Radius Server 802.1x Authentication

ahmedahmed · Beitrag von **ahmedahmed** » 08 Feb 2016, 08:49

Hallo Leute,

ich habe da mal eine Frage zu der Radius-Config. Ich möchte über den Radius Dienst die zugänge zu unserem Firmennetzwerk schützen.

Momentan ist es so aufgebaut:

Aufbau:
Speedport W723V Hauptrouter mit VDSL50. Wlan ausgeschaltet.

Über LAN1 ist der Lancom 1823Voip mit Speedport verbunden und so eingerichtet das er darüber ins internet geht. (Die Einstellung: Internet über Kabelmodem habe ich genommen (ist das so okay?))

Ziel:
Ich möchte nun für jeden Mitarbeiter seine eigene Benutzername und Passwort geben, sodass er sich da einwählen kann. Später auch die Übertragunsgeschwindigkeit Drosseln.

Frage:
Geht das überhaupt mit Lancom? Wenn Ja wie setze ich das am besten um? Radius habe ich schon aktivieren können. Allerdings loggt es sich mit der ganz normalen PreShared Key.

Nebenfrage für Später: Kann ich die Netzwerke auch trennen? Sodass die MA kein Zugriff aufs Drucker haben?

gruß ahmedahmed

ahmedahmed · Beitrag von **ahmedahmed** » 17 Feb 2016, 17:35

Hallo,

bin jetzt inzwischen bisschen weitergekommen, allerdings kann ich mich nicht mit dem WLAN verbinden.

Mein Iphone zeigt Name und Passwort an. Sobald ich aber die Daten eingebe, verbindet sich es nicht.

Welche "richtige" "Einstellungen muss ich denn hier nehmen?

Bernie137 · Beitrag von **Bernie137** » 17 Feb 2016, 18:17

Hallo ahmedahmed,

Nimm WPA 802.1x. Passwort ist dann kein wirkliches Passwort, sondern der Name des Radius Eintrages von der Radius Tabelle, in Deinem Beispiel sucht es in der Tabelle einen Radius Server namens "geheim".

Vg Bernie

ahmedahmed · Beitrag von **ahmedahmed** » 17 Feb 2016, 23:03

Hi habe es jetzt gesetzt,

allerdings kann ich mich nicht mit dem Router verbinden. Weder mit iphone noch mit windows.

was mach ich da falsch?

danke

Bernie137 · Beitrag von **Bernie137** » 18 Feb 2016, 13:47

Hi,

was mach ich da falsch?

Keine Ahnung. Du verräts ja nicht, wer oder was der Radius ist. Verwendest Du überhaupt ein Zertifikat auf dem Radius? Halte Dich an diese Anleitung: https://www2.lancom.de/kb.nsf/1275/5DE5 ... enDocument

Über LAN1 ist der Lancom 1823Voip mit Speedport verbunden und so eingerichtet das er darüber ins internet geht. (Die Einstellung: Internet über Kabelmodem habe ich genommen (ist das so okay?))

Je nachdem was Du erreichen möchtest. Sollen es ein Netz oder getrennte Netze sein? Wozu muss der 1823VoiP selbst ins Internet gelangen usw?

vg Bernie

ahmedahmed · Beitrag von **ahmedahmed** » 22 Feb 2016, 08:09

Hallo nochmal,

der Lancom Router sollte einfach über den LAN Port ins internet gelangen. Allerdings merke ich, dass der Router immer versucht eine Verbindung zum Internet aufzubauen.
Verstehe nicht wieso. Theroretisch hat er ja einen Zugang übers Netzwerkkabel.

Die zweite Sache, mein Lancom unterstützt kein LCOS9 und das ist eine Voruassetzung um Zertifikate intern zu erzeugen. Besteht nun irgendwie eine alternative wie ich Zertifikat auf mein Lancom bringen kann? Ansonsten muss ich ja eine andere Speicherort haben. An meiner Lancom gibt es eine USB Port. Da kann ich ja mein Zertifikat auf USB Stick speichern und damit ans Router bringen. Ist dieser Konstellation denkbar? Oder gibt es bessere Lösungen. Vestehe nicht wie die das Früher mit der Lcos8 gemacht haben.

Muss es überhaupt ein Zertifikat geben?

lg ahmet

Bernie137 · Beitrag von **Bernie137** » 22 Feb 2016, 14:04

Hi,

der Lancom Router sollte einfach über den LAN Port ins internet gelangen. Allerdings merke ich, dass der Router immer versucht eine Verbindung zum Internet aufzubauen.
Verstehe nicht wieso. Theroretisch hat er ja einen Zugang übers Netzwerkkabel.

Das ist keine Antwort auf meine Frage. Sind es zwei verschiedene IP Netze, Ja oder Nein, benenne den/die IP Kreis(e)? Und ist der 1823 der Radius, ja oder nein oder wer sonst?

Die zweite Sache, mein Lancom unterstützt kein LCOS9 und das ist eine Voruassetzung um Zertifikate intern zu erzeugen.

OK, dafür gibt es die Software XCA?

Besteht nun irgendwie eine alternative wie ich Zertifikat auf mein Lancom bringen kann? Ansonsten muss ich ja eine andere Speicherort haben. An meiner Lancom gibt es eine USB Port. Da kann ich ja mein Zertifikat auf USB Stick speichern und damit ans Router bringen. Ist dieser Konstellation denkbar? Oder gibt es bessere Lösungen. Vestehe nicht wie die das Früher mit der Lcos8 gemacht haben.

Das eine (Erzeugung des Zertifikates) und Verwendung mit einem Lancom hat nichts mit LCOS9 zu tun. Hast Du Dir die Anleitung überhaupt durchgelesen, speziell Punkt 24? Für einen prinzipellen Test nimm einfach das Zertifikat aus der Anleitung. Wenn das dann läuft, kannst Du Dich mit XCA auseinandersetzen und ein eigenes Zertifikat bauen.

vg Bernie

ahmedahmed · Beitrag von **ahmedahmed** » 23 Feb 2016, 10:49

Hallo nochmal,

der 1823 soll der Radius sein. Der Speedport w723v Router ist mit VDSL verbunden und DHCP ist eingeschaltet.

Der Lancom Router zieht sozusagen sein IP von der Speedport Router. IP Adresse ist gleich, also in dem Bereich 192.168.2.100-250. (Standart)
(Im moment ist es mit meiner Fritzbox verbunden, nicht das es verwirrt. IP 192.168.178.10-200)

Also keine verschiedene IP-Netze. Nein.

Ist es in dieser konstellation möglich, VLAN zu verwenden. oder gibt es bessere Lösung.

Habe mir die Anleitung angeschaut, allerdings wegen des Zertifikat Problems nicht weiter gemacht.

(Nur kurz nebenbei, ich habe das gefühl, dass nein Lancom manchmal versucht das ganze Internet über sich Lauffen zu lassen. In dem moment habe ich dann seltene kurze Internetabbrüche. Ist dies möglich?)

danke für deine Bemühungen

lg ahmet

Bernie137 · Beitrag von **Bernie137** » 23 Feb 2016, 11:11

Hallo ahmedahmed,

Also keine verschiedene IP-Netze. Nein.

OK, dachte ich mir schon. Das bedeutet, der LANCOM 1823VoIP arbeitet dann nur als AccessPoint und das ist auch in Ordnung. Daher braucht er selbsr auch überhaupt keinen Internetzugang und muss auch keinen Internetzugang für irgendwelche Clients bereitstellen. Daher lösche in seiner Konfiguration den Zugang zum Internet: Assistent Gegenstelle löschen.

Oder aber, fange mit einem Gerätereset nocheinmal von vorne an und richte ihm keinen Internetzugang ein. Es geht Dir ja nur um WLAN. Entferne die Blockrouten und lade das beispielhafte Zertifikat der Lancom Anleitung ins Gerät. Dann sollte WLAN funktionieren, wie Du es brauchst.

Ist es in dieser konstellation möglich, VLAN zu verwenden. oder gibt es bessere Lösung.

Was soll man darauf antworten? Du schreibst, es ist ein Netz und im nächsten Satz fragst Du per VLAN wegen Netztrennung. Belasse es bei einem Netz, wenn die WLAN Clients die gleichen Ressourcen wie die kabelgebundenen Rechner verwenden sollen. Für Gast WLAN solltest Du hingegen eine Trennung der Netze vorsehen, was aber getrennt von der Radius Authentifizierung behandelt werden kann. Und dann hat man normalerweise zwei IP Netze ggf. durch VLAN getrennt. Also anderes Thema.

vg Bernie

ahmedahmed · Beitrag von **ahmedahmed** » 23 Feb 2016, 23:01

Hallo nochmal,

ich habe jetzt alles konfigurert. (davor Reset) Funktioniert

.

Allerdings versucht mein Lancom dauernd eine ADSL Verbindung aufzubauen. Kann man das einfach nicht abschalten?

Bei der "Gegenstelle oder Zugang löschen" ist nichts zu wählen. (s.screenshot)

Es bricht mein Internet für eins bis zwei millisekunden.. das ist natürlich schlecht...

Ich habe es als Client konfiguriert.

lg ahmet

Bernie137 · Beitrag von **Bernie137** » 23 Feb 2016, 23:21

Hi,

Schnittstellen -> WAN -> Interface -> ADSL -> aus.

vg Bernie

LANCOM-Forum.de