Moin,
es kann sein, dass ich hier im falschen Forum bin, da das Ganze auch ein Microsoft-Problem sein kann. Ich probiere aber trotzdem mal.
Vielleicht hat das einer von euch schon mal aufgebaut und könnte helfen.
Folgendes habe ich aufgebaut:
Einen alten Lancom 1811 habe ich als WLAN-Access-Point genutzt. Ich habe im Lancom zwei SSISs (Test_1 und Test_2) erstellt. Weiterhin läuft auf dem Lancom ein DHCP-Server.
Ich habe im Lancom zwei VLANs (110 und 120) erstellt. Die WLAN-Authentifizierung ist als 802.11i und 802.1x eingestellt. Es wird ein externer Radius-Server verwendet. Das ist im Lancom auch hinterlegt.
Dieser externe Radius-Server und ein Domänencontroller, beides Windows-Server 2008. Auf dem Radius-Server sind zwei Richtlinien hinterlegt. Eine Richtlinie, wenn jemand über die SSID Test_1 kommt und die andere über SSID Test_2.
Ich wollte folgendes erreichen:
Verbindet sich ein Client mit dem WLAN Test_1, dann soll die Richtlinie 1 im Radius-server greifen. Kommt jemand über Test_2, dann soll die zweite Richtlinie greifen. Das funktiniert leider nicht. Es greift immer die erste Richtlinie im Radius-Server.
Im Radius-Server gibt es bei der Richtline, vier Reiter. Im Reiter Einstellungen kann man Attribut für VLANs erstellen. D.h. der Radius-Server soll erkennen, über welches VLAN die Verbindung hergestellt werden soll.
Dazu kann man im Radius-Server in der Richtlinie 1 folgende Attribute hinzufügen:
Tunnel-Medium-Type: 802
Tunnel-Pvt-Group-ID: 110
Tunnel-Type: Virtual LANs (VLAN).
Das habe ich so gemacht, funktioniert nur leider nicht.
Eigentlich könnte ich statt der VLANs nach SSIDs im Radius filtern. Und das habe ich auch mal probiert. Im Radius habe unter Bedingungen die Empfangs-ID eingetragen. Dann filtert der Radius und macht auch das was ich will.
Ok, ich könnte ja nach SSIDs filtern, aber es muss ja auch über VLAN funktionieren.
Vielleicht kommt das ja hier jemand bekannt und weiß einen Rat.
WLAN mit externen Radius-Server
Moderator: Lancom-Systems Moderatoren
Re: WLAN mit externen Radius-Server
Moin,
dazu müßte das LANCOM ja in seinen RADIUS-Requests die VLANs der Clients mitschicken, und das tut es nicht. Die von Dir genannten RADIUS-Attribute wertet das LANCOM lediglich in RADIUS-Antworten aus, so daß der RADIUS-Server umgekehrt Clients in andere VLANs verschieben kann.
Wenn Du unterschiedliche Richtlinien für die beiden SSIDs haben willst, wirst Du das an der SSID festmachen müssen, genauer gesagt an dem Attribut "Called-Station-Id".
Gruß Alfred
dazu müßte das LANCOM ja in seinen RADIUS-Requests die VLANs der Clients mitschicken, und das tut es nicht. Die von Dir genannten RADIUS-Attribute wertet das LANCOM lediglich in RADIUS-Antworten aus, so daß der RADIUS-Server umgekehrt Clients in andere VLANs verschieben kann.
Wenn Du unterschiedliche Richtlinien für die beiden SSIDs haben willst, wirst Du das an der SSID festmachen müssen, genauer gesagt an dem Attribut "Called-Station-Id".
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: WLAN mit externen Radius-Server
Alles klar. Dann bleibe ich bei meiner funktionierenden Lösung über die SSID.
Das Attibut "Called-Station-ID" wird im NPS-Server von Windows Server 2008 "Empfangs-ID" genannt. Das ist dann im Reiter "Bedingungen" zu finden.
Das Attibut "Called-Station-ID" wird im NPS-Server von Windows Server 2008 "Empfangs-ID" genannt. Das ist dann im Reiter "Bedingungen" zu finden.
Trifft das jetzt nur beim Lancom zu und kann es bei anderen Herstellern funktionieren? Oder ist das generell so?dazu müßte das LANCOM ja in seinen RADIUS-Requests die VLANs der Clients mitschicken, und das tut es nicht.
Re: WLAN mit externen Radius-Server
Moin,
Seit LCOS 10.00 gibt es die Möglichkeit, bei RADIUS-Requests eigene, benutzerderfinierte Attribute mitzugeben. Da die an der Definition eines RADIUS-Servers hängen, müßtest Du für die beiden SSIDs dann nur den RADIUS-Server zweimal in der 1X-Servertabelle anlegen, mit unterschiedlichen Attributen. Für Dein altes 1811 ist das natürlich keine Lösung...
Gruß Alfred
Die RFCs lassen prinzipiell diese Attribute auch in einem Request zu. Wie andere Hersteller das handhaben, weiß ich jetzt nicht aus dem Kopf. Ich würde das jetzt aber auch nicht im LCOS so ändern wollen, daß das VLAN einfach immer mitgeschickt wird, wegen möglicher Seiteneffekte in existierenden Aufbauten.Trifft das jetzt nur beim Lancom zu und kann es bei anderen Herstellern funktionieren? Oder ist das generell so?
Seit LCOS 10.00 gibt es die Möglichkeit, bei RADIUS-Requests eigene, benutzerderfinierte Attribute mitzugeben. Da die an der Definition eines RADIUS-Servers hängen, müßtest Du für die beiden SSIDs dann nur den RADIUS-Server zweimal in der 1X-Servertabelle anlegen, mit unterschiedlichen Attributen. Für Dein altes 1811 ist das natürlich keine Lösung...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015