 |
|
|
|
| Autor |
Nachricht |
laberlin
Anmeldungsdatum: 26.09.2010
Beiträge: 22
|
 Verfasst am:
So 26 Sep, 2010 14:13 |
  |
|
Ja, ich kenne die Suchfunktion (und ich habe nichts gefunden)!
Ich habe den 321 agn und möchte jeden (LAN und WLAN) Nutzer über den internen Radius Server authentifizieren. Der 321 soll erst schauen ob der Nutzer ins Internet darf und ihm dann den Zugriff gewähren.
Wie genau richte ich den Radius Server ein? (hab die neuste Firmware)
Ich habe gelesen ich brauche Zertifikate, stimmt das? Wenn ja, wie richte ich mir selbst welche ein?
Muss ich unter Windows (Client) auch noch was einrichten?
Danke für die Antworten  |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
So 26 Sep, 2010 20:19 |
|
|
Moin,
Deine Frage ist ein bisserl allgemein, um dazu ein konkrete Aussage zu machen...
Willst Du die MAC-Adressen der Clients per RADIUS prüfen oder EAP/802.1x machen? Ersteres
ginge bei einem einzelnen AP ja auch über die MAC-Adreßliste...
Wenn Du 802.1x machen willst, ist die Sache ein bißchen aufwendiger. Unter
Setup->Schnittstellen->WLAN->Verschlüsselung (alle Pfade beziehen sich auf die CLI bzw.
LCOS-Menübaum in der WEBconfig) als MEthode WPA+802.1x auswählen und im Schlüssel-Feld
z.B. 'DEFAULT' schreiben. Unter Setup->IEEE802.1x->RADIUS-Server einen Eintrag gleichen
Namens (also hier DEFAULT) mit Adresse 127.0.0.1 und Port 1812 anlegen (Secret darf in
diesem Fall leer bleiben). Dann unter Setup->RADIUS-Server->Authentifizierungs-Port auf 1812
setzen, um den RADIUS-Server einzuschalten. Unter Setup->RADIUS-Server->User kannst
Du die Zugangsdaten für die Clients (Benutzername und Paßwort) ablegen.
| Zitat:
|
|
Ich habe gelesen ich brauche Zertifikate, stimmt das? Wenn ja, wie richte ich mir selbst welche ein?
|
Ja, brauchst Du, ein CA-Zertifikat, daß Du auf Clients und LANCOM installierst, auf dem
RADIUS-Server ein Gerätezertifikat mitsamt privatem Schlüssel und bei Verwendung von
EAP/TLS auch noch mal pro Client ein Zertifikat. Zum Erzeugen der privaten CA und der
Zertifikate kann man z.B. XCA benutzen.
Ach ja, bis einschließlich zur 8.00er-Release gibt es ein bekanntes Problem mit der Verwendung
von PEAP und dem im Windows eingebauten Supplicant. Im Release-Update der 8.00
wird das hoffentlich besser funktionieren.
| Zitat:
|
|
Der 321 soll erst schauen ob der Nutzer ins Internet darf und ihm dann den Zugriff gewähren.
|
Also das WLAN kümmert sich erstmal nur um die Zugangskontrolle auf der WLAN-Seite, wohin
die Clients danach dann dürfen, interessiert das WLAN oder 802.1x erstmal nicht...
Gruß Alfred |
|
|
 |
|
laberlin
Anmeldungsdatum: 26.09.2010
Beiträge: 22
|
| Verfasst am:
Mo 27 Sep, 2010 09:48 |
|
|
Danke Alfred!
Ich möchte EAP/802.1x machen... Das ist doch am sichersten, oder?
Soweit habe ich das nun alles eingetragen.
Ich habe drei Zertifikate erstellt, CA, eins für den Server (also Router) und eins für den Client. Ich habe die drei dann auch auf den Router bekommen (bei Zertifikate stehen Sie allerdings nicht drin, nur im Menübaum) und das CA und Client auf meinem Win7 PC installiert (in Firefox, richtig?).
Ich bekomme nun beim Verbiundungsversuch die Meldung ich möchte Benutzername und Passwort eingeben, Gesagt, getan, im Protokoll steht auch drin, dass das abgefragt wird, aber nach der Abfrage dauert es ein wenig und es erscheint erneut die Abfrage.
Ich habe den PC mit der MAC in die Stationsliste eingetragen, ist das richtig? Wenn ich das nicht mache fragt er mich nicht nach Benutzernamen und Passwort.
Danke schon mal  |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Mo 27 Sep, 2010 10:14 |
|
|
Moin,
| Zitat:
|
|
Ich habe drei Zertifikate erstellt, CA, eins für den Server (also Router) und eins für den Client. Ich habe die drei dann auch auf den Router bekommen (bei Zertifikate stehen Sie allerdings nicht drin, nur im Menübaum) und das CA und Client auf meinem Win7 PC installiert (in Firefox, richtig?).
|
Weil Du weiter hinten etwas von Benutzername und
Paßwort schreibst, nehme ich an, daß Du PEAP und nicht
EAP/TLS als EAP-Methode gewählt hast, da braucht man
auf Client-Seite kein Zertifikat.
| Zitat:
|
Ich bekomme nun beim Verbiundungsversuch die Meldung ich möchte Benutzername und Passwort eingeben, Gesagt, getan, im Protokoll steht auch drin, dass das abgefragt wird, aber nach der Abfrage dauert es ein wenig und es erscheint erneut die Abfrage.
|
Das klingt sehr nach dem bekannten Problem, das ich in
meinem Posting oben angesprochen habe und das
hoffentlich im Release-Update der 8.00 gelöst sein wird.
Leider hat Microsoft seinerzeit im Draft zu EAP/MSCHAPv2
an einer Stelle ziemlichen Mumpitz geschrieben und ich
hatte erst neulich Gelegenheit, mir bei einem IAS
anzuschauen, wie's denn richtig auszusehen hat...
| Zitat:
|
Ich habe den PC mit der MAC in die Stationsliste eingetragen, ist das richtig? Wenn ich das nicht mache fragt er mich nicht nach Benutzernamen und Passwort.
|
MAC-Filter sind von der Verschlüsselung im WLAN
unabhängig, die kann man zusammen mit einer beliebigen
Verschlüsselungsmethode benutzen oder es auch lassen
(indem man MAC-Filterung für die fragliche SSID ausschaltet).
Wenn ein Client wegen der MAC-Filterung schon nicht
reingelassen wird, dann kommt er erst gar nicht bis zur
802.1x-Verhandlung.
Gruß Alfred |
|
|
|
|
laberlin
Anmeldungsdatum: 26.09.2010
Beiträge: 22
|
| Verfasst am:
Mo 27 Sep, 2010 12:22 |
|
|
| Zitat:
|
|
Weil Du weiter hinten etwas von Benutzername und Paßwort schreibst, nehme ich an, daß Du PEAP und nicht EAP/TLS als EAP-Methode gewählt hast, da braucht man auf Client-Seite kein Zertifikat.
|
Wo wähle ich denn EAP/TLS aus? Auf dem Client? Ich kann bei WIN7 nur EAP/MSCHAPv2 auswählen.
Heißt das, dass ich auf dem Router fertig bin und mich nun "nur" noch um den Client kümmern muss? Ich hab mal Bilder beigefügt, ob es bis dahin richtig ist. Kann ja nicht sein, dass wir nur auf Microsoft warten müssen um das zu nutzen, oder etwa doch?
Grüße aus Berlin |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Mi 29 Sep, 2010 19:25 |
|
|
Moin,
ich habe gerade keine EAP/TLS-Installation zur Hand, aber 'Smartcard oder anderes Zertifikat'
als Apternative zu PEAP müßte die richtige Ecke sein. Wo genau man das Cleint-Zertifikat hinterlegt,
weiß ich offen gestanden nicht, das habe ich schon bei XP nicht verstanden...
Gruß Alfred |
|
|
|
|
laberlin
Anmeldungsdatum: 26.09.2010
Beiträge: 22
|
| Verfasst am:
Do 30 Sep, 2010 20:18 |
|
|
So, nochmal an alle anderen, hat denn niemand das geschafft den internen Radius einzurichten und mit einem Win Client darauf zuzugreifen?
Glaub ich nicht....
Helft mir doch mal
thx |
|
|
|
|
vernetzer
Anmeldungsdatum: 09.06.2011
Beiträge: 1
|
| Verfasst am:
Do 09 Jun, 2011 07:48 |
|
|
Selbes Problem:
Habe einen Lancom L-321agn und möchte den internen Radius Server des AP nutzen, als Clients sind Win 7 PCs vorgesehen.
alles wie oben beschrieben gemacht, aber keinen Erfolg.
Benutze die neuste Firmware "LC-L321-8.50.0091-Rel"
mit xca ein Zertifikat erstellt und als PEM Crt+ key exportiert und auf den AP geladen!
Kann mir jemand helfen? |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Do 09 Jun, 2011 08:23 |
|
|
Moin,
'kein Erfolg' ist keine Fehlerbeschreibung, mit der hier irgendjemand etwas anfangen
können wird...Wie wäre es mit ein paar Traces während der Anmeldung eines Clients,
z.B.
trace + EAP
trace + WLAN-DATA @ eapol
trace + RADIUS
Gruß Alfred |
|
|
|
|
CapFloor
Anmeldungsdatum: 02.08.2011
Beiträge: 4
|
| Verfasst am:
Do 04 Aug, 2011 07:48 |
|
|
Hallo, um den eingebauten Radius Server in meinem Lancom benutzen zu können, hat mir beim Einrichten der EAP/PEAP Authentifizierung zwischen Router-AP und Windows 7 Client folgende Anleitung geholfen:
http://www.tekradius.com/Docs/ssssl.pdf
Funktioniert mit kleinen Änderungen auch mit Windows 7. Die Software zur Erzeugung von (selbst) signierten Zertifikaten (tekcert) gibts dort auch in einer kostenfreien Version.
Viel Spass damit!
Frank |
|
|
|
|
|
|
|
|
| |
|
|
