RADIUS Authentifizieren über MAC-Adressen anlegen
Moderator: Lancom-Systems Moderatoren
RADIUS Authentifizieren über MAC-Adressen anlegen
Guten Abend, nach dem ich gestern nach einer Anleitung zur Einrichtung der LN-630 bei LANCOM gesucht habe, finde ich nur zur FW7.x eine Anleitung.
Da wir aber nun bei FW 10.20 sind, sind einige Einstellungen so nicht mehr zu finden.
Deswegen muss ich wieder fragen wo mein Fehler liegt.
Ich möchte gerne alle Geräte per MAC-Adresse im WLAN betreiben, das sind 9 Geräte die ein WLAN Zugang benötigen. Ich habe nur 1 Gerät im Einsatz.
Testweise habe ich ein Benutzer angelegt.
Wireless LAN -> Stationen: Von den Radio-Buttons die zweite Variante wählen (Daten von den aufgeführten Stationen übertragen...), und dann direkt darunter den RADIUS-Server eintragen. Es wird in der Anleitung von 127.0.1 geschrieben, welche ich angegeben habe.
Dann habe ich den ersten Benutzer angelegt, MAC-Adresse wie beschrieben mit Bindestrich angelegt, dazu das PW MAC-Adresse.
Ich bekomme kein Signal bzw. kann den Access-Point nicht bei der WLAN suche finden?
LANConfig zeigt mir das Gerät an, es funktioniert.
Das habe ich so angelegt.
https://www.lancom-systems.de/docs/LCOS ... 12877.html
Stationsregeln legen Sie fest, welche WLAN-Clients sich in den WLAN-Netzwerken der APs anmelden können, die durch den WLC zentral verwaltet werden.
https://www.lancom-systems.de/docs/LCOS ... tions.html
Muster MAC-Adresse ?
Ich bedanke mich schon mal für die Hilfe und Geduld, das ich verstehe wie einige Einstellungen gemeint sind um auf das WLAN zugreifen zu können.
Da wir aber nun bei FW 10.20 sind, sind einige Einstellungen so nicht mehr zu finden.
Deswegen muss ich wieder fragen wo mein Fehler liegt.
Ich möchte gerne alle Geräte per MAC-Adresse im WLAN betreiben, das sind 9 Geräte die ein WLAN Zugang benötigen. Ich habe nur 1 Gerät im Einsatz.
Testweise habe ich ein Benutzer angelegt.
Wireless LAN -> Stationen: Von den Radio-Buttons die zweite Variante wählen (Daten von den aufgeführten Stationen übertragen...), und dann direkt darunter den RADIUS-Server eintragen. Es wird in der Anleitung von 127.0.1 geschrieben, welche ich angegeben habe.
Dann habe ich den ersten Benutzer angelegt, MAC-Adresse wie beschrieben mit Bindestrich angelegt, dazu das PW MAC-Adresse.
Ich bekomme kein Signal bzw. kann den Access-Point nicht bei der WLAN suche finden?
LANConfig zeigt mir das Gerät an, es funktioniert.
Das habe ich so angelegt.
https://www.lancom-systems.de/docs/LCOS ... 12877.html
Stationsregeln legen Sie fest, welche WLAN-Clients sich in den WLAN-Netzwerken der APs anmelden können, die durch den WLC zentral verwaltet werden.
https://www.lancom-systems.de/docs/LCOS ... tions.html
Muster MAC-Adresse ?
Ich bedanke mich schon mal für die Hilfe und Geduld, das ich verstehe wie einige Einstellungen gemeint sind um auf das WLAN zugreifen zu können.
Router: LC1783VAW (VDSL 50 Mbit/s & ADSL2+)
Wireless: 2x LN-630; IAP-322
Wireless: 2x LN-630; IAP-322
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Abend und Danke für die über 40 Besucher meiner Anfrage; leider auch nach 5 Stunden Beschäftigung kann ich nun erstmal über den WLANmonitur sehen, was mein Erfolg ist. Beide WLAN Netze sind zu sehen.
Ich möchte mich gerne verbinden, so sollte doch die MAC-Adresse des Gerätes das übersehenem, leider falsch gedacht!
Logisch ist doch das PW beim angelegten Benutzer, welcher Zugriff auf den Radius Server bekommt (Erdgeschoss).
Und es findet sich auch keine Anleitung um so etwas an einer Vorlage nachzuvollziehen.
Folgende Geräte:
Router (DHCP) -> Netgear (Manager) -> LN630 für Erdgeschoss
Radius Server -> Erdgeschoss
Benutzer -> MAC-Adresse / PW: MAC-Adresse
....
Danke für die Hilfe beim Einrichten eines Access-Point
Ich möchte mich gerne verbinden, so sollte doch die MAC-Adresse des Gerätes das übersehenem, leider falsch gedacht!
Logisch ist doch das PW beim angelegten Benutzer, welcher Zugriff auf den Radius Server bekommt (Erdgeschoss).
Und es findet sich auch keine Anleitung um so etwas an einer Vorlage nachzuvollziehen.
Folgende Geräte:
Router (DHCP) -> Netgear (Manager) -> LN630 für Erdgeschoss
Radius Server -> Erdgeschoss
Benutzer -> MAC-Adresse / PW: MAC-Adresse
....
Danke für die Hilfe beim Einrichten eines Access-Point
Router: LC1783VAW (VDSL 50 Mbit/s & ADSL2+)
Wireless: 2x LN-630; IAP-322
Wireless: 2x LN-630; IAP-322
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Ganz banal gefragt, hast du den RADIUS Server auf dem AP an sich auch aktiviert?
Router/ Modem: 1781VA-4G + ALL-IP + VPN25 & 1783VAW I Wlan: L-1302acn & L-1310acn & WLC-4006+ I Switch: GS-2326 & GS-2310P
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Guten Morgen, hier das Bild dazu:
In welcher Form muss es angelegt sein: 33:33:44.... oder 324567:345678 ?
Und zu Information, falls das wichtig wäre -> habe kein WLAN-Controller (WLC) im Einsatz!
Ebenso, Zugriff per MAC-Adresse zugeordnet.In welcher Form muss es angelegt sein: 33:33:44.... oder 324567:345678 ?
Und zu Information, falls das wichtig wäre -> habe kein WLAN-Controller (WLC) im Einsatz!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Router: LC1783VAW (VDSL 50 Mbit/s & ADSL2+)
Wireless: 2x LN-630; IAP-322
Wireless: 2x LN-630; IAP-322
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Moin,
Bei der WLAN-MAC-Adreßprüfung per RADIUS übermittelt der AP im Benutzernamen die MAC-Adresse im Format aabbcc-ddeeff. Für das Paßwort kann man wählen, ob es gleich dem Benutzernamen sein soll oder gleich dem Shared-Secret, das RADIUS-Client und -Server benutzen, um ihre Kommunikation miteinander abzusichern. Der Schalter dafür ist auf der LCOS-CLI unter Setup/WLAN/RADIUS-Access-Check/Password-Source und steht im Default auf "Secret" (ich hab gerade kein LANconfig vor der Nase, um nachzuschauen, wo es da ist...). Wenn das Gerät mit sich selber "RADIUS reden" soll, ist "MAC-Address" die sinnvollere Einstellung.
Viele Grüße
Alfred
Bei der WLAN-MAC-Adreßprüfung per RADIUS übermittelt der AP im Benutzernamen die MAC-Adresse im Format aabbcc-ddeeff. Für das Paßwort kann man wählen, ob es gleich dem Benutzernamen sein soll oder gleich dem Shared-Secret, das RADIUS-Client und -Server benutzen, um ihre Kommunikation miteinander abzusichern. Der Schalter dafür ist auf der LCOS-CLI unter Setup/WLAN/RADIUS-Access-Check/Password-Source und steht im Default auf "Secret" (ich hab gerade kein LANconfig vor der Nase, um nachzuschauen, wo es da ist...). Wenn das Gerät mit sich selber "RADIUS reden" soll, ist "MAC-Address" die sinnvollere Einstellung.
Viele Grüße
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Der Schalter ist unter Stationen/LEPS und heißt RADIUS-Server Passwort-Quelle.
LCS NC/WLAN
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Hallo all und Danke den Schreibern, diese Einstellung wurde angelegt, da ich diesen Hinweis bei meiner Suche hier auf der Plattform fand. (Thema aus 2010 -> FW 7.x) Webconfig und wechseln Sie in das Menü LCOS-Menübaum -> Setup -> WLAN -> RADIUS-Zugriffspruefung -> Passwort-Quelle
https://www2.lancom.de/kb.nsf/1275/46F6 ... 1E003A852B
Erklärung mit MAC-Adresse: 1111-2222 ?
https://www.lancom-systems.de/docs/LCOS ... 12877.html
Bei der Nutzung von RADIUS zur Authentifizierung der WLAN-Clients kann neben einem externen RADIUS-Server auch die interne Benutzertabelle der WLC genutzt werden, um nur bestimmten WLAN-Clients anhand ihrer MAC-Adresse den Zugang zum WLAN zu erlauben.
Frage: Ich nutze bzw. möchte nicht noch einen WLC nutzen, da es auch so gehen sollte!
Tragen Sie die zugelassenen MAC-Adressen über LANconfig in die RADIUS-Datenbank im Konfigurationsbereich RADIUS > Server auf der Registerkarte Allgemein ein. Verwenden Sie dabei die MAC-Adresse als Name und ebenso als Passwort und wählen Sie als Authentifizierungsmethode.
So habe ich es angelegt, aber PW wird abgelehnt.
Da man keine Anleitung im Netz und auf LANCOM findet um sich damit zu beschäftigen, würde ich mich bedanken, wenn jemand die Abläufe mal angeben könnte, wenn man das Gerät auspackt und zum ersten mal nutzt. Danke
1.Ich habe ausgewählt kein DHCP; da der Router das Übernimmt.
2. https://www.lancom-systems.de/docs/LCOS ... 92528.html -> hier fehlen mir die Hintergründe, um diese Bezeichnungen und Zeichen anzulegen! und nochmal Müssen beide angegeben werden, welche Einträge müssen noch erfolgen bzw. "wählen" ?
Danke und Grüße onel01
https://www2.lancom.de/kb.nsf/1275/46F6 ... 1E003A852B
Erklärung mit MAC-Adresse: 1111-2222 ?
https://www.lancom-systems.de/docs/LCOS ... 12877.html
Bei der Nutzung von RADIUS zur Authentifizierung der WLAN-Clients kann neben einem externen RADIUS-Server auch die interne Benutzertabelle der WLC genutzt werden, um nur bestimmten WLAN-Clients anhand ihrer MAC-Adresse den Zugang zum WLAN zu erlauben.
Frage: Ich nutze bzw. möchte nicht noch einen WLC nutzen, da es auch so gehen sollte!
Tragen Sie die zugelassenen MAC-Adressen über LANconfig in die RADIUS-Datenbank im Konfigurationsbereich RADIUS > Server auf der Registerkarte Allgemein ein. Verwenden Sie dabei die MAC-Adresse als Name und ebenso als Passwort und wählen Sie als Authentifizierungsmethode.
So habe ich es angelegt, aber PW wird abgelehnt.
Da man keine Anleitung im Netz und auf LANCOM findet um sich damit zu beschäftigen, würde ich mich bedanken, wenn jemand die Abläufe mal angeben könnte, wenn man das Gerät auspackt und zum ersten mal nutzt. Danke
1.Ich habe ausgewählt kein DHCP; da der Router das Übernimmt.
2. https://www.lancom-systems.de/docs/LCOS ... 92528.html -> hier fehlen mir die Hintergründe, um diese Bezeichnungen und Zeichen anzulegen! und nochmal Müssen beide angegeben werden, welche Einträge müssen noch erfolgen bzw. "wählen" ?
Danke und Grüße onel01
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Router: LC1783VAW (VDSL 50 Mbit/s & ADSL2+)
Wireless: 2x LN-630; IAP-322
Wireless: 2x LN-630; IAP-322
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Moin,
ich galube, Du hast Dich inzwischen völlig verzettelt. Du bist bei anderen Modulen wie 802.1X gelandet, die überhaupt nichts mit der MAC-Adreßprüfung zu tun haben. Vielleicht fangen wir mal ganz vorne an:
(1) Du willst also nur Clients mit bekannter MAC-Adresse reinlassen. Du bist Dir bewußt, daß dies aus heutiger Sicht keinerlei Sicherheitsgewinn bringt, weil MAC-Adressen auf den Clients üblicherweise beliebig geändert werden können? Dieses Feature haben APs in erster Linie deswegen, weil's ein "Abhakfeature" ist, das APs eben haben müssen, und weil man darauf aufbauend den einzelnen Clients individuelle Attribute geben kann, wie Bandbreitenlimits oder eigene WPA-Passphrases.
(2) Hast Du nur genau einen AP? Wenn ja, warum willst Du die MAC-Adressen dann per RADIUS verwalten? Der AP selber hat eine lokale Tabelle, in der man die MAC-Adressen hinterlegen kann und die ganz ohne RADIUS funktioniert (Wireless LAN -> Stationsregeln im LANconfig). RADIUS macht erst dann Sinn, wenn man mehr als eine AP hat und die Liste zentral pflegen möchte, oder wenn man aus anderen administrativen Gründen die Liste auf einem anderen Gerät als dem AP pflegen möchte. Wenn Du nur einen einen einzigen AP hast und dort auch die Liste liegen soll, dann macht es wenig praktischen Sinn, daß das Gerät mit sich selber RADIUS über die 127.0.0.1 redet.
(3) OK, Du hast Dich also doch dafür entschieden, daß das Gerät mit sich selber RADIUS reden soll. Stelle folgende Sachen ein:
(a) RADIUS->Server->RADIUS-Authentisierung: aktiv. Damit schaltest Du erstmal den RADIUS-Server an.
(b) RADIUS->Server->Benutzerkonten: nach Bedarf füllen. Ein Eintrag muß aktiv sein, als Benutzernamen und Paßwort
die MAC-Adresse im Format aabbcc-ddeeff, PAP muß zugelassen sein.
(c) Wireless LAN -> Stationen, "Daten von den aufgeführten Stationen übertragen, alle anderen über RADIUS authentifizieren oder ausfiltern"
(d) Wireless LAN -> Stationen, RADIUS Server Passwort Quelle -> MAC-Adresse
(e) Wireless LAN -> Stationen->RADIUS-Server Einstellungen -> 127.0.0.1 als Server-Adresse, Port bleibt auf 1812, Secret bleibt leer
(f) Wireless LAN -> Allgemein -> Logische WLAN Einstellungen: "MAC-Filter aktiviert" für die gewünschte SSID setzen.
(g) Wenn's dann nicht klappt, habe ich wohl etwas vergessen. Auf dem Gerät eine CLI-Session öffnen, "trace + RADIUS" eingeben, das posten, was an Ausgaben während der Anmeldung eines Clients kommt.
Viele Grüße
Alfred
ich galube, Du hast Dich inzwischen völlig verzettelt. Du bist bei anderen Modulen wie 802.1X gelandet, die überhaupt nichts mit der MAC-Adreßprüfung zu tun haben. Vielleicht fangen wir mal ganz vorne an:
(1) Du willst also nur Clients mit bekannter MAC-Adresse reinlassen. Du bist Dir bewußt, daß dies aus heutiger Sicht keinerlei Sicherheitsgewinn bringt, weil MAC-Adressen auf den Clients üblicherweise beliebig geändert werden können? Dieses Feature haben APs in erster Linie deswegen, weil's ein "Abhakfeature" ist, das APs eben haben müssen, und weil man darauf aufbauend den einzelnen Clients individuelle Attribute geben kann, wie Bandbreitenlimits oder eigene WPA-Passphrases.
(2) Hast Du nur genau einen AP? Wenn ja, warum willst Du die MAC-Adressen dann per RADIUS verwalten? Der AP selber hat eine lokale Tabelle, in der man die MAC-Adressen hinterlegen kann und die ganz ohne RADIUS funktioniert (Wireless LAN -> Stationsregeln im LANconfig). RADIUS macht erst dann Sinn, wenn man mehr als eine AP hat und die Liste zentral pflegen möchte, oder wenn man aus anderen administrativen Gründen die Liste auf einem anderen Gerät als dem AP pflegen möchte. Wenn Du nur einen einen einzigen AP hast und dort auch die Liste liegen soll, dann macht es wenig praktischen Sinn, daß das Gerät mit sich selber RADIUS über die 127.0.0.1 redet.
(3) OK, Du hast Dich also doch dafür entschieden, daß das Gerät mit sich selber RADIUS reden soll. Stelle folgende Sachen ein:
(a) RADIUS->Server->RADIUS-Authentisierung: aktiv. Damit schaltest Du erstmal den RADIUS-Server an.
(b) RADIUS->Server->Benutzerkonten: nach Bedarf füllen. Ein Eintrag muß aktiv sein, als Benutzernamen und Paßwort
die MAC-Adresse im Format aabbcc-ddeeff, PAP muß zugelassen sein.
(c) Wireless LAN -> Stationen, "Daten von den aufgeführten Stationen übertragen, alle anderen über RADIUS authentifizieren oder ausfiltern"
(d) Wireless LAN -> Stationen, RADIUS Server Passwort Quelle -> MAC-Adresse
(e) Wireless LAN -> Stationen->RADIUS-Server Einstellungen -> 127.0.0.1 als Server-Adresse, Port bleibt auf 1812, Secret bleibt leer
(f) Wireless LAN -> Allgemein -> Logische WLAN Einstellungen: "MAC-Filter aktiviert" für die gewünschte SSID setzen.
(g) Wenn's dann nicht klappt, habe ich wohl etwas vergessen. Auf dem Gerät eine CLI-Session öffnen, "trace + RADIUS" eingeben, das posten, was an Ausgaben während der Anmeldung eines Clients kommt.
Viele Grüße
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Guten Abend @alf29, Danke für deine Übersicht wie ich vorgehen muss.
Das habe ich soweit auch durchgeführt. Neustart und das Ergebnis ist Negativ, kein Erfolg bekomme kein Zugriff auf das Gerät. fa-icon spinn dreht sich aber schön
Habe dann versucht die Konsole zu öffnen, aber es öffnet sich bei Mir kurz das DOS-Fenster und schließt sich wieder...
- bin ich da richtig um den Befehl einzugeben?
Der AP selber hat eine lokale Tabelle, in der man die MAC-Adressen hinterlegen kann und die ganz ohne RADIUS funktioniert (Wireless LAN -> Stationsregeln im LANconfig).
Es gibt NUR 1 AP, der nur für MAC-Adressen sein soll, die als Benutzer angelegt wurden sind!
Das werde ich nochmal Versuchen, vielleicht redetet es dann man mit.
Radius - abgeschaltet
- Einträge Benutzer entfernt
-- Benutzer angelegt mit PW MAC-Adresse
-- speichern....
was es auch nicht macht....
Habe mir das einfacher Vorgestellt, da ist man von den HOME Geräten verwöhnt.
Das habe ich soweit auch durchgeführt. Neustart und das Ergebnis ist Negativ, kein Erfolg bekomme kein Zugriff auf das Gerät. fa-icon spinn dreht sich aber schön
Habe dann versucht die Konsole zu öffnen, aber es öffnet sich bei Mir kurz das DOS-Fenster und schließt sich wieder...
- bin ich da richtig um den Befehl einzugeben?
Der AP selber hat eine lokale Tabelle, in der man die MAC-Adressen hinterlegen kann und die ganz ohne RADIUS funktioniert (Wireless LAN -> Stationsregeln im LANconfig).
Es gibt NUR 1 AP, der nur für MAC-Adressen sein soll, die als Benutzer angelegt wurden sind!
Das werde ich nochmal Versuchen, vielleicht redetet es dann man mit.
Radius - abgeschaltet
- Einträge Benutzer entfernt
-- Benutzer angelegt mit PW MAC-Adresse
-- speichern....
was es auch nicht macht....
Habe mir das einfacher Vorgestellt, da ist man von den HOME Geräten verwöhnt.
Router: LC1783VAW (VDSL 50 Mbit/s & ADSL2+)
Wireless: 2x LN-630; IAP-322
Wireless: 2x LN-630; IAP-322
-
- Beiträge: 1055
- Registriert: 19 Aug 2014, 22:41
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Dann muss der Fehler gesucht und eingegrenzt werden. Für die allgemeine Fehlersuche im Bereich "WLAN" siehe:
lancom-wireless-aktuelle-accesspoint-z- ... 17257.html
lancom-wireless-aktuelle-accesspoint-z- ... 17257.html
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Du meinst Zugriff auf den AP selber vom WLAN? Der ist im Default ausgeschaltet. Das willst Du mit Deinen WLAN-Clients auch gar nicht, die sollen durch den AP auf das LAN dahinter zugreifen.Das habe ich soweit auch durchgeführt. Neustart und das Ergebnis ist Negativ, kein Erfolg bekomme kein Zugriff auf das Gerät. fa-icon spinn dreht sich aber schön
Du hast vermutlich gar keinen Telnet-Client installiert, der ist seit einer Weil im Default bei Windows nicht mehr dabei bzw. Zugang per unverschlüsseltem Telnet aufs Gerät ist ausgeschaltet. Installiere Dir einen SSH-Client, z.B. PuTTy.Habe dann versucht die Konsole zu öffnen, aber es öffnet sich bei Mir kurz das DOS-Fenster und schließt sich wieder...
- bin ich da richtig um den Befehl einzugeben?
Was heißt "was es auch nicht macht"? Wenn Du schon nicht zuverlässig geänderte Konfigs ins Gerät zurückschreiben kannst, dann solltest Du erst einmal dieses Problem lösen.Radius - abgeschaltet
- Einträge Benutzer entfernt
-- Benutzer angelegt mit PW MAC-Adresse
-- speichern....
was es auch nicht macht....
Viele Grüße
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Guten morgen all und @alf29;
Auspacken und SETUP ausführen.
- Wireless LAN -> Stationsregeln im LANconfig - Benutzer Anlegen mit MAC-Adresse -> PW: MAC-Adresse
Frage: ...-MUSTER ?
MAC-Adressen-Muster des Gerätes einsetzen
SSID-Muster, siehe Setup # Netzwerkname des SSID
Name
PW # MAC-Adresse vom Gerät
...
Speichern Damit sollte es doch funktionieren, aber in meinem Fall nicht.
LANCOM Router
Gateway-Adresse: 192.xxx.0.2
LAN-1
↓↑
IP-Netzwerk: 192.xxx.0.155
Router-GS108PEv3 DHCP-Modus
IP-Adresse: 192.xxx.0.136
↓↑
IP-Adresse: 192.xxx.0.5 -> AP LANCOM
WLANMonitor
- Access-Points
Anmeldung: Benutzer (MAC-Adresse) mit PW MAC-Adresse
Ich habe noch ein HOME-AP im Einsatz, welches Abgelöst werden soll -> Funktioniert wie gewollt
PUTTY habe ich im Einsatz, habe das Profil erstellt dafür und bekomme das als Information:
Starte WLAN am Gerät -> führe Befehl aus:
" trace + RADIUS "
[RADIUS-Server] 2019/01/10 10:49:28,674
Checking for dead accounting sessions:
root@LN-630acn:/
> trace + RADIUS
RADIUS-Client ON
RADIUS-Server ON
RADSEC ON
Hoffe das Du nun erkennst, wo es hängt?
Danke
(Es besteht die Möglich per Fernzugriff auf das Gerät zu zugreifen, wenn es erwünscht ist!)
Auspacken und SETUP ausführen.
- Wireless LAN -> Stationsregeln im LANconfig - Benutzer Anlegen mit MAC-Adresse -> PW: MAC-Adresse
Frage: ...-MUSTER ?
MAC-Adressen-Muster des Gerätes einsetzen
SSID-Muster, siehe Setup # Netzwerkname des SSID
Name
PW # MAC-Adresse vom Gerät
...
Speichern Damit sollte es doch funktionieren, aber in meinem Fall nicht.
LANCOM Router
Gateway-Adresse: 192.xxx.0.2
LAN-1
↓↑
IP-Netzwerk: 192.xxx.0.155
Router-GS108PEv3 DHCP-Modus
IP-Adresse: 192.xxx.0.136
↓↑
IP-Adresse: 192.xxx.0.5 -> AP LANCOM
WLANMonitor
- Access-Points
Anmeldung: Benutzer (MAC-Adresse) mit PW MAC-Adresse
Ich habe noch ein HOME-AP im Einsatz, welches Abgelöst werden soll -> Funktioniert wie gewollt
PUTTY habe ich im Einsatz, habe das Profil erstellt dafür und bekomme das als Information:
Starte WLAN am Gerät -> führe Befehl aus:
" trace + RADIUS "
[RADIUS-Server] 2019/01/10 10:49:28,674
Checking for dead accounting sessions:
root@LN-630acn:/
> trace + RADIUS
RADIUS-Client ON
RADIUS-Server ON
RADSEC ON
Hoffe das Du nun erkennst, wo es hängt?
Danke
(Es besteht die Möglich per Fernzugriff auf das Gerät zu zugreifen, wenn es erwünscht ist!)
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Router: LC1783VAW (VDSL 50 Mbit/s & ADSL2+)
Wireless: 2x LN-630; IAP-322
Wireless: 2x LN-630; IAP-322
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Die Felder unterstützen Wildcards, das ist mit "Muster" gemeint. Du kannst die MAC-Adresse komplett hinschreiben, z.B. '00:a0:57:11:22:33', oder auch '00:a0:57:*' Bei der Syntax von MAC-Adressen ist die Tabelle flexibel, Du kannst als Trennzeichen den Bindestrich oder einen Doppelpunkt benutzen oder auch gar keine Trennzeichen benutzen (aabbccddeeff).Frage: ...-MUSTER ?
SSID-Muster heißt, daß die Regel nur auf bestimmten vom Gerät ausgestrahlten SSIDs gelten soll. Zum Beispiel wenn man einem Client auf unterschiedlichen SSIDs unterschiedliche Bandbreitenlimits geben will. Laß das Feld für den Anfang leer, das ist dann wie ein '*' als Wildcard.
Tja, das ist die typische Anwender-Rückmeldung: "Tut nicht". Dummerweise kann nur niemand damit etwas anfangen, um das Problem näher einzukreisenDamit sollte es doch funktionieren, aber in meinem Fall nicht.
Was mir mindestens auffällt: Auf dem Snapshot ist der Schalter "Arbeitsweise der Filter" nicht umgestellt, so wie ich es in meinem früheren Post geschrieben hatte. Wenn Du den Schalter nicht umstellst, arbeitet der Filter genau invers: die in der Tabelle definierten Clients werden abgelehnt, alle anderen werden zugelassen...
PUTTY habe ich im Einsatz, habe das Profil erstellt dafür und bekomme das als Information:
Starte WLAN am Gerät -> führe Befehl aus:
" trace + RADIUS "
Jetzt arbeitest Du ja mit lokal angelegten Regeln und ohne RADIUS, im RADIUS kommt dementsprechend auch nichts. Mit dieser Konfiguration wäre ein "trace + WLAN-Status" der sinnvollere Trace.[RADIUS-Server] 2019/01/10 10:49:28,674
Checking for dead accounting sessions:
root@LN-630acn:/
> trace + RADIUS
RADIUS-Client ON
RADIUS-Server ON
RADSEC ON
Hoffe das Du nun erkennst, wo es hängt?
Viele Grüße
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Mahlzeit, schnell noch für Dich das " trace + WLAN " ausgeführt:
Transmission of 261 bytes Sequence # 362 to 28:16:a8:a3:29:85 on WLAN-1 successful, 1 try @ 1M, ACK Strength 15%, ACK Signal -74 dBm
[WLAN-DATA] 2019/01/10 11:24:39,388
Received frame from address 28:16:a8:a3:29:85 on WLAN-1:
-->Orig Length: 244 bytes
-->Rate: 1M
-->Signal: -74 dBm
-->Chain Signals: -77/-87 dBm
-->Noise: -84 dBm
-->Chain Noises: -87/-87 dBm
-->IEEE 802.11 Header
Protocol Version : 0
Flags :
Type : Mgmt
Subtype : ProbeReq
Duration : 0000
Address1 [DA ] : ff:ff:ff:ff:ff:ff (Broadcast)
Address2 [SA ] : 28:16:a8:a3:29:85
Address3 [BSS] : ff:ff:ff:ff:ff:ff (Broadcast)
Sequence Number : 797
Fragment Number : 0
-->802.11 Management Frame:
SSID :
Supported Rates : 1.0M 2.0M 5.5M 11.0M [9.0M] [18.0M] [36.0M] [54.0M]
Ext. Supp. Rates : [6.0M] [12.0M] [24.0M] [48.0M]
HT Capabilities : 40MHz Greenfield 20MHz-ShortGI 40MHz-ShortGI Tx-STBC SMPS-Disabled 1-Rx-STBC Max-A-MSDU-3839
Max-A-MPDU-65535 A-MPDU-Spacing-Unrestricted
single-stream MCS: all (up to 65/135/150M)
double-stream MCS: all (up to 130/270/300M)
+HTC Unsol.-MCS-Feedback RD-Responder
Beamforming: Tx-Staggered-Sounding Rx-NDP Tx-NDP Expl-Noncompr-Feedback-Matrix Expl-Compr-Feedback-Matrix Expl-Noncompr-Feedback-Immediate Expl-Compr-Feedback-Immediate Feedback-Grouping-2 Feedback-Grouping-4 Max-1-CSI-Antenna-Grouping Max-2-Noncompr-Matrix-Antenna-Grouping Max-2-Compr-Matrix-Antenna-Grouping Max-1-CSI-Rows Max-2-Channel-Estimation
Ext. Capabilities : 20/40-Coexistence-Management-Support Diagnostics
<trailer> : 40 @
Prot. Setup Info : Version 1.0
unknown(0x103a): 00
Config-Methods: Label Display PushButton (bit 9) (bit 13)
UUID-R 52616c69-6e6b-5750-53-2d-2816a8a32985
Primary-Device-Type PC
Radio-Bands 2.4 GHz 5 GHz
Association State not associated
Configuration Error no error
Device Password ID Default (PIN)
Device-Name "Xbox One"
Manufacturer "Ralink Technology, Corp."
Model-Name "Ralink Wireless Adapter"
Model-Number "RT2870"
unknown(0x1049): 00 37 2a 00 01 20
[WLAN-STRENGTH] 2019/01/10 11:24:39,390
Update signal strength of SEENCLIENT:28:16:a8:a3:29:85 by value 20:
Standard algorithm: current value is 20, its weight is 15
-->new mean value is 21
Habe die Einstellung, wie von Dir vorgegeben angelegt -> Schalter "Arbeitsweise der Filter"
Bin erstmal Unterwegs
Grüße onel01
Transmission of 261 bytes Sequence # 362 to 28:16:a8:a3:29:85 on WLAN-1 successful, 1 try @ 1M, ACK Strength 15%, ACK Signal -74 dBm
[WLAN-DATA] 2019/01/10 11:24:39,388
Received frame from address 28:16:a8:a3:29:85 on WLAN-1:
-->Orig Length: 244 bytes
-->Rate: 1M
-->Signal: -74 dBm
-->Chain Signals: -77/-87 dBm
-->Noise: -84 dBm
-->Chain Noises: -87/-87 dBm
-->IEEE 802.11 Header
Protocol Version : 0
Flags :
Type : Mgmt
Subtype : ProbeReq
Duration : 0000
Address1 [DA ] : ff:ff:ff:ff:ff:ff (Broadcast)
Address2 [SA ] : 28:16:a8:a3:29:85
Address3 [BSS] : ff:ff:ff:ff:ff:ff (Broadcast)
Sequence Number : 797
Fragment Number : 0
-->802.11 Management Frame:
SSID :
Supported Rates : 1.0M 2.0M 5.5M 11.0M [9.0M] [18.0M] [36.0M] [54.0M]
Ext. Supp. Rates : [6.0M] [12.0M] [24.0M] [48.0M]
HT Capabilities : 40MHz Greenfield 20MHz-ShortGI 40MHz-ShortGI Tx-STBC SMPS-Disabled 1-Rx-STBC Max-A-MSDU-3839
Max-A-MPDU-65535 A-MPDU-Spacing-Unrestricted
single-stream MCS: all (up to 65/135/150M)
double-stream MCS: all (up to 130/270/300M)
+HTC Unsol.-MCS-Feedback RD-Responder
Beamforming: Tx-Staggered-Sounding Rx-NDP Tx-NDP Expl-Noncompr-Feedback-Matrix Expl-Compr-Feedback-Matrix Expl-Noncompr-Feedback-Immediate Expl-Compr-Feedback-Immediate Feedback-Grouping-2 Feedback-Grouping-4 Max-1-CSI-Antenna-Grouping Max-2-Noncompr-Matrix-Antenna-Grouping Max-2-Compr-Matrix-Antenna-Grouping Max-1-CSI-Rows Max-2-Channel-Estimation
Ext. Capabilities : 20/40-Coexistence-Management-Support Diagnostics
<trailer> : 40 @
Prot. Setup Info : Version 1.0
unknown(0x103a): 00
Config-Methods: Label Display PushButton (bit 9) (bit 13)
UUID-R 52616c69-6e6b-5750-53-2d-2816a8a32985
Primary-Device-Type PC
Radio-Bands 2.4 GHz 5 GHz
Association State not associated
Configuration Error no error
Device Password ID Default (PIN)
Device-Name "Xbox One"
Manufacturer "Ralink Technology, Corp."
Model-Name "Ralink Wireless Adapter"
Model-Number "RT2870"
unknown(0x1049): 00 37 2a 00 01 20
[WLAN-STRENGTH] 2019/01/10 11:24:39,390
Update signal strength of SEENCLIENT:28:16:a8:a3:29:85 by value 20:
Standard algorithm: current value is 20, its weight is 15
-->new mean value is 21
Habe die Einstellung, wie von Dir vorgegeben angelegt -> Schalter "Arbeitsweise der Filter"
Bin erstmal Unterwegs
Grüße onel01
Router: LC1783VAW (VDSL 50 Mbit/s & ADSL2+)
Wireless: 2x LN-630; IAP-322
Wireless: 2x LN-630; IAP-322
Re: RADIUS Authentifizieren über MAC-Adressen anlegen
Hallo onel01,
Versuch einmal alles Schrift für Schritt aufzubauen und dann peu a peu das wlan absichern.
Können sich deine Clients bevor du mit dem RADIUS / der LEPS-Mac Filter Tabelle arbeitest ordnungsgemäß am AP anmelden und im netztwerk arbeiten (Ip beziehen etc.) wenn das schon nicht klappt, brauchst du mit restriktiven Maßnahmen garnicht erst anfangen.
Dann im zweiten Schritt in den logischen Einstellungen die MacFilterung auf der zutreffenden SSID aktivieren.
Dann, unter Stationen sicherstellen, das der Schalter auf „Daten von den aufgeführten Stationen übertragen, Rest verwerfen steht“
Wenn du dies aktivierst und die Tabelle noch leer ist, sollten sich deine Clients die bis eben noch ins wlan kamen nicht mehr einloggen können.
Nun legst du in der Stationstaste jeden Client an:
Mac Adresse des Client eingeben
Bei SSID- Muster ein * (Stern) als Wildcard
Bei Name des Namen des Client
Beim Rest musst du nichts eingeben.
Speichern.
Nun sollte sich der soeben angelegte Client wieder in das wlan einloggen können.
Viel erfolg!
Versuch einmal alles Schrift für Schritt aufzubauen und dann peu a peu das wlan absichern.
Können sich deine Clients bevor du mit dem RADIUS / der LEPS-Mac Filter Tabelle arbeitest ordnungsgemäß am AP anmelden und im netztwerk arbeiten (Ip beziehen etc.) wenn das schon nicht klappt, brauchst du mit restriktiven Maßnahmen garnicht erst anfangen.
Dann im zweiten Schritt in den logischen Einstellungen die MacFilterung auf der zutreffenden SSID aktivieren.
Dann, unter Stationen sicherstellen, das der Schalter auf „Daten von den aufgeführten Stationen übertragen, Rest verwerfen steht“
Wenn du dies aktivierst und die Tabelle noch leer ist, sollten sich deine Clients die bis eben noch ins wlan kamen nicht mehr einloggen können.
Nun legst du in der Stationstaste jeden Client an:
Mac Adresse des Client eingeben
Bei SSID- Muster ein * (Stern) als Wildcard
Bei Name des Namen des Client
Beim Rest musst du nichts eingeben.
Speichern.
Nun sollte sich der soeben angelegte Client wieder in das wlan einloggen können.
Viel erfolg!
Router/ Modem: 1781VA-4G + ALL-IP + VPN25 & 1783VAW I Wlan: L-1302acn & L-1310acn & WLC-4006+ I Switch: GS-2326 & GS-2310P