Hallo zusammen,
ich habe aktuell einen 1800EF mit WLC Option und 4 * WL600 installiert.
Die Anmeldung für die WLAN clients erfolgt über RADIUS auf einem Synology NAS.
Habe ich alles soweit hinbekommen und läuft seit einem Jahr stabil.
Clients sind IOS iphones und Windows Notebooks.
Nun wollte ich das auf den internen RADIUS Server des Lancom umstellen.
Daran scheitere ich kläglich.
Habe eigentlich das RADIUS Profil für den internen Lancom eingerichtet und es kommen auch Anfragen am RADIUS Server an.
Es funktioniert aber keine Anmeldung. Was sollte man tracen? Finde niergendwo wo die Anfrage abgelehnt wird.
Gibt es vielleicht eine ausführliche Anleitung dazu.
Brauche ich spezielle Zertifikate im Lancom?
Eigentlich dachte ich, dass das doch adaequat zum RADIUS im Synology NAS machbar sein sollte.
Danke für jeden Tipp.
und ja. Ich habe schon gegoogelt und gesucht. bin aber niergendwo fündig geworden.
otellodb
WLAN mit RADIUS Server von Lancom
Moderator: Lancom-Systems Moderatoren
Re: WLAN mit RADIUS Server von Lancom
Das ist leider eine recht unscharfe und schwammige Anfrage, und das könnte der Grund sein, das Du bisher keine Antworten bekommen hat...
Vorneweg: Was ist mit "Anmeldung" gemeint? Wenn Leute von "Anmeldung an einem RADIUS-Server" reden, dann ist meine Erfahrung, dass damit mindestens zweierlei gemeint sein kann, nämlich entweder WPA-Enterprise (also 802.1X auf dem WLAN statt PSK) oder schlichte Prüfung der MAC-Adressen von Clients per RADIUS, vielleicht noch kombiniert mit LEPS-MAC. Je nachdem was gemeint ist, ist die Vorgehensweise eine gänzlich andere. Ich gehe davon aus, dass Du WPA-Enterprise meinst, weil das die meisten meinen, aber das sollte erst mal klar gestellt werden.
Für den Fall, dass Du WPA-Enterprise meinst: Da wäre wiederum die nächste Frage, was für eine EAP-Methode Du auf Deinen Clients benutzt. Für fast alle braucht man ein Zertifikat auf dem RADIUS-Server und das Zertifikat der CA, die selbiges ausgestellt hat. Falls die Clients sich auch per Zertifikat und nicht mit Benutzernamen und Passwort authentisieren, also EAP-TLS als Methode, auf den Clients natürlich auch.
Tracen kannst Du auf dem LANCOM mit dem RADIUS-Server-Trace sowie mit dem EAP-Trace, wenn es um Probleme mit dem im RADIUS transportierten EAP-Protokoll geht. Wonach Du schauen solltest, kann ich Dir aber nicht sagen, dazu sind Deine Angaben noch viel zu ungenau.
Vorneweg: Was ist mit "Anmeldung" gemeint? Wenn Leute von "Anmeldung an einem RADIUS-Server" reden, dann ist meine Erfahrung, dass damit mindestens zweierlei gemeint sein kann, nämlich entweder WPA-Enterprise (also 802.1X auf dem WLAN statt PSK) oder schlichte Prüfung der MAC-Adressen von Clients per RADIUS, vielleicht noch kombiniert mit LEPS-MAC. Je nachdem was gemeint ist, ist die Vorgehensweise eine gänzlich andere. Ich gehe davon aus, dass Du WPA-Enterprise meinst, weil das die meisten meinen, aber das sollte erst mal klar gestellt werden.
Für den Fall, dass Du WPA-Enterprise meinst: Da wäre wiederum die nächste Frage, was für eine EAP-Methode Du auf Deinen Clients benutzt. Für fast alle braucht man ein Zertifikat auf dem RADIUS-Server und das Zertifikat der CA, die selbiges ausgestellt hat. Falls die Clients sich auch per Zertifikat und nicht mit Benutzernamen und Passwort authentisieren, also EAP-TLS als Methode, auf den Clients natürlich auch.
Tracen kannst Du auf dem LANCOM mit dem RADIUS-Server-Trace sowie mit dem EAP-Trace, wenn es um Probleme mit dem im RADIUS transportierten EAP-Protokoll geht. Wonach Du schauen solltest, kann ich Dir aber nicht sagen, dazu sind Deine Angaben noch viel zu ungenau.
Re: WLAN mit RADIUS Server von Lancom
Hallo.
Ich meine WPA-Enterprise.
Leider weiß ich nicht welche Methode die iphones nutzen.
Mit Benutzername und Passwort ist die Authentifizierung benutze ich aktuell mit dem NAS.
Dann wird das wohl an dem fehlenden offiziellen Zertifikat liegen.
Geht dabei sicher ein let's encrypt Zertifikat oder brauche ich dafür ein offiziell gekauftes?
Vielen Dank für die Info.
otellodb
Ich meine WPA-Enterprise.
Leider weiß ich nicht welche Methode die iphones nutzen.
Mit Benutzername und Passwort ist die Authentifizierung benutze ich aktuell mit dem NAS.
Dann wird das wohl an dem fehlenden offiziellen Zertifikat liegen.
Geht dabei sicher ein let's encrypt Zertifikat oder brauche ich dafür ein offiziell gekauftes?
Vielen Dank für die Info.
otellodb
Re: WLAN mit RADIUS Server von Lancom
Die Anleitung zum Hineinladen der Zertifikate gibts hier: https://knowledgebase.lancom-systems.de ... C-Szenario
Mit Lets Encrypt würde ich es nicht machen, da hier die Laufzeit zu kurz ist und der ACME-Client im LCOS kann, glaube ich, auch nur in bestimmte Zertifikatsspeicher laden, worunter die RADIUS-Speicher nicht fallen.
Ein gekauftes macht auch keinen Sinn, hier ist die Laufzeit aktuell noch länger, aber ebenfalls auf 13 Monate begrenzt.
Normalerweise verwendet man hier ein selbstsigniertes Root-Zertifikat und mit diesem signiert man dann ein TLS-Zertifikat für den RADIUS-Server. Kann man sich selbst basteln mit OpenSSL oder XCA. Der Synology-RADIUS wird nichts anderes gemacht haben im Hintergrund.
Mit Lets Encrypt würde ich es nicht machen, da hier die Laufzeit zu kurz ist und der ACME-Client im LCOS kann, glaube ich, auch nur in bestimmte Zertifikatsspeicher laden, worunter die RADIUS-Speicher nicht fallen.
Ein gekauftes macht auch keinen Sinn, hier ist die Laufzeit aktuell noch länger, aber ebenfalls auf 13 Monate begrenzt.
Normalerweise verwendet man hier ein selbstsigniertes Root-Zertifikat und mit diesem signiert man dann ein TLS-Zertifikat für den RADIUS-Server. Kann man sich selbst basteln mit OpenSSL oder XCA. Der Synology-RADIUS wird nichts anderes gemacht haben im Hintergrund.
LCS NC/WLAN