Mehrere RADIUS Profile

[asapHO]

Hallo Community,

vielleicht kann mir hier jemand weiterhelfen

Wir stellen gerade das Netzwerk auf einen Windows 2012 NPS/Radius um, bedeutet CA etc. läuft schon, der Radius würde theoretisch auch schon gehen. Vorher hat der WLC selbst das EAP/TLS übernommen, das würde ich nun gerne delegieren.

Mein Problem:

Ich habe hier 2 WLCs und mehrere APs und möchte nicht alle APs per Hand in den Radius einpflegen. Daher würde ich gerne alle Anfragen zentral bündeln (am WLC) und dann an den NPS übergeben.

Jetzt läuft da der lokale Radius als Public Spot (und soll auch weiterhin laufen), also muss er irgendwie unterscheiden, dass die SSID für das Produktivnetzwerk an den NPS weitergeleitet wird. Ich scheitere hier noch daran, wo ich diese Einstellung genau wie mache, da ich an der Stelle nicht 100%ig verstehe, was die Konfig hier von mir erwartet.

Zielvorstellung:
WLC macht Public Spot weiterhin autark
Clients können die (per Auto Enrollment) vergebenen Zertifikate gleich am Wireless Lan (hier L-321agn mit WLC4006+) verwenden, damit diese ins W-Lan kommen. Authentifizierung macht hier der Win NPS.

Hat hier jemand ein Walkthrough oder sowas gesehen, was mir bei der Konfiguration weiterhelfen kann?

LCOS ist aktuell auf 9er Branch.

Danke und Grüße

asapHO

[Bernie137]

Hallo asapHO,

ich habe da vielleicht was sehr Vergleichbares im Einsatz, aber vorher noch 2 Fragen:

1. Sind getrennte logische WLANs für PublicSpot und Hausnetz?
2. Greift die Drahtlos-Richtlinie des NPS für die Clients per Gerät oder erst nach der Windows Anmeldung per User? Oder anders ausgedrückt, Zertifikate für Maschinen oder User?

vg Bernie

[asapHO]

Hi Bernie137,

danke für Deine Antwort.

Der Public Spot läuft auf einem extra Interface, das Produktivnetzwerk ist ebenfalls ein Interface.
Der Public Spot selbst wird per CAPWAP an den WLC getunnelt, damit dieser am Interface 4 (glaube ich) terminieren kann - das läuft dann auf ein extra Interface ins Internet.
Das Produktivnetzwerk wird in der Regel direkt am AP ausgekoppelt.

Wir haben für das Public Spot Netzwerk eine SSID, und für das Produktivnetzwerk eine eigene SSID.
Wunschvorstellung wäre hier: Eine "neue" SSID schaffen, damit während der Übergangszeit das "alte" W-Lan noch zur Verfügung steht.

Die Clients bekommen ein Computerzertifikat, daher wäre es mir ganz recht, wenn die Computer sich am W-Lan melden (kann man ja über GPO regeln, dass die SSID und die Einstellungen bekannt sind). Anders gesagt --> Maschinenzertifikate.

Danke für die Info,

asapHO

[5624]

Es gibt die Möglichkeit, dass der RADIUS-Server weiterleiten kann.

Du wirst ja vermutlich eine Domäne haben, damit trägst du einfach eine Weiterleitung für deine Domäne ein mit dem NPS als Ziel und legst dann einfach im NPS nur die WLCs ein.

Alternativ kannst du auch alles an den NPS schicken und nur den Public Spot ausschließen, dies ist entweder in der Referenzanleitung oder der KB beschrieben.

[asapHO]

Hi 5642

Alternativ kannst du auch alles an den NPS schicken und nur den Public Spot ausschließen, dies ist entweder in der Referenzanleitung oder der KB beschrieben.

Genau das ist die Zielkonfiguration, oder Step2, die Frage die ich mir stelle ist: WO?
Ich kann hier Realms definieren und dergleichen, aber der Kommunikationsfluss ist mir nicht klar.

Ich möchte also, dass eine spezielle SSID nur den NPS anfrägt. Mir klar, ich muss den NPS definieren, dass er den Client (WLC) mit der IP und dem SharedSecret anfragen lässt. Fraglich welche Art der Verschlüsselung ich hier wählen soll, ich würde in der GPO auf "Microsoft Smartcard oder anderes Zertifikat" zurückgreifen und dann per EAP/PEAP das Computerzertifikat (einfache Auswahl) verwenden.

Meine Frage ist also immer noch, welche Einstellung ich wo für die neue SSID vornehmen müsste, damit er hier ein gezieltes Forwarding macht.

Der Verweis auf die KB hat mir noch nichts gebracht, denn da wird das Forwarding nicht behandelt, zumindest habe ich keinen "passenden" Eintrag gefunden. Das Handbuch - klar - das könnte funktionieren. Aber hier habe ich noch keinen Hebel gefunden, wo ich das "schnell" finden konnte.

Also - erstmal danke für das Feedback - aber weitergekommen bin ich leider noch nicht... nur verwirrter .

Grüße - asapHO

[5624]

Konfiguration => RADIUS-Server => Weiterleitung

Bei Weiterleitungs-Server einfach einen Eintrag anlegen, mit deinem Domänennamen als Realm und und deinen NPS als Server.

Alternativ Referenzanleitung Version 9.0 Seite 1030ff.

[asapHO]

Konfiguration => RADIUS-Server => Weiterleitung
Bei Weiterleitungs-Server einfach einen Eintrag anlegen, mit deinem Domänennamen als Realm und und deinen NPS als Server.
Alternativ Referenzanleitung Version 9.0 Seite 1030ff.

Hi 5624...


uuuh Mann... ja genau so... Am Besten man wackelt manchmal mit dem ganzen Gartenzaun und anstatt einen Wink mit dem Zaunpfahl zu geben... Gut, ich denke das war genau der Hilfreiche Ansatzpunkt, den ich brauche.

Mir war nicht klar, dass der Lancom mit dem Gastnetzwerk anscheinend immer auf "@PSpot" hört, somit ist es nur logisch, hier ein "leeres" Forwarding zu generieren. Speziell die Grafik auf 1032 ist hier sinnvoll. Damit dürfte man das hinbekommen, damit und mit der Anleitung der kb 0903.1711.4619.LGOE - V1.10.

Vielen Dank schonmal, ich melde mich dann wieder, wenn ich eine erfolgreiche Konfig habe und werde diese hier mal als Beispiel posten.

Grüße an alle - asapHO