WLAN mit externen Radius-Server

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

WLAN mit externen Radius-Server

Beitrag von RalphT »

Moin,

es kann sein, dass ich hier im falschen Forum bin, da das Ganze auch ein Microsoft-Problem sein kann. Ich probiere aber trotzdem mal.
Vielleicht hat das einer von euch schon mal aufgebaut und könnte helfen.
Folgendes habe ich aufgebaut:

Einen alten Lancom 1811 habe ich als WLAN-Access-Point genutzt. Ich habe im Lancom zwei SSISs (Test_1 und Test_2) erstellt. Weiterhin läuft auf dem Lancom ein DHCP-Server.
Ich habe im Lancom zwei VLANs (110 und 120) erstellt. Die WLAN-Authentifizierung ist als 802.11i und 802.1x eingestellt. Es wird ein externer Radius-Server verwendet. Das ist im Lancom auch hinterlegt.
Dieser externe Radius-Server und ein Domänencontroller, beides Windows-Server 2008. Auf dem Radius-Server sind zwei Richtlinien hinterlegt. Eine Richtlinie, wenn jemand über die SSID Test_1 kommt und die andere über SSID Test_2.

Ich wollte folgendes erreichen:
Verbindet sich ein Client mit dem WLAN Test_1, dann soll die Richtlinie 1 im Radius-server greifen. Kommt jemand über Test_2, dann soll die zweite Richtlinie greifen. Das funktiniert leider nicht. Es greift immer die erste Richtlinie im Radius-Server.

Im Radius-Server gibt es bei der Richtline, vier Reiter. Im Reiter Einstellungen kann man Attribut für VLANs erstellen. D.h. der Radius-Server soll erkennen, über welches VLAN die Verbindung hergestellt werden soll.
Dazu kann man im Radius-Server in der Richtlinie 1 folgende Attribute hinzufügen:

Tunnel-Medium-Type: 802
Tunnel-Pvt-Group-ID: 110
Tunnel-Type: Virtual LANs (VLAN).

Das habe ich so gemacht, funktioniert nur leider nicht.

Eigentlich könnte ich statt der VLANs nach SSIDs im Radius filtern. Und das habe ich auch mal probiert. Im Radius habe unter Bedingungen die Empfangs-ID eingetragen. Dann filtert der Radius und macht auch das was ich will.

Ok, ich könnte ja nach SSIDs filtern, aber es muss ja auch über VLAN funktionieren.

Vielleicht kommt das ja hier jemand bekannt und weiß einen Rat.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: WLAN mit externen Radius-Server

Beitrag von alf29 »

Moin,

dazu müßte das LANCOM ja in seinen RADIUS-Requests die VLANs der Clients mitschicken, und das tut es nicht. Die von Dir genannten RADIUS-Attribute wertet das LANCOM lediglich in RADIUS-Antworten aus, so daß der RADIUS-Server umgekehrt Clients in andere VLANs verschieben kann.
Wenn Du unterschiedliche Richtlinien für die beiden SSIDs haben willst, wirst Du das an der SSID festmachen müssen, genauer gesagt an dem Attribut "Called-Station-Id".

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
RalphT
Beiträge: 268
Registriert: 23 Mai 2005, 20:40
Wohnort: Bremen

Re: WLAN mit externen Radius-Server

Beitrag von RalphT »

Alles klar. Dann bleibe ich bei meiner funktionierenden Lösung über die SSID.
Das Attibut "Called-Station-ID" wird im NPS-Server von Windows Server 2008 "Empfangs-ID" genannt. Das ist dann im Reiter "Bedingungen" zu finden.
dazu müßte das LANCOM ja in seinen RADIUS-Requests die VLANs der Clients mitschicken, und das tut es nicht.
Trifft das jetzt nur beim Lancom zu und kann es bei anderen Herstellern funktionieren? Oder ist das generell so?
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: WLAN mit externen Radius-Server

Beitrag von alf29 »

Moin,
Trifft das jetzt nur beim Lancom zu und kann es bei anderen Herstellern funktionieren? Oder ist das generell so?
Die RFCs lassen prinzipiell diese Attribute auch in einem Request zu. Wie andere Hersteller das handhaben, weiß ich jetzt nicht aus dem Kopf. Ich würde das jetzt aber auch nicht im LCOS so ändern wollen, daß das VLAN einfach immer mitgeschickt wird, wegen möglicher Seiteneffekte in existierenden Aufbauten.

Seit LCOS 10.00 gibt es die Möglichkeit, bei RADIUS-Requests eigene, benutzerderfinierte Attribute mitzugeben. Da die an der Definition eines RADIUS-Servers hängen, müßtest Du für die beiden SSIDs dann nur den RADIUS-Server zweimal in der 1X-Servertabelle anlegen, mit unterschiedlichen Attributen. Für Dein altes 1811 ist das natürlich keine Lösung...

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Antworten