Lancom 883 VoIP und RADIUS

[chrisgu1234]

Hallo, dies ist mein erster Beitrag, ich hoffe ich schreibe nicht gleich im falschen Forum.

Für ein Netzwerk mit mehreren Access Points (12) möchte ich den Zugang über RADIUS mit PEAP mit individuellen Benutzername/Kennwort Kombinationen einrichten.

Ich habe eine Weile gesucht, finde aber keine eindeutige Info, ob die 883 VoIP von Lancom einen internen RADIUS-Server haben. Einmal lese ich, dass dem so ist und ich ihn nutze, indem ich die 127.0.0.1 als IP des RADIUS einstelle, woanders lese ich, dass ich nur einen externen RADIUS-Server anbinden kann und im Router selbst nur die Möglichkeit gegeben ist über MAC-Adressen zu filtern.

Meine Frage ist: Hat der Lancom 883 VoIP einen internen "vollwertigen" RADIUS-Server, über den ich einzelne Benutzer anlegen kann, oder muss ich einen separaten RADIUS aufsetzen?

[alf29]

Moin,

ich habe die Feature-Matrix jetzt nicht im Kopf, aber im Zweifelsfall schaue einfach mal auf der CLI nach, ob der Pfad /Setup/RADIUS/Server/EAP existiert.

Ich habe eine Weile gesucht, finde aber keine eindeutige Info, ob die 883 VoIP von Lancom einen internen RADIUS-Server haben. Einmal lese ich, dass dem so ist und ich ihn nutze, indem ich die 127.0.0.1 als IP des RADIUS einstelle,

Das bezieht sich vermutlich auf ein Public Spot Szenario, wo im RADIUS-Server die Benutzerkennungen hinterlegt werden und das PbSpot-Gateway "mit sich selbst" RADIUS redet, aber das trifft auf Dich ja nicht zu.

Ganz grob sind die Schritte (ich werde jetzt bestimmt etwas vergessen):

• RADIUS-Server einschalten

• CA anlegen (wirst Du extern z.B. mit xca machen müssen, die kleinen Router haben AFAIK keine eigene CA drin), Server-Zertifikat dazu erzeugen und als EAP-TLS-Zertifikat (gilt auch für PEAP) ins Gerät laden, alles zusammen als PKCS#12-Container ist am bequemstem

• Unter Setup/RADIUS-Server/Clients die IP-Adressen der APs mitsamt jeweiligen Shared Secret anlegen

• Unter Setup/RADIUS/Server/Users die Benutzer mit Namen und Paßwort anlegen

• Auf den APs den 883 als RADIUS-Server für 802.1X mit dem jeweils gewählten Shared Secret eintragen

• Auf den Clients das CA-Zertifikat installieren

In der Liste angegebene Pfade beziehen sich auf die CLI, mit LANconfig arbeite ich üblicherweise nicht...beachte übrigens, daß die Benutzertabelle des RADIUS-Servers auf diesem Gerät auf 64 Einträge begrenzt sein dürfte.

Viele Grüße

Alfred

[Jirka]

Hallo,

wo ich gerade einen 884 in der Hand habe (883 VoIP und 884 VoIP sind funktionsgleich, von den unterschiedlichen Schnittstellen abgesehen):

Code: Alles auswählen

#
| LANCOM 884 VoIP (over ISDN)
| Ver. 10.34.0145 / 21.06.2020
| SN.  4004807532100022
| Copyright (c) LANCOM Systems

Connection No.: 001 (Outband-115200 Bps)


root@:/
> ls /Setup/RADIUS/Server/EAP

EAP-TLS                     MENU:
Allow-Methods               TABLE:   7 x [Method,Allow]
Default-MTU                 VALUE:   1036
Default-Method              VALUE:   MD5
MSCHAPv2-Backend-Server     VALUE:
PEAP-Default-Tunnel-Method  VALUE:   MSCHAPv2
Reauth-Period               VALUE:   0
Retransmit-Timeout          VALUE:   0
TTLS-Default-Tunnel-Method  VALUE:   MD5
Tunnel-Server               VALUE:

Die Antwort wäre damit also ja. Die Einschränkung auf 64 Benutzer-Einträge ist meines Wissens auf 128 erweitert worden (im Rahmen der Public-Spot-Erweiterung).

Viele Grüße,
Jirka

[chrisgu1234]

Vielen Dank für die Antworten!

Ok, also so oder so, wären 128 Benutzer das Maximum bei dem 883 VoIP... vielleicht können wir noch einen anderen Router bekommen, wir brauchen etwa 500 Benutzer.

Mal eine dumme Frage: Würde eigentlich ein Freeradius auf einem Raspberry Pi oder einem anderen Einplatinen-Computer und die Zertifikate mit XCA hier auch funktionieren, wenn man sich auf den Lancom 883 VoIP beschränken muss? Dann würde ich einen separaten RADIUS auf einem Raspberry Pi aufsetzen und den benutzen.

Ist wirklich blöd, weil wir nur wenig Zeit haben und ich darum kaum rumrobieren kann. Sonst würde ich nicht so viel fragen...

PS: Übrigens komisch, dass ich beim googeln so wenig zum Thema RADIUS und Lancom finde und auch Lancom selbst irgendwie keine Infos dazu hat, außer in den Handbüchern zu LCOS...

[Jirka]

Ok, also so oder so, wären 128 Benutzer das Maximum bei dem 883 VoIP...

Na ja, da bin ich mir schon etwas unsicher. Das liegt aber eher daran, dass ich den 883 selten einsetze und schon mal gar nicht in solchen Szenarien...
Aber 128 sollten eigentlich mindestens gehen. Ob das auch das Maximum ist? Das kostet 3 Minuten das rauszufinden... 1 Minute Excel aufmachen, "add 1" in Zelle A1 reinschreiben und dann bis Zelle A600 runterzuziehen und alles kopieren. Dann in PuTTY in den User-Pfad des RADIUS gehen und einfügen. Dann feststellen, dass der gesamte Zwischenspeicher für PuTTY zu viel war und den fehlenden Teil hinterherkopieren und einfügen. Und dann feststellen, dass das Gerät nicht einmal gemurrt hat und alles schön eingefügt hat. Ich habe jetzt also 600 RADIUS-User erfasst und ein Ende ist bei weitem noch nicht in Sicht...
Hier der Beweis (ein LANCOM-Kenner sieht die 608+, und weiß dann, dass die Tabelle gerade 600 bis 607 Einträge drin hat und am +, dass die Tabelle bei 608 Einträgen auf 616 erweitert wird):

Code: Alles auswählen

[Test]root@:/Setup/RADIUS/Server
> l

EAP                             MENU:
Clients                         TABLE:   8+ x [IP-Network,IP-Netmask,..]
Forward-Servers                 TABLE:   8+ x [Realm,Hostname,Port,Secret,..]
IPv6-Clients                    TABLE:   8+ x [Address-Prefixlength,..]
Users                           TABLE:   608+ x [User-Name,..]
Accounting-Interim-Interval     VALUE:   0
Accounting-Operating            VALUE:   No
Accounting-Port                 VALUE:   1813
Allow-Multilogin                VALUE:   None
Allow-Status-Requests           VALUE:   Yes
Authentication-Operating        VALUE:   No
Authentification-Port           VALUE:   1812
Auto-Cleanup-Accounting-Totals  VALUE:   Yes
Auto-Cleanup-User-Table         VALUE:   No
Default-Realm                   VALUE:
Empty-Realm                     VALUE:
IPv4-WAN-Access                 VALUE:   No
RADSEC-Operating                VALUE:   No
RADSEC-Port                     VALUE:   2083
Realm-Types                     VALUE:   Mail-Domain,MS-Domain,MS-CompAuth

Ist wirklich blöd, weil wir nur wenig Zeit haben und ich darum kaum rumrobieren kann. Sonst würde ich nicht so viel fragen...

Genaugenommen ist das bei fast allen Fragen so... Ich nehme mich da nicht aus.

PS: Übrigens komisch, dass ich beim googeln so wenig zum Thema RADIUS und Lancom finde und auch Lancom selbst irgendwie keine Infos dazu hat, außer in den Handbüchern zu LCOS...

Meine erste Frage zum RADIUS hat vor 16 Jahren übrigens Alfred beantwortet, der Dir hier oben auch schon geantwortet hat. Damals ging es um so einfache Sachen, wie ein Benutzer(name) als MAC-Adresse formatiert sein muss, damit Fremd-APs (hatte 2001 bis 2004 noch keine LANCOM-APs) da eine (MAC-)Prüfung über den LANCOM-RADIUS durchführen können (glaube der RADIUS griff wieder auf die Stations-Tabelle zu). War auch nicht dokumentiert. Aber es gibt einfach Leute, die wissen es...

Viele Grüße,
Jirka

[chrisgu1234]

Topp. Danke!

[alf29]

Moin,

Um die Sache mit dem Benutzerlimit zu präzisieren: Limitiert ist in der Tabelle die Anzahl der Einträge, die eine Anmeldung mit dem Service-Typ "Login" erlauben. Das ist der Service-Typ, mit dem das Public-Spot-Modul Anfragen an den RADIUS-Server stellt und für den Public Spot wollte man dieses (politische) Limit haben.

Wenn das Limit auf dem Gerät z.B. 128 Einträge ist, dann sollte man ab dem hundertneunundzwanzigsten neuen Eintrag sehen, daß als Default für die Spalte "Service-Type" nicht mehr "any" sondern "Framed" gesetzt wird, und daß sich der Wert auch nicht mehr auf "any" oder "Login" umstellen läßt. Das ist nicht unbedingt intuitiv, war aber damals der Kompromiß, weil man dieses Limit nachträglich eingeführt hat und ich argumentiert hatte, daß man Kunden, die den RADIUS-Server nicht für Public Spot nutzen, ihren Setup nicht mit so einer Limitierung kaputt machen dürfe.

Für EAP/802.1X wird der Service-Typ "Framed" benutzt, solange man den RADIUS-Server also nur dafür benutzt, hat man effektiv kein Limit - scusi, das war mir entfallen. Limits düften in der Praxis eher Peformace-mäßig auftreten. Wenn die genannten 500 Benutzer, oder auch nur ein nennenswerter Teil davon gleichzeitig sich anmelden wollen, dann kann ich nicht sagen, wie der RADIUS-Server im LCOS sich von den Antwortzeiten her verhält. Ich will nicht sagen, daß es nicht funktioniert, aber er ist einfach nie dafür getestet worden. Kunden mit so vielen Accounts verwalten sie üblicherweise ohnehin auf irgendeinem AD-Server, der dann auch 802.1X 'kann'.

PS: Übrigens komisch, dass ich beim googeln so wenig zum Thema RADIUS und Lancom finde und auch Lancom selbst irgendwie keine Infos dazu hat, außer in den Handbüchern zu LCOS...

EAP/802.1X und die damit verbundenen Zertifikate werden von einem Großteil der Kunden immer noch als schwer verständliche Geheimwissenschaft betrachtet, die man vermeidet, wenn es irgendwie geht. Wenn das nicht so wäre, würde sich niemand für Features wie LEPS-Plus interessieren...

Viele Grüße

Alfred

[Jirka]

Wenn das Limit auf dem Gerät z.B. 128 Einträge ist, dann sollte man ab dem hundertneunundzwanzigsten neuen Eintrag sehen, daß als Default für die Spalte "Service-Type" nicht mehr "any" sondern "Framed" gesetzt wird, und daß sich der Wert auch nicht mehr auf "any" oder "Login" umstellen läßt.

Da PuTTY hier noch offen ist, habe ich mal einen Blick in den Output von gestern Abend geworfen und kann das so nicht bestätigen.
Da steht immer schön "Any". Screenshot als Beweis habe ich da, aber Du wirst es mir ja sicherlich auch ohne glauben, von daher lass ich ihn hier weg. Sowohl im, dem add folgenden, "set ok:", als auch im ls der Tabelle steht Any (beim 129., 130., ... 600. Eintrag).

Wenn die genannten 500 Benutzer, oder auch nur ein nennenswerter Teil davon gleichzeitig sich anmelden wollen, dann kann ich nicht sagen, wie der RADIUS-Server im LCOS sich von den Antwortzeiten her verhält.

Also 250 auf einem WLC-4006+ (gleiche CPU) waren zumindest bei mir mal kein Thema.

Viele Grüße,
Jirka

[alf29]

Moin,

Da PuTTY hier noch offen ist, habe ich mal einen Blick in den Output von gestern Abend geworfen und kann das so nicht bestätigen.
Da steht immer schön "Any". Screenshot als Beweis habe ich da, aber Du wirst es mir ja sicherlich auch ohne glauben, von daher lass ich ihn hier weg. Sowohl im, dem add folgenden, "set ok:", als auch im ls der Tabelle steht Any (beim 129., 130., ... 600. Eintrag).

Das bedeutet entweder, daß diese Limitierung irgendwann mal bei einem LCOS-Release kaputt gegangen ist, oder auf Deinem Gerät kein solches Limit greift. Ich habe eben nochmal nachgesehen und das 128er-Limit auf einem 883 besteht nur, wenn auf diesem Gerät eine Public-Spot-Option freigeschaltet ist. Das ist wohl zusammen mit der Anhebung des Limits von 64 auf 128 Einträge passiert. Vorher griff das Limit, wenn die Option im Gerät prinzipiell freischaltbar war.

Viele Grüße

Alfred