Hallo,
ich möchte im HomeOffice zwei L460agn installieren inkl. Roaming.
Dabei sollen zwei Netze über WLAN erreichbar sein (jeweils mit 2,4 & 5Ghz).
Das Netz Intranet Authentifiziert über einen externen Radius Server (W2K8R2), das funktioniert soweit auch.
Ich würde gern das Home-Netz auch über einen Radius authentifizieren, dazu würde ich den internen Radius Server von einem L460 nutzen wollen.
Allerdings wenn ich den Radius aktiviere (lt. Anleitung von der LC Kowlegebase) funktioniert das Intranet auch nicht mehr.
Gibt es eine Möglichkeit den WLAN Netzen explicit einen Radius Server zuzuweisen?
Das Intranet ist am Port 2 (VLAN 2) und das Home Netz ist am Port1 (VLAN 1) angeschlossen.
Beide LC's sind über einen VLAN fähigen Switch verbunden.
Gruß
Thomas
L460agn 2x Radius
Moderator: Lancom-Systems Moderatoren
Re: L460agn 2x Radius
Moin,
ich weiss nicht, auf welchen KB-Eintrag Du Dich beziehst, aber pro SSID verschiedene RADIUS-Server sind ohne weiteres moeglich, man traegt sie mit unterschiedlichen Namen in die Tabelle /Setup/IEEE802.1x/RADIUS-Server ein und in den Verschluesselungseinstellungen der jeweiligen SSID traegt man diese Namen ein, um sich darauf zu beziehen. Wieso das 802.1X auf der einen SSID nicht mehr funktionieren sol, wenn man auf einen zweiten Eintrag macht, weiss ich nicht. Oder meinst Du mit "Authentisieren ueber einen RADIUS-Server" gar nicht 802.1X, sondern die Pruefung von MAC-Adressen per RADIUS? Dafuer kann man in der Tat nur einen RADIUS-Server fuer alle SSIDs definieren.
Gruss Alfred
ich weiss nicht, auf welchen KB-Eintrag Du Dich beziehst, aber pro SSID verschiedene RADIUS-Server sind ohne weiteres moeglich, man traegt sie mit unterschiedlichen Namen in die Tabelle /Setup/IEEE802.1x/RADIUS-Server ein und in den Verschluesselungseinstellungen der jeweiligen SSID traegt man diese Namen ein, um sich darauf zu beziehen. Wieso das 802.1X auf der einen SSID nicht mehr funktionieren sol, wenn man auf einen zweiten Eintrag macht, weiss ich nicht. Oder meinst Du mit "Authentisieren ueber einen RADIUS-Server" gar nicht 802.1X, sondern die Pruefung von MAC-Adressen per RADIUS? Dafuer kann man in der Tat nur einen RADIUS-Server fuer alle SSIDs definieren.
Gruss Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
thommymail
- Beiträge: 55
- Registriert: 02 Jan 2005, 17:45
Re: L460agn 2x Radius
Hallo,
genau es geht um die Prüfung der MAC Adressen (Dokument 1302.2611.3912).
Welche Variante der Authentifizierung über Radius empfiehlt sich wenn man im Home Bereich auch SmartTV, DreamBox usw. mit einbinden will?
Gruß
Thomas
genau es geht um die Prüfung der MAC Adressen (Dokument 1302.2611.3912).
Welche Variante der Authentifizierung über Radius empfiehlt sich wenn man im Home Bereich auch SmartTV, DreamBox usw. mit einbinden will?
Gruß
Thomas
Re: L460agn 2x Radius
Moin,
Also der überwiegende Teil der 'Home-User' macht für ihr halbes Dutzend ganz schlicht WPA-PSK...Prüfung von MAC-Adressen (egal ob lokal oder über einen RADIUS-Server) ist per se kein Sicherheits-Feature, weil sich MAC-Adressen beliebig faken lassen. Die Prüfung wird erst dadurch interssant, daß sich an die MAC-Adressen weitere Eigenschaften pro Client hängen lassen, wie eine individuelle Passphrase (LEPS), Bandbreiten-Limits oder VLAN-IDs. LEPS ist dann interessant, wenn man einzelnen Clients den Zugang wieder entziehen möchte, ohne global auf allen Geräten die eine Passphrase ändern zu müssen. Die gleiche Möglichkeit bietet auch 802.1X, plus je nach gewählter EAP-Methode die Möglichkeit, als Login-Daten gleich die Benutzerkonten des IAS mitzubenutzen. Ist deshalb in erster Linie für Firmen interessant, für Heimanwender ist die Einrichtung und das Handling der Zertifikate im allgemeinen zu kompliziert und aufwendig.
Gruß Alfred
OK, dann haben wir aneinander vorbeigeredet. Wenn von 'Authentisierung über einen RADIUS-Server' gesprochen wird, dann meinen 90% der Kunden 802.1x...genau es geht um die Prüfung der MAC Adressen (Dokument 1302.2611.3912).
Home-Bereich und ein Windows-Server 2008? Das haben die meisten "Home-User" nicht zu Hause rumstehenWelche Variante der Authentifizierung über Radius empfiehlt sich wenn man im Home Bereich auch SmartTV, DreamBox usw. mit einbinden will?
Also der überwiegende Teil der 'Home-User' macht für ihr halbes Dutzend ganz schlicht WPA-PSK...Prüfung von MAC-Adressen (egal ob lokal oder über einen RADIUS-Server) ist per se kein Sicherheits-Feature, weil sich MAC-Adressen beliebig faken lassen. Die Prüfung wird erst dadurch interssant, daß sich an die MAC-Adressen weitere Eigenschaften pro Client hängen lassen, wie eine individuelle Passphrase (LEPS), Bandbreiten-Limits oder VLAN-IDs. LEPS ist dann interessant, wenn man einzelnen Clients den Zugang wieder entziehen möchte, ohne global auf allen Geräten die eine Passphrase ändern zu müssen. Die gleiche Möglichkeit bietet auch 802.1X, plus je nach gewählter EAP-Methode die Möglichkeit, als Login-Daten gleich die Benutzerkonten des IAS mitzubenutzen. Ist deshalb in erster Linie für Firmen interessant, für Heimanwender ist die Einrichtung und das Handling der Zertifikate im allgemeinen zu kompliziert und aufwendig.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
thommymail
- Beiträge: 55
- Registriert: 02 Jan 2005, 17:45
Re: L460agn 2x Radius
Zu Hause habe ich auch keinen draum stehen, das WLAN INTRANET ist über eine WLAN Strecke mit der Firma verbunden und wird da gegen den Windows 2008 Server per Radius authentifiziert.Home-Bereich und ein Windows-Server 2008? Das haben die meisten "Home-User" nicht zu Hause rumstehen
Das funktioniert soweit auch prima.
Ich dachte ich kann so eine Variante auch in den Home Netz Umsetzen, dies soll aber komplett von der Firma getrennt sein.
Ich werde dann auf WPA-PSK setzen, ich wollte mir nur ersparen das auf zwei Access Points zu pflegen, evtl. kommt noch ein dritter hinzu.
Gruß
Thomas