RADIUS Authentifizieren über MAC-Adressen anlegen

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

onel01
Beiträge: 80
Registriert: 22 Nov 2018, 11:02

Re: RADIUS Authentifizieren über MAC-Adressen anlegen

Beitrag von onel01 »

Können sich deine Clients bevor du mit dem RADIUS / der LEPS-Mac Filter Tabelle arbeitest ordnungsgemäß am AP anmelden und im netztwerk arbeiten (Ip beziehen etc.) wenn das schon nicht klappt, brauchst du mit restriktiven Maßnahmen garnicht erst anfangen.

Guten Morgen @DGrand; diesen Gedanken hatte ich auch schon mal deswegen mal die Struktur zum Aufbau der Geräte welche zwischen AP und Router stehen. Deswegen auch das fa-icon spin und nichts passiert. Wie schon beschrieben, wollte ich es über einen RADIUS-Server zum laufen bringen, aber der Hinweis für ein AP von @alf29, :
Wenn ja, warum willst Du die MAC-Adressen dann per RADIUS verwalten? Der AP selber hat eine lokale Tabelle, in der man die MAC-Adressen hinterlegen kann und die ganz ohne RADIUS funktioniert (Wireless LAN -> Stationsregeln im LANconfig).

- AP ist nach dem Setup einrichten bei WLAN suche auffindbar
- ein Benutzer wird angelegt -> WLAN ist auffindbar und fa-icon spin dreht sich...

dort stehe ich seit 14 Tagen :G) und bin froh das ihr mir helft den AP zu laufen zu bekommen.

- MacFilterung auf der zutreffenden SSID aktivieren. 
- Eintrag angelegt 

fa-icon dreht sich.... siehe Bilder (system erlaubt Mir nicht mehr, das ich ein Bild zeige!- Fehler Meldung: Bilddatei ist ungültig*)
*jpg

Danke onel01
Router: LC1783VAW (VDSL 50 Mbit/s & ADSL2+)
Wireless: 2x LN-630; IAP-322
DGrand
Beiträge: 65
Registriert: 04 Nov 2015, 19:19

Re: RADIUS Authentifizieren über MAC-Adressen anlegen

Beitrag von DGrand »

Kommst du per lan-kabel noch auf Dein AP?

Wie auf dem einen screenshot von dir zu sehen ist, hasst du im Bereich Managemt die Radius Authentifizierung aktiviert... dies ist so nicht richtig Und notwendig.

Wenn du auch über das kabelgebundene Netz nicht auf dein AP kommst wird Dir nicht viel übrig bleiben als den AP zu resetten...
Router/ Modem: 1781VA-4G + ALL-IP + VPN25 & 1783VAW I Wlan: L-1302acn & L-1310acn & WLC-4006+ I Switch: GS-2326 & GS-2310P
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: RADIUS Authentifizieren über MAC-Adressen anlegen

Beitrag von alf29 »

Mahlzeit, schnell noch für Dich das " trace + WLAN " ausgeführt:
Ich hatte "trace + wlan-status" geschrieben! "trace + wlan" macht alle WLAN-bezogenen Traces an, u.a. auch WLAN-DATA, der sämtliche empfangenen und gesendeten Pakete mit auflistet. Darin gehen die Meldungen bezüglich MAC-Adreßprüfung mehr oder weniger unter, sobald der Client ernsthaft eine Verbindung aufbaut...

Was ich in diesem Trace nur sehe, ist daß Dein Client (wenn die MAC-Adresse 28:16:a8:a3:29:85 Dein Client ist) einen Site-Survey macht, d.h. er schickt einen Probe Request ohne Angabe des Netzwerknamens (SSID). Das LANCOM schickt darauf keinen Probe Response mit seiner SSID, die wahrscheinlichste Erklärung wäre dafür, daß Du auf dem LANCOM den SSD-Broadcast abgeschaltet hast ("Closed Network"). Auch wieder so ein Pseudo-Sicherheitsfeature, das ein AP halt auf der Feature-Liste haben muß, weil's jeder erwartet...außerdem enthält der Probe Request Informationen zu Wifi Protected Setup (WPS). Wenn Du versuchst, Deinen Client per WPS ans LANCOM zu bringen: das kann nicht funktionieren, LANCOMs unterstützen kein WPS.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
onel01
Beiträge: 80
Registriert: 22 Nov 2018, 11:02

Re: RADIUS Authentifizieren über MAC-Adressen anlegen

Beitrag von onel01 »

Guten Morgen @alf29 und @DGrand und Leser

@alf29:
Erklärung wäre dafür, daß Du auf dem LANCOM den SSD-Broadcast abgeschaltet hast ("Closed Network"). Auch wieder so ein Pseudo-Sicherheitsfeature, das ein AP halt auf der Feature-Liste haben muß, weil's jeder erwartet...außerdem enthält der Probe Request Informationen zu Wifi Protected Setup (WPS). Wenn Du versuchst, Deinen Client per WPS ans LANCOM zu bringen: das kann nicht funktionieren, LANCOMs unterstützen kein WPS.

Ich wüsste nicht mal wo ich das SSD-Broadcast und WPS bearbeiten soll? Der AP hatte eine Neustart mit Werkseinstellung, Benutzer angelegt -> Speichern, Putty Start und "Trace + WLAN" (ok war falsch- Entschuldige)
Putty: 12.10.2019 - trace + wlan-status ausgeführt

#
| LANCOM LN-630acn dual Wireless
| Ver. 10.20.0298RU2 / 08.12.2018
| SN. 4005117018100458
| Copyright (c) LANCOM Systems

LN-630acn, Connection No.: 002 (LAN)

root@LN-630acn:/
> trace + wlan-status
WLAN-STATUS ON

root@LN-630acn:/
> > trace + wlan-status
Syntax Error: > trace + wlan-status

root@LN-630acn:/
> WLAN-STATUS ON
Value invalid: -STATUS ON

root@LN-630acn:/
> #

root@LN-630acn:/
> | LANCOM LN-630acn dual Wireless
Syntax Error: | LANCOM LN-630acn dual Wireless

root@LN-630acn:/
> | Ver. 10.20.0298RU2 / 08.12.2018
Syntax Error: | Ver. 10.20.0298RU2 / 08.12.2018

root@LN-630acn:/
> | SN. 4005117018100458
Syntax Error: | SN. 4005117018100458

root@LN-630acn:/
> | Copyright (c) LANCOM Systems
Syntax Error: | Copyright (c) LANCOM Systems

root@LN-630acn:/
>

Bitte

@Dgrand:
Ich kann die IP 192.168.0.5 pingen :D

Ping wird ausgeführt für 192.168.0.5 mit 32 Bytes Daten:
Antwort von 192.168.0.5: Bytes=32 Zeit=1ms TTL=64
Antwort von 192.168.0.5: Bytes=32 Zeit=1ms TTL=64
Antwort von 192.168.0.5: Bytes=32 Zeit=1ms TTL=64
Antwort von 192.168.0.5: Bytes=32 Zeit=1ms TTL=64

Ping-Statistik für 192.168.0.5:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 1ms, Maximum = 1ms, Mittelwert = 1ms

er ist also vorhanden, bekommt seine IP vom Switch zugewiesen.

Was könnte euch noch helfen, um die Ursache zu finden?

Danke
Router: LC1783VAW (VDSL 50 Mbit/s & ADSL2+)
Wireless: 2x LN-630; IAP-322
onel01
Beiträge: 80
Registriert: 22 Nov 2018, 11:02

Re: RADIUS Authentifizieren über MAC-Adressen anlegen

Beitrag von onel01 »

Lösung für den Einsatz als AP:
Stationen - Schalter auf „Daten von den aufgeführten Stationen übertragen, Rest verwerfen “
LAPS-MAC
Stadionsregeln...
Station-Neuer Eintrag -Glient
Mac Adresse des Client eingeben
Bei SSID- Muster ein * (Stern) als Wildcard
Bei Name des Namen des Client
PW (keine MAC-Adresse!)

Beispiele die funktionieren:
iPhone: 18f643-613600 - PW: sn4oTndsu - funktioniert
iPad: 0469f823934c - PW: sn4oTndsu - funktioniert
iPod-Touch: a4:31:35:84:fd:2e - PW: sn4oTndsu - funktioniert

Der Versuch das mit MAC-Adresse anzulegen scheitert, da es nicht möglich ist ..hatte es aber so gelesen. :G) oder falsch Verstanden!
Funktioniert das nur bei Radius-Server mit mehr als einem AP?

Grüße und schönen Sonntag
Router: LC1783VAW (VDSL 50 Mbit/s & ADSL2+)
Wireless: 2x LN-630; IAP-322
DGrand
Beiträge: 65
Registriert: 04 Nov 2015, 19:19

Re: RADIUS Authentifizieren über MAC-Adressen anlegen

Beitrag von DGrand »

Was versuchst / willst du mit Mac Adresse anlegen, jetzt genau?
Wenn Du in der Stationstabelle ebenfalls die MacAdresse des Client als Password eingibst, kann sich dieser Client nur noch mit diesem in der Stationstabelle eingetragenen password (mac adresse) anmelden.

Du kannst in der stationstabelle das feld für password auch freilassen, dann wird auf das allgemeine password welches du für die jeweilige SSID hinterlegt hast zurück gegriffen.
Router/ Modem: 1781VA-4G + ALL-IP + VPN25 & 1783VAW I Wlan: L-1302acn & L-1310acn & WLC-4006+ I Switch: GS-2326 & GS-2310P
Antworten