 |
|
|
|
| Autor |
Nachricht |
dicker250311
Anmeldungsdatum: 30.03.2011
Beiträge: 7
|
 Verfasst am:
Mi 30 März, 2011 09:30 |
  |
|
Betreff: Radius Server einrichten
hallo,
es geht darum das ich zum Schutz meines einfachen Wlan\'s einen Radius Server einrichten möchte.
Es sollen dann quasi erst der Wlan Schlüssel und dann die Anmeldungs mit Benutzernamen und Passwort an dem Radius Server eingegeben werden um in das Wlan Netz zu gelangen.
Könnt ihr mir evtl. weiter helfen? |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Mi 30 März, 2011 10:31 |
|
|
Hallo dicker250311,
hast Du eine Public Spot Option in dem L-320?
Viele Grüße,
Jirka |
|
|
|
|
dicker250311
Anmeldungsdatum: 30.03.2011
Beiträge: 7
|
| Verfasst am:
Mi 30 März, 2011 14:23 |
|
|
hey,
danke für deine schneller antwort, aber diese funktion hat der ap leider nicht=( weißt du evtl. wie man den radfdius server einstellt? |
|
|
|
|
martinw
Moderator
Anmeldungsdatum: 06.04.2008
Beiträge: 237
Wohnort: Aachen
|
| Verfasst am:
Mi 30 März, 2011 15:03 |
|
|
Hallo,
dann nutze doch die Macht (tm) und aktiviere die 30-Tage-Demo-PublicSpot-Lizenz auf dem Gerät: http://www.lancom-systems.de/Registrierung...822.0.html
Dann kannst Du in Ruhe damit testen. Ansonsten kannst Du nur das LEPS-Feature benutzen, unter LANconfig unter -> Konfiguriere -> Wireless LAN -> Stationen -> Daten...übertragen -> Stationsliste ausfüllen mit individuellem Key pro MAC.
Ist aber nicht ganz das, was Du im OP fragst - dafür halt die PSpot testen.
Gruß,
Martin |
|
|
 |
|
dicker250311
Anmeldungsdatum: 30.03.2011
Beiträge: 7
|
| Verfasst am:
Do 31 März, 2011 08:34 |
|
|
Hallo,
danke erstmal für deine Hilfe.
Das Punkt 2. klappt schonmal=)
Das mit der 30 Tage demo version werde ich gleich ausprobieren.
ich frage mich allerdings was die radius funktion dann so kann in meinem lancom ohne die demo version.
Ich hatte gedacht der Radius Server wäre sowas. |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Do 31 März, 2011 08:35 |
|
|
Moin,
vielleicht sollte man erstmal klären, ob Public Spot hier wirklich das gewünschte ist.
Public Spot ist eher etwas für öffentliche Netze, die unverschlüsselt sind, und wenn man bei
Public Spot zusätzlich die 'Privacy' im WLAN haben möchte, dann muß man noch zusätzlich
WPA im WLAN einrichten und man muß sich quasi doppelt anmelden: erst mit der
WPA-Passphrase und dann noch einmal mit Benutzernamen und Paßwort. Ist das wirklich
das gewünschte Szenario oder geht es hier doch eher um die Einrichtung von 802.1x?
Gruß Alfred |
|
|
 |
|
dicker250311
Anmeldungsdatum: 30.03.2011
Beiträge: 7
|
| Verfasst am:
Do 31 März, 2011 08:40 |
|
|
Also das ist schon das gewünschte Szenario. Aber ich dachte das genau das Radius macht.
Was macht denn 802.1x genau? |
|
|
|
|
dicker250311
Anmeldungsdatum: 30.03.2011
Beiträge: 7
|
| Verfasst am:
Do 31 März, 2011 09:58 |
|
|
sagt mal, kann es sein das der l320 agn garkeinen radius server integriert hat, sondern einen solchen nur unterstüzt? |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Do 31 März, 2011 10:46 |
|
|
Moin,
| Zitat:
|
sagt mal, kann es sein das der l320 agn garkeinen radius server integriert hat, sondern einen solchen nur unterstüzt?
|
sicher hat der einen RADIUS-Server integriert (Setup->
RADIUS->Server in der CLI). Wenn der Reiter 'RADIUS-
Server' im LANconfig fehlt, dann wäre das ein Bug im LANconfig.
| Zitat:
|
|
Also das ist schon das gewünschte Szenario. Aber ich dachte das genau das Radius macht.
|
Also RADIUS macht von sich aus auf 'magische Weise'
erstmal überhaupt nichts. RADIUS ist erstmal nichts weiter
als eine Netzwerk-Schnittstelle zu einer Benutzerdatenbank.
Grob gesagt fragt irgendjemand über RADIUS beim
RADUIS-Server einen Benutzernamen an und bekommt ein
Accept oder Reject zurück. Das kann man an verschiedenen
Stellen nutzen, z.B. im Public-Spot-Modul im LANCOM oder
eben bei der 802.1x-Authentisierung. Die Authentisierung
kann dabei auf die verschiedensten Weisen funktionieren,
entweder schlicht per Paßwort oder im Rahmen von
802.1x/EAP über Zertifikate.
WPA/802.1x im WLAN ist eine Alternative zu WPA-PSK,
d.h. anstelle einer Passphrase brauchen die Benutzer
entweder ein Zertifikat oder einen Benutzernamen mit
Paßwort, um sich anzumelden. Das wird vor allen in
Firmen genutzt, wo man sehr viele Benutzer hat, denen
man ansonsten allen die (gleiche) Passphrase mitteilen
müßte - und wenn ein Mitarbeiter geht, muß diese streng
genommen überall ausgetauscht werden. Bei 802.1x
zieht man entweder einfach dieses eine Zertifikat zurück oder
löscht die Benutzerkennung aus der Datenbank.
Wenn Du noch nie etwas mit 802.1x gemacht hast, bzw.
diesen Begriff gerade zum ersten Mal gehört hast, dann
wirst Du in den nächsten Tagen aber eine ziemlich "steile
Lernkurve" haben, so Du das nutzen willst. Auch wenn man
die Benutzer über Benutzernamen und Paßwort authentisieren
will, so braucht man doch auf der Server-Seite Zertifikate
und muß dafür eine "Mini-CA " aufziehen.
Gruß Alfred |
|
|
|
|
dicker250311
Anmeldungsdatum: 30.03.2011
Beiträge: 7
|
| Verfasst am:
Fr 01 Apr, 2011 08:23 |
|
|
Guten Morgen Alfred,
also danke erstmal für deine sehr hilfreiche Antwort.
Es sieht ganz so aus als wenn ich die 802.1x Authentisierung benutzen möchte=)
Allerdings bin ich wie du schon vermutet hast neuling in diesem Gebiet.
Aus deinem letzten Abschnitt geht hervor das ich Serversseitig Zertifikate haben muss? Aber ich habe doch dann nur meinen Lancom mit Radius Serve, kann ich in Ihm Zertifikate einbinden?
und was ist eine Mini-ca?
Ich habe jetzt schonmal im Internet nachgesehen aber bisher leider keine Anleitung gefunden wie man sowas macht. Hast du evtl. sowas parat? |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Mo 04 Apr, 2011 08:29 |
|
|
Moin,
mit "Mini-CA" meinte ich, daß bei Auswahl von PEAP (oder TTLS) als
EAP/802.1x-Methode die Clients sich mit Benutzernamen und Paßwort
anmelden und keine eigenen Zertifikate brauchen. Man braucht an
Zertifikaten nur ein CA-Zertifikat und das Gerätezertifikat für den RADIUS-
Server, das mit dem CA-Zertifikat signiert wird.
Zum Erstellen der Zertifikate kann man ein externes Programm nehmen, ich
habe in der Vergangenheit öfter XCA mit gutem Erfolg benutzt. XCA erlaubt
es, das RADIUS-Server-Zertifikat mitsamt privatem Schlüssel und CA-Zertifikat
in einem PKCS#12-Container zu exportieren, den kann man entweder über
LANconfig oder die WEBconfig als EAP/TLS-Zertifikat ins LANCOM hochladen
(trotz des Namens gilt dieses auch für TTLS und PEAP).
Auch mit XCA sind einige Grundkenntnisse über Zertifikate nötig. Leider kenne
ich keine Literatur, die das in einer für einen Anfänger verständlichen Weise
erklären würde.
Gruß Alfred |
|
|
|
|
dicker250311
Anmeldungsdatum: 30.03.2011
Beiträge: 7
|
| Verfasst am:
Do 14 Apr, 2011 10:35 |
|
|
Hey Alfred,
Also ich habe das jetzt soweit geschafft das ich den Radius server ohne Public spot aktiviert habe. Jetzt habe ich dort einen Benutzer erstellet...(wofür ist eigentlih der client button in der konfig)
wenn ich jetzt in das wlan rein will muss ich nutzer namen und passwort eingeben. Aber der Benutzername den ich im radius eingegeben habe funktioniert nicht.
Allerdings habe ich bis jetzt auch noch nicht ein Zertifikat erstellt da ich nicht weiß wie das geht. Ich habe mir das Programm xca runter geladen aber wie du schon sagst man brauch vorkenntnisse=(
Hast du evtl. einen weiteren Rat für mich? |
|
|
|
|
alf29
Moderator
Anmeldungsdatum: 07.11.2004
Beiträge: 4500
Wohnort: Aachen
|
| Verfasst am:
Sa 30 Apr, 2011 20:43 |
|
|
Moin,
erstmal scusi, daß es mit der Antwort so lange gedauert hat.
| Zitat:
|
|
(wofür ist eigentlih der client button in der konfig)
|
Die Client-Liste im RADIUS-Server dient dazu, festzulegen, welche Clients (definiert per IP-Adresse)
an den RADIUS-Server Anfragen stellen dürfen und welches shared secret dabei jeweils
verwendet werden soll. In Deinem Fall redet das Gerät aber nur RADIUS 'mit sich selber', deshalb
brauchst Du die Tabelle nicht.
| Zitat:
|
Aber der Benutzername den ich im radius eingegeben habe funktioniert nicht.
Allerdings habe ich bis jetzt auch noch nicht ein Zertifikat erstellt da ich nicht weiß wie das geht. I
|
Tja, ohne Zertifikate wenigstens auf Server-Seite funktioniert keine 802.1x/EAP-Methode...
| Zitat:
|
ch habe mir das Programm xca runter geladen aber wie du schon sagst man brauch vorkenntnisse=(
Hast du evtl. einen weiteren Rat für mich?
|
Leider nicht so recht. Jemandem auf diesem Weg einen Crash-Kurs in Zertifikaten zu
verpassen, ist selbst bei Verwendung von Tools wie XCA eine vergleichsweise hoffnungslose
Sache - wenn wir zusammen vor einem Bildschirm säßen, sähe das ganz anders aus...im
Verlaufe des Mai werde ich vermutlich bei uns intern eine Schulung zu dem Themenkomplex für
den Support machen, mal sehen, ob die dann den Kunden besser helfen können...
Gruß Alfred |
|
|
|
|
|
|
|
|
| |
|
|
