskette – Mischung mit P-256 im Pfad führt zu Authentifizierungsfehlern.</p> <h2>Schritt 2: Windows NPS installieren und konfigurieren</h2> <p>NPS ist eine Windows-Server-Rolle und der empfohlene RADIUS-Server für AD-integrierte Umgebungen. Installiere sie per PowerShell:</p> <pre><code class="language-powershell"># NPS-Rolle installieren (Windows Server 2019/2022/2025) Install-WindowsFeature NPAS -IncludeManagementTools # NPS-Konsole öffnen nps.msc # NPS-Auditing aktivieren (PFLICHT für Diagnose!) auditpol /set /subcategory:"Network Policy Server" /success:enable /failure:enable # NPS-Dienst neu starten Restart-Service IAS</code></pre> <p>Registriere den NPS-Server anschließend in Active Directory (NPS-Konsole → Rechtsklick auf „NPS (Lokal)" → „Server in Active Directory registrieren"). Das ist notwendig, damit NPS Benutzerkonten lesen und Authentifizierungsergebnisse schreiben darf.</p> <h3>RADIUS-Client (Access Point) hinzufügen</h3> <pre><code class="language-powershell"># AP als RADIUS-Client registrieren (netsh) netsh nps add client friendlyname="AP-Eingang" ipaddress=192.168.1.10 sharedsecret="S3cur3Secr3t!" # Alle konfigurierten RADIUS-Clients anzeigen netsh nps show client</code></pre> <p>Alternativ über die NPS-MMC: <strong>RADIUS-Clients und -Server → RADIUS-Clients → Neu</strong>. Trage IP-Adresse des AP, Anzeigename und das Shared Secret ein. Achte auf exaktes Shared Secret – Case-sensitive, Sonderzeichen je nach AP-Firmware kritisch.</p> <h3>Netzwerkrichtlinien für WPA2/WPA3-Enterprise anlegen</h3> <p>Erstelle zwei separate Netzwerkrichtlinien: eine für 802.1X (höhere Priorität) und eine für MAB (niedrigere Priorität). In der 802.1X-Richtlinie:</p> <ul> <li><strong>Bedingungen:</strong> Windows-Gruppe = „Domänen-Benutzer" oder spezifische AD-Gruppe</li> <li><strong>EAP-Typen:</strong> PEAP (mit MS-CHAPv2) oder EAP-TLS</li> <li><strong>RADIUS-Attribute (Einstellungen):</strong> Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-Id (siehe Schritt 4)</li> </ul> <h2>Schritt 3: FreeRADIUS 3.x als Alternative installieren</h2> <p>FreeRADIUS läuft auf Linux und unterstützt TLS 1.3 – ein entscheidender Vorteil gegenüber NPS bei Windows-11-Clients (dazu mehr im Troubleshooting). Installiere FreeRADIUS auf Debian/Ubuntu:</p> <pre><code class="language-bash"># FreeRADIUS mit LDAP- und Utility-Paketen installieren apt-get install freeradius freeradius-ldap freeradius-utils # Dienst aktivieren und starten systemctl enable freeradius systemctl start freeradius # WICHTIG: Debug-Modus für erste Tests nutzen systemctl stop freeradius freeradius -X</code></pre> <p>Der Debug-Modus (<code>freeradius -X</code>) gibt jede Authentifizierungsanfrage im Klartext aus – unverzichtbar beim Einrichten. Im Produktionsbetrieb wieder als Dienst starten.</p> <h3>AP als RADIUS-Client in FreeRADIUS eintragen</h3> <pre><code class="language-ini"># /etc/freeradius/3.0/clients.conf client ap-buero { ipaddr = 192.168.1.10 secret = S3cur3Secr3t! shortname = ap-buero nas_type = other }</code></pre> <h3>LDAP-Anbindung an Active Directory</h3> <pre><code class="language-ini"># /etc/freeradius/3.0/mods-enabled/ldap ldap { server = 'dc01.firma.local' identity = 'CN=freeradius-svc,OU=Service,DC=firma,DC=local' password = ServicePasswort base_dn = 'DC=firma,DC=local' filter = '(sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})' group { base_dn = ${..base_dn} filter = '(objectClass=group)' membership_attribute = 'memberOf' } tls { start_tls = yes } }</code></pre> <p><strong>Wichtig:</strong> Der Filter verwendet <code>%{Stripped-User-Name}</code> – das entfernt den Domänenanteil aus <code>DOMAIN\User</code> oder <code>user@domain.com</code> automatisch. Mit <code>%{User-Name}</code> schlägt die AD-Suche bei Domänen-Präfix fehl.</p> <h3>EAP-Konfiguration (PEAP + TLS)</h3> <pre><code class="language-ini"># /etc/freeradius/3.0/mods-enabled/eap eap { default_eap_type = tls timer_expire = 60 tls-config tls-common { private_key_password = changeme private_key_file = ${certdir}/server.key certificate_file = ${certdir}/server.crt ca_file = ${cadir}/ca.crt ca_path = ${cadir} dh_file = ${certdir}/dh fragment_size = 1024 include_length = yes check_crl = yes cipher_list = "DEFAULT@SECLEVEL=2" tls_min_version = "1.2" } tls { tls = tls-common } peap { tls = tls-common default_eap_type = mschapv2 copy_request_to_tunnel = yes use_tunneled_reply = yes } }</code></pre> <h2>Schritt 4: Dynamische VLAN-Zuweisung konfigurieren – der kritische Teil</h2> <p>Hier scheitern die meisten Admins. Die dynamische VLAN-Zuweisung erfordert <strong>exakt drei RADIUS-Attribute</strong> im Access-Accept-Paket, definiert in RFC 2868:</p> <table class="article-table"><thead><tr><th>Attribut</th><th>Nr.</th><th>Wert</th><th>Bedeutung</th></tr></thead><tbody><tr><td>Tunnel-Type</td><td>64</td><td>13</td><td>VLAN</td></tr><tr><td>Tunnel-Medium-Type</td><td>65</td><td>6</td><td>IEEE 802 (Ethernet)</td></tr><tr><td>Tunnel-Private-Group-Id</td><td>81</td><td>„10" (String!)</td><td>VLAN-ID</td></tr></tbody></table> <p><strong>Kritischer Fallstrick:</strong> Das Attribut <code>Tunnel-Private-Group-Id</code> muss als <strong>String</strong> übergeben werden – nicht als Integer. Viele Admins tragen die VLAN-ID als Zahl ein; der AP/Switch ignoriert das Attribut dann stillschweigend und nutzt das Standard-VLAN. Das Tag-Feld muss auf 0 oder ungesetzt bleiben.</p> <h3>NPS: VLAN-Attribute in der Netzwerkrichtlinie</h3> <pre><code class="language-powershell"># NPS-Richtlinie per XML sichern/wiederherstellen netsh nps export filename="C:\nps-backup.xml" exportPSK=YES netsh nps import filename="C:\nps-backup.xml" # In der NPS-Konsole (nps.msc) unter der Netzwerkrichtlinie: # Registerkarte "Einstellungen" > RADIUS-Attribute > Standard # Folgende Attribute hinzufügen: # Tunnel-Type = 13 (Virtual LANs / VLAN) # Tunnel-Medium-Type = 6 (802 includes all 802 media plus Ethernet canonical format) # Tunnel-Private-Group-Id = 10 (als String eingeben!)</code></pre> <h3>FreeRADIUS: VLAN-Zuweisung in der users-Datei</h3> <pre><code class="language-plaintext"># /etc/freeradius/3.0/users # Einzelner Benutzer mit VLAN 10 mustermann Cleartext-Password := "Passw0rt!" Service-Type := Framed-User, Tunnel-Type := VLAN, Tunnel-Medium-Type := IEEE-802, Tunnel-Private-Group-Id := "10" # DEFAULT-Fallback: Alle AD-authentifizierten User -> VLAN 20 DEFAULT Auth-Type := MS-CHAP Tunnel-Type := VLAN, Tunnel-Medium-Type := IEEE-802, Tunnel-Private-Group-Id := "20"</code></pre> <h3>authorize-Block-Reihenfolge in FreeRADIUS</h3> <pre><code class="language-plaintext"># /etc/freeradius/3.0/sites-enabled/default # KRITISCH: files-Modul MUSS vor eap stehen! authorize { filter_username preprocess files # &lt;-- VOR eap! Sonst keine VLAN-Attribute im Access-Accept eap { ok = return } mschap pap }</code></pre> <p>Wenn <code>eap</code> zuerst ausgeführt wird, werden die statischen VLAN-Attribute aus der users-Datei nicht in den Access-Accept übernommen. Authentifizierung klappt, VLAN-Zuweisung nicht – ein schwer zu findender Fehler.</p> <h2>Schritt 5: GPO-WLAN-Profil deployen</h2> <p>Damit Windows-Clients automatisch das korrekte 802.1X-Profil erhalten, deployst du es per Gruppenrichtlinie. Details zum GPO-Einsatz findest du in der Anleitung <a href="https://s-edv.com/anleitungen/gruppenrichtlinien-gpo-grundlagen-praxis">Gruppenrichtlinien (GPO): Grundlagen und Praxis</a>.</p> <pre><code class="language-powershell"># WLAN-Profil als XML exportieren (auf einem bereits konfigurierten Client) netsh wlan export profile name="Firmen-WLAN" folder=C:\WLAN-Profile</code></pre> <p>GPO-Pfad: <strong>Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → WLAN-Richtlinien (IEEE 802.11)</strong></p> <p>Beim Anlegen des Profils in der GPO unbedingt beachten:</p> <ul> <li>SSID exakt eintragen (Groß-/Kleinschreibung)</li> <li>WPA2-Enterprise oder WPA3-Enterprise wählen</li> <li>EAP-Typ: PEAP oder EAP-TLS</li> <li><strong>Unter „Erweiterte Einstellungen":</strong> Interne Root-CA als vertrauenswürdig markieren und NPS-FQDN für Server-Name-Validation eintragen</li> <li>Bei EAP-TLS: Root-CA-Thumbprint explizit angeben (Windows 11 Pflicht ab 22H2)</li> </ul> <p>Die GPO greift auf alle Computerobjekte in der verknüpften OU automatisch nach dem nächsten GP-Refresh. Für EAP-TLS-Rollout zusätzlich das Auto-Enrollment für Computerzertifikate aktivieren: <strong>Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Richtlinien für öffentliche Schlüssel → Automatische Zertifikatanforderungseinstellungen</strong>.</p> <h2>Schritt 6: MAB für Drucker und IoT-Geräte</h2> <p>Drucker, Kameras und andere IoT-Geräte ohne 802.1X-Supplicant authentifizierst du per <strong>MAC Authentication Bypass (MAB)</strong>. Der Switch wartet kurz auf eine EAP-Antwort; bleibt sie aus, sendet er die MAC-Adresse des Geräts als RADIUS-Anfrage (Username = MAC, Password = MAC per PAP).</p> <pre><code class="language-plaintext"># /etc/freeradius/3.0/users # Drucker mit MAC aa:bb:cc:dd:ee:ff -> VLAN 99 (Drucker-VLAN) aabbccddeeff Cleartext-Password := "aabbccddeeff" Service-Type := Call-Check, Tunnel-Type := VLAN, Tunnel-Medium-Type := IEEE-802, Tunnel-Private-Group-Id := "99"</code></pre> <p>In NPS musst du für die MAB-Netzwerkrichtlinie <strong>PAP als Authentifizierungsmethode explizit erlauben</strong> – sonst lehnt NPS MAB-Anfragen ab. Die 802.1X-Richtlinie muss in der Reihenfolge eine <strong>höhere Priorität</strong> haben als die MAB-Richtlinie.</p> <h2>Troubleshooting / Typische Fehler</h2> <ul> <li><strong>NPS Reason Code 22 (EAP-Aushandlung gescheitert):</strong> Häufigste Ursache bei Windows-11-Clients. Prüfe: (1) Root-CA-Thumbprint im WLAN-Profil eingetragen? (2) Serverzertifikat abgelaufen? (3) TLS-1.3-Problem (Windows 11 ab 22H2 nutzt standardmäßig TLS 1.3, NPS unterstützt kein TLS 1.3). Diagnose: CAPI2-Log aktivieren mit <code>wevtutil sl Microsoft-Windows-CAPI2/Operational /e:true</code>, danach erneut verbinden und CAPI2-Events auf Event-ID 11 prüfen.</li> <li><strong>TLS 1.3 vs. NPS:</strong> Windows 11 ab 22H2 verwendet TLS 1.3 standardmäßig für PEAP/EAP-TTLS. NPS (alle Versionen inkl. Windows Server 2025) unterstützt TLS 1.3 nicht. Symptom: Sporadische Authentifizierungsfehler. Lösung: TLS 1.3 für EAP auf dem NPS-Server per Registry deaktivieren oder auf FreeRADIUS migrieren.</li> <li><strong>VLAN-Zuweisung trotz erfolgreicher Authentifizierung ignoriert:</strong> Prüfe mit Wireshark, ob alle drei Tunnel-Attribute im Access-Accept vorhanden sind und <code>Tunnel-Private-Group-Id</code> als String übertragen wird. Außerdem: Ist der AP/Switch für RADIUS-VLAN-Override konfiguriert? Existiert das VLAN auf dem Switch/AP-Trunk-Port?</li> <li><strong>files-Modul nach eap in FreeRADIUS:</strong> Authentifizierung erfolgreich, aber kein VLAN. Lösung: <code>files</code> im <code>authorize</code>-Block vor <code>eap</code> platzieren.</li> <li><strong>EAP-TLS: Unvollständige Zertifikatskette:</strong> NPS muss das komplette Serverzertifikat inklusive aller Intermediate-CAs senden. Fehlt ein Intermediate, schlägt die Client-Validierung fehl (CAPI2-Event 11 „Certificate chain could not be built"). Lösung: Intermediate-CA-Zertifikate im Windows-Zertifikatsspeicher unter „Zwischenzertifizierungsstellen" hinterlegen.</li> <li><strong>Reason Code 16 (Falsche Anmeldedaten):</strong> Bei EAP-TLS oft: Client-Zertifikat fehlt oder ungültig. Prüfen mit <code>Get-ChildItem Cert:\LocalMachine\My | Select-Object Subject, EnhancedKeyUsageList, NotAfter</code>.</li> <li><strong>RADIUS Shared Secret Mismatch:</strong> Keine NPS-Events im Eventlog, AP meldet „RADIUS Timeout". Prüfen: <code>netsh nps show client</code> und AP-Konfiguration vergleichen. Case-sensitive!</li> <li><strong>FreeRADIUS AD-Suche schlägt fehl:</strong> „User not found" bei Benutzernamen im Format <code>DOMAIN\User</code>. Lösung: <code>%{Stripped-User-Name}</code> statt <code>%{User-Name}</code> im LDAP-Filter verwenden.</li> <li><strong>NPS-Audit nicht aktiviert:</strong> Ohne Auditpol-Befehl erscheinen keine Events 6272/6273 im Security-Log.</li> <li><strong>WPA3-Enterprise 192-bit Zertifikatskette:</strong> Root-CA, Intermediate-CA und Leaf-Zertifikat müssen durchgehend P-384 verwenden. Mischung mit P-256 führt zu Authentifizierungsfehlern.</li> </ul> <h2>Häufige Fragen</h2> <h3>Was ist der Unterschied zwischen PEAP-MS-CHAPv2 und EAP-TLS?</h3> <p>PEAP-MS-CHAPv2 authentifiziert per Benutzername und Passwort (AD-Credentials) und benötigt nur ein Serverzertifikat auf dem NPS. Das ist einfacher zu deployen, aber anfällig für Passwort-Angriffe. EAP-TLS nutzt gegenseitige Zertifikatsauthentifizierung – Client- und Serverzertifikat – und ist deutlich sicherer, da kein Passwort über das Netz geht. EAP-TLS erfordert eine PKI (AD CS) und Zertifikatsverteilung per GPO. Für WPA3-Enterprise 192-bit-Modus ist EAP-TLS verpflichtend.</p> <h3>Warum funktioniert die dynamische VLAN-Zuweisung nach erfolgreicher Authentifizierung nicht?</h3> <p>Die häufigsten Ursachen: (1) <code>Tunnel-Private-Group-Id</code> als Integer statt String konfiguriert. (2) <code>files</code>-Modul steht in FreeRADIUS nach <code>eap</code> im <code>authorize</code>-Block. (3) Der AP/Switch ist nicht für RADIUS-VLAN-Override konfiguriert – das ist eine separate Einstellung im AP, nicht automatisch aktiv. (4) Das VLAN existiert nicht auf dem Switch/AP-Trunk-Port. Wireshark-Mitschnitt am RADIUS-Port zeigt, ob alle drei Tunnel-Attribute im Access-Accept vorhanden sind.</p> <h3>NPS-Eventlog zeigt Reason Code 22 – was tun?</h3> <p>Reason Code 22 bedeutet „EAP-Typ konnte nicht ausgehandelt werden". Vorgehen: CAPI2-Log aktivieren (<code>wevtutil sl Microsoft-Windows-CAPI2/Operational /e:true</code>), erneut verbinden und CAPI2-Events auf Zertifikatsfehler prüfen. Außerdem: Serverzertifikat gültig (<code>certlm.msc</code>)? Root-CA-Thumbprint im WLAN-GPO-Profil eingetragen? TLS-1.3-Kompatibilitätsproblem (Windows 11 22H2+ vs. NPS)?</p> <h3>Wie authentifiziere ich Drucker und IoT-Geräte ohne 802.1X-Unterstützung?</h3> <p>Per MAC Authentication Bypass (MAB): Der Switch wartet kurz auf EAP-Antwort; bleibt sie aus, sendet er die MAC-Adresse als RADIUS Access-Request (Username = MAC, Passwort = MAC per PAP). In FreeRADIUS trägst du die MAC in <code>/etc/freeradius/3.0/users</code> mit zugehörigem VLAN ein (Format ohne Trennzeichen: <code>aabbccddeeff</code>). Verwende ein separates Drucker-VLAN mit strikter Firewall-Regel – MAB bietet keine echte Authentifizierung, nur MAC-Whitelisting.</p> <h3>Kann ich NPS und FreeRADIUS parallel betreiben?</h3> <p>Ja. Trage im AP/Switch zwei RADIUS-Server ein (Primary = NPS, Secondary = FreeRADIUS). Switchover erfolgt automatisch bei Timeout. NPS kann auch als RADIUS-Proxy konfiguriert werden und Anfragen an FreeRADIUS weiterleiten. Für Hochverfügbarkeit empfiehlt sich ein zweiter NPS-Server als Secondary-RADIUS – beide in der Domäne registriert.</p> <h3>Wie deploye ich das WLAN-Supplicant-Profil per GPO?</h3> <p>In der Gruppenrichtlinienverwaltung (<code>gpmc.msc</code>): <strong>Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → WLAN-Richtlinien (IEEE 802.11) → Neue Richtlinie</strong>. SSID eingeben, WPA2- oder WPA3-Enterprise wählen, EAP-Typ konfigurieren, unter „Erweiterte Einstellungen" die interne Root-CA als vertrauenswürdig markieren und den NPS-FQDN für Server-Name-Validation eintragen. GPO auf OU mit Computerobjekten anwenden.</p> <h2>Fazit</h2> <p>Enterprise-WLAN mit 802.1X ist kein Hexenwerk, wenn man die Fallstricke kennt. NPS eignet sich ideal für reine Windows/AD-Umgebungen – der Deployaufwand ist gering, die AD-Integration nativ. FreeRADIUS ist die flexiblere Wahl, vor allem wegen TLS-1.3-Unterstützung und besserer Erweiterbarkeit. Die dynamische VLAN-Zuweisung scheitert in der Praxis fast immer an einem der drei Punkte: falscher Attributtyp, falsche Modulreihenfolge in FreeRADIUS oder fehlender VLAN-Override-Konfiguration am AP. Für Windows-11-Clients ist das Root-CA-Thumbprint im GPO-Profil seit 22H2 Pflicht. Wer EAP-TLS anstrebt, sollte AD CS und Auto-Enrollment von Anfang an planen – das Nachmigrieren ist aufwändig. Die Kombination aus <a href="https://s-edv.com/anleitungen/vlans-verstehen-managed-switch-einrichten">VLAN-Segmentierung am Managed Switch</a> und 802.1X-basierter RADIUS-Authentifizierung bildet das Fundament für ein Zero-Trust-nahes Netzwerkdesign.</p> <h2>Weiterführende Anleitungen und Quellen</h2> <ul> <li><a href="https://s-edv.com/anleitungen/vlans-verstehen-managed-switch-einrichten">VLANs verstehen und am Managed Switch einrichten</a> – Grundlage für VLAN-Segmentierung und Trunk-Konfiguration</li> <li><a href="https://s-edv.com/anleitungen/active-directory-domaene-einrichten-benutzer-ou">Active Directory Domäne einrichten: Benutzer und OUs</a> – AD-Grundkonfiguration als Voraussetzung für NPS-Integration</li> <li><a href="https://s-edv.com/anleitungen/gruppenrichtlinien-gpo-grundlagen-praxis">Gruppenrichtlinien (GPO): Grundlagen und Praxis</a> – GPO-Deployment für WLAN-Profile und Zertifikats-Auto-Enrollment</li> <li><a href="https://s-edv.com/anleitungen/pfsense-opnsense-firewall-erstkonfiguration">pfSense/OPNsense Firewall: Erstkonfiguration</a> – Inter-VLAN-Routing und Firewall-Regeln zwischen WLAN-VLANs</li> </ul> <p><strong>Quellen:</strong> Microsoft Learn: Deploy Password-Based 802.1X Authenticated Wireless Access; Microsoft Learn: EAP – What's changed in Windows 11; Microsoft Learn: 802.1X Authentication Issues Troubleshooting; Informatec Digital: 802.1X FreeRADIUS and Dynamic VLANs; NetworkGuy.de: 802.1X/MAC-Auth and dynamic VLAN assignment; Bovenkamp.us: NPS 802.1X Reason Codes (2025); SecureW2: EAP Method Requirements for WPA3-Enterprise.</p>