LANCOM-Forum.de

Das inoffizielle Profi-Forum für LANCOM-User
Aktuelle Zeit: 25 Apr 2018, 00:46

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]




Ein neues Thema erstellen Auf das Thema antworten  [ 4 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: WLAN mit externen Radius-Server
BeitragVerfasst: 23 Nov 2017, 10:41 
Offline

Registriert: 23 Mai 2005, 20:40
Beiträge: 197
Wohnort: Bremen
Moin,

es kann sein, dass ich hier im falschen Forum bin, da das Ganze auch ein Microsoft-Problem sein kann. Ich probiere aber trotzdem mal.
Vielleicht hat das einer von euch schon mal aufgebaut und könnte helfen.
Folgendes habe ich aufgebaut:

Einen alten Lancom 1811 habe ich als WLAN-Access-Point genutzt. Ich habe im Lancom zwei SSISs (Test_1 und Test_2) erstellt. Weiterhin läuft auf dem Lancom ein DHCP-Server.
Ich habe im Lancom zwei VLANs (110 und 120) erstellt. Die WLAN-Authentifizierung ist als 802.11i und 802.1x eingestellt. Es wird ein externer Radius-Server verwendet. Das ist im Lancom auch hinterlegt.
Dieser externe Radius-Server und ein Domänencontroller, beides Windows-Server 2008. Auf dem Radius-Server sind zwei Richtlinien hinterlegt. Eine Richtlinie, wenn jemand über die SSID Test_1 kommt und die andere über SSID Test_2.

Ich wollte folgendes erreichen:
Verbindet sich ein Client mit dem WLAN Test_1, dann soll die Richtlinie 1 im Radius-server greifen. Kommt jemand über Test_2, dann soll die zweite Richtlinie greifen. Das funktiniert leider nicht. Es greift immer die erste Richtlinie im Radius-Server.

Im Radius-Server gibt es bei der Richtline, vier Reiter. Im Reiter Einstellungen kann man Attribut für VLANs erstellen. D.h. der Radius-Server soll erkennen, über welches VLAN die Verbindung hergestellt werden soll.
Dazu kann man im Radius-Server in der Richtlinie 1 folgende Attribute hinzufügen:

Tunnel-Medium-Type: 802
Tunnel-Pvt-Group-ID: 110
Tunnel-Type: Virtual LANs (VLAN).

Das habe ich so gemacht, funktioniert nur leider nicht.

Eigentlich könnte ich statt der VLANs nach SSIDs im Radius filtern. Und das habe ich auch mal probiert. Im Radius habe unter Bedingungen die Empfangs-ID eingetragen. Dann filtert der Radius und macht auch das was ich will.

Ok, ich könnte ja nach SSIDs filtern, aber es muss ja auch über VLAN funktionieren.

Vielleicht kommt das ja hier jemand bekannt und weiß einen Rat.


Nach oben
 Profil  
 
 Betreff des Beitrags: Re: WLAN mit externen Radius-Server
BeitragVerfasst: 23 Nov 2017, 11:23 
Offline
Moderator
Moderator
Benutzeravatar

Registriert: 07 Nov 2004, 20:33
Beiträge: 5721
Wohnort: Aachen
Moin,

dazu müßte das LANCOM ja in seinen RADIUS-Requests die VLANs der Clients mitschicken, und das tut es nicht. Die von Dir genannten RADIUS-Attribute wertet das LANCOM lediglich in RADIUS-Antworten aus, so daß der RADIUS-Server umgekehrt Clients in andere VLANs verschieben kann.
Wenn Du unterschiedliche Richtlinien für die beiden SSIDs haben willst, wirst Du das an der SSID festmachen müssen, genauer gesagt an dem Attribut "Called-Station-Id".

Gruß Alfred

_________________
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015


Nach oben
 Profil  
 
 Betreff des Beitrags: Re: WLAN mit externen Radius-Server
BeitragVerfasst: 23 Nov 2017, 11:39 
Offline

Registriert: 23 Mai 2005, 20:40
Beiträge: 197
Wohnort: Bremen
Alles klar. Dann bleibe ich bei meiner funktionierenden Lösung über die SSID.
Das Attibut "Called-Station-ID" wird im NPS-Server von Windows Server 2008 "Empfangs-ID" genannt. Das ist dann im Reiter "Bedingungen" zu finden.

Zitat:
dazu müßte das LANCOM ja in seinen RADIUS-Requests die VLANs der Clients mitschicken, und das tut es nicht.


Trifft das jetzt nur beim Lancom zu und kann es bei anderen Herstellern funktionieren? Oder ist das generell so?


Nach oben
 Profil  
 
 Betreff des Beitrags: Re: WLAN mit externen Radius-Server
BeitragVerfasst: 23 Nov 2017, 12:14 
Offline
Moderator
Moderator
Benutzeravatar

Registriert: 07 Nov 2004, 20:33
Beiträge: 5721
Wohnort: Aachen
Moin,

Zitat:
Trifft das jetzt nur beim Lancom zu und kann es bei anderen Herstellern funktionieren? Oder ist das generell so?


Die RFCs lassen prinzipiell diese Attribute auch in einem Request zu. Wie andere Hersteller das handhaben, weiß ich jetzt nicht aus dem Kopf. Ich würde das jetzt aber auch nicht im LCOS so ändern wollen, daß das VLAN einfach immer mitgeschickt wird, wegen möglicher Seiteneffekte in existierenden Aufbauten.

Seit LCOS 10.00 gibt es die Möglichkeit, bei RADIUS-Requests eigene, benutzerderfinierte Attribute mitzugeben. Da die an der Definition eines RADIUS-Servers hängen, müßtest Du für die beiden SSIDs dann nur den RADIUS-Server zweimal in der 1X-Servertabelle anlegen, mit unterschiedlichen Attributen. Für Dein altes 1811 ist das natürlich keine Lösung...

Gruß Alfred

_________________
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 4 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]



Ähnliche Themen
 Themen   Autor   Antworten   Zugriffe   Letzter Beitrag 
Es gibt keine neuen ungelesenen Beiträge in diesem Thema. 1781 und WLAN-Beschränkung mit RADIUS-Server und MAC-Adresse

Dani99

11

845

06 Sep 2017, 07:38

Dani99 Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. 1781 schreibt nicht in externen Syslog-Server

fm82380

4

929

22 Feb 2015, 21:41

fm82380 Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Radius Server Benutzerdatenbank

emD

1

542

21 Okt 2016, 14:59

Dr.Einstein Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Radius Server und Service-Type

alexw

11

1291

10 Sep 2014, 15:29

alf29 Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. WLAN PSK und Radius LC1783VAW?

tom-1

4

689

25 Sep 2015, 23:09

tom-1 Neuester Beitrag

 


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 5 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Group