Windows Radius Server Authentifizierung mit Controller / AP

[OlliWW]

Hallo Zusammen,

Ich habe einen WLC-4006+ WLAN Controller und eine handvoll Lancom Access Points die über den Controller verwaltet werden sollen.

Die Authentifizierung des WLAN Netzes soll über Radius (802.1x) erfolgen. Der Radius Server läuft auf meinem Windows Domänen Controller.
Wenn ich nun auf meinem Domänen Controller im Netzwerkrichtlinien Server die einzelnen Access Points mit IP und Passwort einrichte funktioniert die Anmeldung an dem WLAN Netz auch perfekt. In den Traceausgaben der Access Points sehe ich, dass diese eine Anfrage an den Domänen Controller (Radius Server) stellen, der diese beantwortet und dann werden die WLAN Clients authentifiziert.

Allerdings möchte ich nicht jeden Access Points immer noch in der Liste der Radius Clients im Netzwerkrichtlinien Dienst des Domänen Controllers pflegen. Ich hatte die Hoffnung durch den WLAN Controller, dass dieser all diese Aufgaben übernehmen kann.

Ich erwarte:
AP stellt Anfrage an WLAN Controller, dieser leitet weiter an den Netzwerkrichtlinien Server. Aber das scheint nicht zu funktionieren.

Nun hab ich in der Lanconfig des Controllers bereits den Punkt "Radius Weiterleitung" gefunden, was im Prinzip wahrscheinlich die Lösung für mein Problem wäre. Ich weiß allerdings nicht, wie ich das einrichten soll. Ich habe schon verschiedene Szenarien getestet:
Im Domänen Controller die IP des WLAN Controllers eingetragen und in den Access Points die IP des WLAN Controllers als Radius Server angegeben, aber alle dies funktioniert nicht.

Habt ihr vielleicht einen Rat für mich?

[Cytor]

Hi,

- RADIUS Server am WLC einschalten (Authentisierungsport eintragen, normalerweise 1812, ggf. noch Accountingport 1813)
- RADIUS-Profil am WLC auf Standard belassen -> als IP-Adresse muss 0.0.0.0 und als Port 0 eingetragen werden, damit landet alles beim WLC
- Im RADIUS-Server des WLC unter RADIUS-Weiterleitung deinen Windows-Server eintragen.

Hast dann natürlich einen single point of failure, falls es deinen WLC zerlegt.

[Bernie137]

Hi,

Ja die Radius Weiterleitung per WLC kann man machen. Es setzt allerdings voraus, das alle Geräte min. LCOS 8.80 verwenden. Ab da wird es unterstützt.

Vg Bernie


Gesendet von iPhone mit Tapatalk

[5624]

Hi,

Ja die Radius Weiterleitung per WLC kann man machen. Es setzt allerdings voraus, das alle Geräte min. LCOS 8.80 verwenden. Ab da wird es unterstützt.

Vg Bernie


Gesendet von iPhone mit Tapatalk

Diese Aussage ist nicht korrekt. Ab 8.80 konnte man erst mit dem WLC mehrere RADIUS-Profile anlegen und zuweisen. Davor konnte man nur einen Satz RADIUS-Server hinterlegen. Also entweder interner RADIUS oder externer RADIUS. Seit 8.80 kann man z.B. der SSID x den RADIUS a zuweisen und der SSID y den RADIUS b. Egal ob der interne oder irgendein externer.

Vorher musste bei mehreren RADIUS-Servern die Sache über den internen RADIUS des WLC gehen und dann anhand eines Realms weiterleiten.

Letzteres hatte den Nachteil, dass keine Authentifizierung möglich ist, wenn die Verbindung zum WLC weg war, der RADIUS aber am gleichen Standort wie die APs stand.

[Bernie137]

Hi,

Diese Aussage ist nicht korrekt. Ab 8.80 konnte man erst mit dem WLC mehrere RADIUS-Profile anlegen und zuweisen. Davor konnte man nur einen Satz RADIUS-Server hinterlegen. Also entweder interner RADIUS oder externer RADIUS.

Da hast Du sicher recht.

Seit 8.80 kann man z.B. der SSID x den RADIUS a zuweisen und der SSID y den RADIUS b. Egal ob der interne oder irgendein externer.

Korrekt. Und ab da macht es auch Sinn. In 90% der Fälle hat man ein Hausnetz und ein Gastnetz.

Vorher musste bei mehreren RADIUS-Servern die Sache über den internen RADIUS des WLC gehen und dann anhand eines Realms weiterleiten.

Eben. Und das scheitert bei einer Active Directory Domain. Weil der REALM lautet: host\machine.domain.sonstwas. Ein Backslashzeichen \ ist aber für einen Realm nicht zugelassen. Lies mal hier: http://www.lancom-forum.de/post67679.ht ... ain#p67679

vg Bernie

[5624]

Ich hatte es ein Jahr lang so laufen, sprich 8.62 übern WLC-RADIUS mit AD-Anbindung. Lief einwandfrei. Danach kam 8.80. Ich hab aber auch keine computerbasierte Authentifizierung gemacht sondern es lief rein über den Benutzer.

Das ein Backslash als Realm nicht zugelassen ist, kann ich nicht glauben. Ich bin mir sicher, dass der WLC damals definitiv den Backslash erkannt und im Trace den Realm aufgeführt hat. Hab jetzt gerade nur kein Gerät im WLAN aktiv, was mit Realm konfiguriert ist, um einen Traceauszug zu liefern. Ich werds prüfen.

[alf29]

Moin,

ein Backslash als *Trenner* von Domain und Benutzername ist im LCOS-Radius-Server seit Ewigkeiten zugelassen - der Teil vor dem Backslash wird dann als Realm betrachtet und kann zur Weiterleitung benutzt werden.

Bei Computerauthentisierung hat der zusammengesetzte "Benutzername" die Form 'host/<name>.<domain>'. Wichtig: Da ist ein Slash und kein Backslash drin. Diese Form unterstützt LCOS aktuell nicht, LCOS 9.10 wird einen Schalter haben, um auch solche Namen zu erkennen und den Domain-Teil als Realm zu betrachten.

Gruß Alfred

[Bernie137]

Moin,

Ja Slash nicht Backslash, so herum war es. Sorry, dass ich jetzt noch Verwirrung gemacht habe.

Vg Bernie


Gesendet von iPhone mit Tapatalk

[P. Thelen]

Hallo,

ich bin ein Kollege des Threaterstellers und poste hier einfach mal weiter.
Haben das ursprüngliche Problem behoben, danke vor allem an Cytor, dessen Beitrag sehr geholfen hat!
Habe alles 0.0.0.0 gesetzt, Herkunftsnetz auf intranet und den weiterleitungsserver mit den Ports eingetragen.

Szenario ist nun:
-Wlan netz läuft auf Access Point (wlc gibt konfiguration etc korrekt weiter).
-Client meldet sich an
-Anfrage geht über WLC an den Radius server (der auf einem AD2012 server läuft)
-Man meldet sich mit normalem userlogin der Domäne an.

Wir haben Zzt 2 Netze, ein 192er Netz und ein 172er und stellen mit und mit alles um.
Problem an der Sache ist: Die Ip kommt zzt auch vom Radius/AD2012 (bzw dem DHCP Server auf diesem) . Jetzt ist dieser noch im alten 192er Netz, der WLC+APs jedoch schon im 172er,
und die WLAN-Clients sollen auch ne 172er IP kriegen. Das heißt ich müsste DHCP so konfigurieren das der WLC 172er Ips verteilt und nur die Authentifizierung
über den Radius/ad2012 geht. Allerdings darf DHCP nicht fürs Lan am WLC aktiv sein, da es sonst logischerweise das Netz zerschießt.

Folgendes habe ich getestet:
-Neues IP Netz erstellt, wie das wlan netz genannt und die DHCP Range festgelegt
-Das Netz unter DHCP Netzwerke eingerichtet und DHCP auf an, Sicherheitshalber DHCP an allen LAN Ports des WLC deaktiviert
-Unter Radius Profil als herkunftsnetz das neue anstatt "INTRANET" gewählt

Funktioniert auch alles noch mim Login, nur die IP kommt weiterhin aus dem 192er Netz (192.168.0.81)

Bin ich da auf dem Richtigen Weg und übersehe was wichtiges, oder bin ich voll auf dem Holzweg?

Danke schonmal und viele Grüße

[5624]

Das neue IP-Netz bringt nichts, weil du scheinbar keine WLC-Tunnel einsetzt sondern die APs den kompletten Traffic ins LAN übergeben. Deswegen wird das, was du vorhast, nicht klappen.

Versteh ich das richtig, dass du den kompletten WLAN-Traffic ohne Routing direkt ins LAN "kippst"? Wenn ja, hast du keinerlei Möglichkeit, die neuen IP-Adressen zu erzwingen.

1. Lösung: Managementtraffic der APs und WLAN-Traffic über verschiedene VLANs abwickeln (z.B. AP untagged weiterhin im vorhandenen Netz, WLAN-Traffic mit VLAN-Tag) und über einen Router die Verbindung herstellen.
2. Lösung: APs in ein extra VLAN stecken, Management- und WLAN-Traffic laufen nebeneinander, über einen Router erfolgt wieder die Verbindung zum vorhandenen Netz
3. Lösung: Layer3-WLC-Tunnel, wobei diese Performance fressen