Hallo!
Ich bin angehender Fachinformatiker für Systemintegration und habe ein Abschlussprojekt ausgewählt, in dem ich nur LANCOM-Geräte einsetze.
Wir haben bei uns in der Firma mehrere Access Points (LANCOM L-54g) und neuerdings auch einen Wireless LAN Controller (LANCOM WLC-4006), welcher extra für mein Projekt angeschafft wurde.
Unser Wireless LAN ist zur Zeit mit WPA-PSK/TKIP verschlüsselt. Dadurch, dass der Zugangsschlüssel bei uns in regelmäßigen Abständen aus sicherheitstechnischen Gründen und Vorgaben von höheren Instanzen regelmäßig geändert werden muss, muss auf den knapp 100 Notebooks (überwiegend Windows 2000) der neue Schlüssel manuell eingetragen werden, was uns viel Zeit kostet.
Um dies zu vermeiden, würde ich gerne eine Lösung schaffen.
Ich habe mir gedacht, dass es möglich sei, ein offenes Netz zu erstellen in dem jedes Mal, wenn man eine Seite aufrufen möchte eine Weiterleitung zu einer Eingabemaske mit Benutzernamen und Passwort erscheint und man erst nach der Eingabe seiner Accountdaten (falls vorhanden) ins intene Netz gelangt.
Hierfür habe ich mir auch das Dokument „The Hitch-Hiker’s Guide to
Public Spot Installations Concepts, Scenarios, Installation“ angeschaut, welches ich hier im Forum gefunden habe. Jedoch erfordert dies ein kostenpflichtiges Upgrade, welches wir nicht haben. Oder täusche ich mich in der Hinsicht etwa?
Außerdem habe ich in dem Dokument
http://www.lancom-systems.de/fileadmin/ ... 006_DE.pdf auf Seite 5 den Punkt „Authentisierung und Abrechnung von Gastzugängen*“ gefunden.
Als Beschreibung ist folgendes angegeben: „Einstellbare Login-Seite mit Abfrage von Username und Passwort; Nutzungsdauer oder Übertragungsvolumen für Internetzugang konfigurierbar bzw. per RADIUS-Anbindung“
Jedoch steht bei der Erklärung des * „Funktion in Vorbereitung“. Somit fällt diese Möglichkeit leider weg.
Ich wäre über ein paar Tipps sehr dankbar. Es muss nicht genau so realisiert werden, wie ich es plane. Ich höre mir gerne auch Vorschläge an, die in komplett andere Richtungen gehen und z.B. externe RADIUS-Server voraussetzen etc.
Vielen Dank im Voraus für eure Hilfe!
Gruß
Pider
Fachinformatiker Abschlussprojekt - WLC-4006 Securitylösung
Moderator: Lancom-Systems Moderatoren
Hi,
einfach weg vom PSK-verfahren, (das dir ja gerade die Arbeit bereitet), hin zu 802.1x inkl zentraler RADIUS-Auth.
einfach weg vom PSK-verfahren, (das dir ja gerade die Arbeit bereitet), hin zu 802.1x inkl zentraler RADIUS-Auth.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hi,
vermutlich eher einen externen, da du ja wohl einen Anmeldeserver mit einer Benutzerdatenbank besitzt. So hast du wenigstens einen SSO, anstattt einer doppelten Benutzerpflege.
vermutlich eher einen externen, da du ja wohl einen Anmeldeserver mit einer Benutzerdatenbank besitzt. So hast du wenigstens einen SSO, anstattt einer doppelten Benutzerpflege.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hi,
z.B. ein Novell eDirectory, Active-Directory, OpenLDAP und SAMBA, etc.
Diese Daten muessen nur dem RADIUS zur Verfuegung stehen, dann hast du diesselben "einmal gespeicherten" Anmeldedaten fuer mehere Zwecke.
z.B. ein Novell eDirectory, Active-Directory, OpenLDAP und SAMBA, etc.
Diese Daten muessen nur dem RADIUS zur Verfuegung stehen, dann hast du diesselben "einmal gespeicherten" Anmeldedaten fuer mehere Zwecke.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Ok, habe mir auch gedacht, dass du Active Directory etc. meinst. 
Jedoch nutzen wir bei uns keinen AD Server bzw nutzt nur eine kleine Benutzergruppe diesen Server und nicht die Leute, die an den Notebooks sitzen und somit ins WLan müssen. Also müsste ich die Benutzerverwaltung (RADIUS) doch komplett auf dem Lancom laufen lassen, richtig?
Gruß
Jedoch nutzen wir bei uns keinen AD Server bzw nutzt nur eine kleine Benutzergruppe diesen Server und nicht die Leute, die an den Notebooks sitzen und somit ins WLan müssen. Also müsste ich die Benutzerverwaltung (RADIUS) doch komplett auf dem Lancom laufen lassen, richtig?
Gruß
Hallo nochmal,
im LCOS RefManual hab ich auf Seite 556 die Konfiguration des internen RADIUS Servers entdeckt.
Jedoch wird dort im Beispiel die MAC-Adresse eingegeben und kein Benutzername? Lässt sich sowas nicht auch mit Benutzernamen realisieren?
Irgendwie verwirrt mich das ganze, weil ich auch einfach irgendwelchen Text eingeben kann als "Name:". Wieso steht vor dem Feld überhaupt "Name:", wenn da die MAC-Adresse hinein gehört?
Irgenwdie etwas verwirrend...
Hoffe mir kann jemand helfen und bedanke mich im Voraus!
Edit:
Hab mir das weiterhin angeschaut und rumgetestet.
Also ich habe nun folgendes Problem und hoffe mir kann jemand helfen:
Ich habe im Anhang ein Bild eingefügt. Es zeit das Konfigurationsfenster vom WLC 4006. Dort kann ich unter RADIUS-Server die RADIUS-Clients eintragen. Eingetragen wird die IP-Adresse, Subnetzmaske und ein Client-Secret. Jedoch bekommen bei uns die Notebooks über DHCP die IP-Adressen zugewiesen, also kann ich dort keine festlegen.
Als nächster Punkt kann man die RADIUS-Benutzerkonten auswählen.
Hier verwirrt mich total, dass ich laut Handbuch eine MAC-Adresse als Usernamen und als Passwort angeben soll. Dies habe ich auch gemacht und mit dem Notebook dann die Verbindung versucht zu testen, jedoch funktionierte das nicht.
Was muss ich beachten? Irgendwie ist die Konfiguration überhaupt nicht selbsterklärend und im Handbuch sind diese Themen auch eher mager beschrieben.
Ich bitte um Hilfe!
Danke!
Gruß
Pider
im LCOS RefManual hab ich auf Seite 556 die Konfiguration des internen RADIUS Servers entdeckt.
Jedoch wird dort im Beispiel die MAC-Adresse eingegeben und kein Benutzername? Lässt sich sowas nicht auch mit Benutzernamen realisieren?
Irgendwie verwirrt mich das ganze, weil ich auch einfach irgendwelchen Text eingeben kann als "Name:". Wieso steht vor dem Feld überhaupt "Name:", wenn da die MAC-Adresse hinein gehört?
Irgenwdie etwas verwirrend...
Hoffe mir kann jemand helfen und bedanke mich im Voraus!
Edit:
Hab mir das weiterhin angeschaut und rumgetestet.
Also ich habe nun folgendes Problem und hoffe mir kann jemand helfen:
Ich habe im Anhang ein Bild eingefügt. Es zeit das Konfigurationsfenster vom WLC 4006. Dort kann ich unter RADIUS-Server die RADIUS-Clients eintragen. Eingetragen wird die IP-Adresse, Subnetzmaske und ein Client-Secret. Jedoch bekommen bei uns die Notebooks über DHCP die IP-Adressen zugewiesen, also kann ich dort keine festlegen.
Als nächster Punkt kann man die RADIUS-Benutzerkonten auswählen.
Hier verwirrt mich total, dass ich laut Handbuch eine MAC-Adresse als Usernamen und als Passwort angeben soll. Dies habe ich auch gemacht und mit dem Notebook dann die Verbindung versucht zu testen, jedoch funktionierte das nicht.
Was muss ich beachten? Irgendwie ist die Konfiguration überhaupt nicht selbsterklärend und im Handbuch sind diese Themen auch eher mager beschrieben.
Ich bitte um Hilfe!
Danke!
Gruß
Pider
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hallo nochmal!
Habe mit dem Support von Lancom geschrieben und mir wurde folgendes mitgeteilt, was ich hier nochmal mit euch besprechen wollte, wenn es recht ist.
Also mir wurde folgendes über die von mir zu erledigenden Konfigurationseinstellungen mitgeteilt:
Wie ist das bei den Benutzerkonten? Ich kann dort unter "Authentifizierungsmethode:" aus mehreren Optionen (Alle, PAP, CHAP, MSCHAP, MSCHAPv2, EAP) wählen. Was bringt es mir "Alle" zu wählen? Welche Methode sollte ich benutzen damit es funktioniert?
Außerdem habe ich noch nie etwas von PAP gehört, sondern nur von PEAP. Handelt es sich hierbei um einen Tippfehler in der Lancom Firmware?
Wieso muss ich bei den AccessPoints die Verschlüsselungseinstellungen "manuell" und direkt auf den APs ändern? Der WLC sollte das doch selbst übertragen, oder täusche ich mich?
Jedenfalls habe ich es so gemacht, wie es mir von Support geraten wurde. So weit so gut.
Mein Problem ist nun, dass ich mich nicht einwählen kann. Welche Authentifizierungsmethode muss ich wählen? Ich kann mich an mehreren Notebooks weder mit der Windowsverwaltung für drahtlose Netzwerke noch mit Intel Pro Set einwählen - egal welche Verschlüsselungseinstellungen ich mache.
So das wars dann erstmal von mir. Ich danke euch wieder im Voraus für eure Mühe
Gruß
Pider
Habe mit dem Support von Lancom geschrieben und mir wurde folgendes mitgeteilt, was ich hier nochmal mit euch besprechen wollte, wenn es recht ist.
Also mir wurde folgendes über die von mir zu erledigenden Konfigurationseinstellungen mitgeteilt:
Code: Alles auswählen
WLC:
Konfiguriere -> Radius-Server
Hier muss der Authentifizierungsport aktiviert werden. Unter Radius-Clients
müssen sie die IP-Adresse/ Netzmaske und das shared Secret der jeweiligen
Accesspoints eintragen, welche auf den WLC zugreifen sollen.
Unter Radius-Benutzerkonten werden die User mit entsprechenden Passwörtern eingetragen.Außerdem habe ich noch nie etwas von PAP gehört, sondern nur von PEAP. Handelt es sich hierbei um einen Tippfehler in der Lancom Firmware?
Code: Alles auswählen
Accesspoints:
Konfiguriere -> Wireless LAN -> 802.11i/WEP
Hier müssen Sie in den Verschlüsselungseinstellungen des genutzten WLANs
die Methode auf 802.11i(WPA)-802.1x stellen.
Ebenfalls die selbe Frage, wieso auf den APs etwas konfigurieren?Konfiguriere -> Wireless LAN -> 802.1x
Hier tragen Sie die Default Server Adresse ein, also die IP-Adresse des
WLCs mit entsprechendem Server Port und shared Secret.
Jedenfalls habe ich es so gemacht, wie es mir von Support geraten wurde. So weit so gut.
Mein Problem ist nun, dass ich mich nicht einwählen kann. Welche Authentifizierungsmethode muss ich wählen? Ich kann mich an mehreren Notebooks weder mit der Windowsverwaltung für drahtlose Netzwerke noch mit Intel Pro Set einwählen - egal welche Verschlüsselungseinstellungen ich mache.
So das wars dann erstmal von mir. Ich danke euch wieder im Voraus für eure Mühe
Gruß
Pider
-
garfield0815