Hallo,
habe es jetzt geschafft, einen RADIUS Server aufzusetzen, für manche von euch sicher ein klacks:P aber für mich war es komplettes Neuland, vor allem Linux:D
Habe ein Debian System mit FreeRadius.
Das Authentifizieren via 802.11i TTLS/MschapV2 funktioniert ohne Probleme.
Habe leider auch zu meiner Frage nix in der Suche gefunden.
Hoffe auch die Fragen sind auch nicht zu dumm:p
Mein Freeradiusserver "zählt" nur den Traffic, wenn ich den Testnutzer per Puplic Spot anmelde.
Kann ich dies auch anders realisieren? Weil ich nicht auf alles L54 das PS Modul aktiviert habe.
Und die zweite Frage ist, muss ich im Lancom noch eine Option oder Feature aktivieren, um zu loggen, was der „Kunde“ bzw. „Nutzer“ für Dienste oder Seiten angefordert hat? Geht dabei in erster Linie um solche Geschichten wie emule, torrent.
Vielen Dank für die Antworten
Liebe Grüße
L54 Dual und RADIUS Accounting
Moderator: Lancom-Systems Moderatoren
Moin,
Setup->WLAN->RADIUS-Accounting
um den RADIUS-Server einzustellen und
Setup->Interfaces->WLAN->Network
um das Accounting auf den gewünschen SSIDs zu
aktivieren.
dazu müßtest Du auf den APs aber routen und nicht bridgen -
womit wiederum das transparente Roaming flöten geht.
Das macht man besser zentral auf dem Gateway.
Gruß Alfred
Setup->WLAN->RADIUS-Accounting
um den RADIUS-Server einzustellen und
Setup->Interfaces->WLAN->Network
um das Accounting auf den gewünschen SSIDs zu
aktivieren.
Eventuell bekommst Du das mit der Firewall hingebogen,Und die zweite Frage ist, muss ich im Lancom noch eine Option oder Feature aktivieren, um zu loggen, was der „Kunde“ bzw. „Nutzer“ für Dienste oder Seiten angefordert hat? Geht dabei in erster Linie um solche Geschichten wie emule, torrent.
dazu müßtest Du auf den APs aber routen und nicht bridgen -
womit wiederum das transparente Roaming flöten geht.
Das macht man besser zentral auf dem Gateway.
Gruß Alfred
...
Wow, das ging ja fix:)
Und geklappt hat es auch gleich noch:)
Finde ich diese "optionen" auch irgendwo im Lanconfig?
Weil ich hauptsächlich damit arbeite.
Nochmal zur Zweiten Frage und dazu viell nochmal ein paar mehr informationen:
Habe als Router bzw. Gateway(feste öffentliche IP) einen 1721 VPN, daran "hängen" 5 L54g bzw. L54 Dual(jeweils auch mit öffentlichen IP's) mit den jeweiligen Endkunden.
Die L54 übernehmen nun das Radius Accounting sind also für den Freeradius die Clients, wenn ich das richtig verstanden hab.
Da die Endkunden sowieso vom jeweiligen L54 "GeNATet" werden, laufen diese auch im Routing Modus.
Kannst du mir daher zum loggen etwas genauere Infos geben wie du das meinst?
Danke nochmals:)
Und geklappt hat es auch gleich noch:)
Finde ich diese "optionen" auch irgendwo im Lanconfig?
Weil ich hauptsächlich damit arbeite.
Nochmal zur Zweiten Frage und dazu viell nochmal ein paar mehr informationen:
Habe als Router bzw. Gateway(feste öffentliche IP) einen 1721 VPN, daran "hängen" 5 L54g bzw. L54 Dual(jeweils auch mit öffentlichen IP's) mit den jeweiligen Endkunden.
Die L54 übernehmen nun das Radius Accounting sind also für den Freeradius die Clients, wenn ich das richtig verstanden hab.
Da die Endkunden sowieso vom jeweiligen L54 "GeNATet" werden, laufen diese auch im Routing Modus.
Kannst du mir daher zum loggen etwas genauere Infos geben wie du das meinst?
Danke nochmals:)
Moin,
Gruß Alfred
Nein, bisher nicht.Finde ich diese "optionen" auch irgendwo im Lanconfig?
Weil ich hauptsächlich damit arbeite.
Korrekt.Die L54 übernehmen nun das Radius Accounting sind also für den Freeradius die Clients, wenn ich das richtig verstanden hab.
Ehrlich gesagt nein, die Firewall ist nicht meine Ecke...Kannst du mir daher zum loggen etwas genauere Infos geben wie du das meinst?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
...
Ok, trotzdem nochmals danke:)
Vielleicht weis jemand anders Rat:)
Wäre es theoretisch über die Radiusports 1812/1813 und mithilfe des Radiuservers auch möglich diese Informationen zu loggen?
Edit:
Was mir gerade noch auffällt, ist, dass es mir bei dieser Einstellung des RADIUS Accounting nicht die IP Adresse des "Kunden" in der sql Datenbank anzeigt. Worin liegt da der Unterschied zum PS Modul?
Vielleicht weis jemand anders Rat:)
Wäre es theoretisch über die Radiusports 1812/1813 und mithilfe des Radiuservers auch möglich diese Informationen zu loggen?
Edit:
Was mir gerade noch auffällt, ist, dass es mir bei dieser Einstellung des RADIUS Accounting nicht die IP Adresse des "Kunden" in der sql Datenbank anzeigt. Worin liegt da der Unterschied zum PS Modul?
Moin,
definiert hätte. Das Protokoll ist für so etwas eben nicht
definiert worden.
Menüpunkt Setup->WLAN->RADIUS-Accounting->
Interim-Update-Period muß ungleich 0 sein, z.B. 120
Sekunden). Direkt nach dem Einloggen weiß der AP die
Client-IP-Adresse noch nicht (er holt sie sich ja erst danach
per DHCP oder so), deshalb kann sie im Accounting-Start
noch nicht drin sein.
Gruß Alfred
Ich wüßte nicht, daß RADIUS für derlei passende AttributeWäre es theoretisch über die Radiusports 1812/1813 und mithilfe des Radiuservers auch möglich diese Informationen zu loggen?
definiert hätte. Das Protokoll ist für so etwas eben nicht
definiert worden.
Hast Du Interim-Updates eingeschaltet oder nicht? (derWas mir gerade noch auffällt, ist, dass es mir bei dieser Einstellung des RADIUS Accounting nicht die IP Adresse des "Kunden" in der sql Datenbank anzeigt. Worin liegt da der Unterschied zum PS Modul?
Menüpunkt Setup->WLAN->RADIUS-Accounting->
Interim-Update-Period muß ungleich 0 sein, z.B. 120
Sekunden). Direkt nach dem Einloggen weiß der AP die
Client-IP-Adresse noch nicht (er holt sie sich ja erst danach
per DHCP oder so), deshalb kann sie im Accounting-Start
noch nicht drin sein.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
..
Klappt, danke:)Hast Du Interim-Updates eingeschaltet oder nicht? (der
Menüpunkt Setup->WLAN->RADIUS-Accounting->
Interim-Update-Period muß ungleich 0 sein, z.B. 120
Sekunden). Direkt nach dem Einloggen weiß der AP die
Client-IP-Adresse noch nicht (er holt sie sich ja erst danach
per DHCP oder so), deshalb kann sie im Accounting-Start
noch nicht drin sein.
Gruß Alfred
Man könnte meinen, du kennst dich damit aus:p
Hallo,
wenn Du eh einen Radius auf einem PC auf Linux aufgesetzt hast, dann papp in das Teil ne 2te Netzwerkkarte rein und installiere den Squid als Proxy. Im Logfile des Squid steht drin welche Seiten von welchem Client aufgerufen wurden.
Da auf Linux auch immer ein Syslog mitläuft kannst Du in den AP´s die Sylslogmeldungen aktivieren so dass diese an den Linux PC gehen, der sammelt das dann in den Logfiles. Da steht dann dateiliert drin, welche MAC welche IP bekommen hat, ob der Client den AP gewechselt hat, warum er gegangen ist und eben welcher User zu welche MAC und welcher IO gehört.
Wenn man dann mal die Notwendigkeit hat einen Contentfilter zu installieren, dann kann man das auch kostengünstig via Squid machen.
wenn Du eh einen Radius auf einem PC auf Linux aufgesetzt hast, dann papp in das Teil ne 2te Netzwerkkarte rein und installiere den Squid als Proxy. Im Logfile des Squid steht drin welche Seiten von welchem Client aufgerufen wurden.
Da auf Linux auch immer ein Syslog mitläuft kannst Du in den AP´s die Sylslogmeldungen aktivieren so dass diese an den Linux PC gehen, der sammelt das dann in den Logfiles. Da steht dann dateiliert drin, welche MAC welche IP bekommen hat, ob der Client den AP gewechselt hat, warum er gegangen ist und eben welcher User zu welche MAC und welcher IO gehört.
Wenn man dann mal die Notwendigkeit hat einen Contentfilter zu installieren, dann kann man das auch kostengünstig via Squid machen.
Pengiun
Dann müsste aber der gesammte Traffic meines Netzes durch den Proxy? Und nicht wie jetzt, dass der Radius quasi parallel auf den entsprechenden Ports lauscht?Pengiun hat geschrieben:Hallo,
wenn Du eh einen Radius auf einem PC auf Linux aufgesetzt hast, dann papp in das Teil ne 2te Netzwerkkarte rein und installiere den Squid als Proxy. Im Logfile des Squid steht drin welche Seiten von welchem Client aufgerufen wurden.
Kannst du mir dazu paar genauere Infos geben? bzgl. Konfiguration? Mich interessieren eben nur besuchte Websites oder ähnliches, was verwertbar wäre, wenn ein User "illegale" Sachen downloaded oder gedownloaded hat.Pengiun hat geschrieben: Da auf Linux auch immer ein Syslog mitläuft kannst Du in den AP´s die Sylslogmeldungen aktivieren so dass diese an den Linux PC gehen, der sammelt das dann in den Logfiles. Da steht dann dateiliert drin, welche MAC welche IP bekommen hat, ob der Client den AP gewechselt hat, warum er gegangen ist und eben welcher User zu welche MAC und welcher IO gehört.
Hallo,
ja der Traffic läuft durch den Proxy. Aber das ist ja eigentlich nicht schlimm.
Bau in das Ding einfach mal ne 2te Netzwerkkarte ein. Und installier den Squid. Für den Anfang reicht es ja wenn man ihn von Hand startet.
Die 2te Karte kommt in ein anderes Segment. Die Adresse auf die die Karte eingerichtet wird, stellt man im squid.conf als Listen Adresse ein. Modus Transparent. Dann muss man an den Clients nix einstellen.
Auf was für einer Distri hast Du die Kiste den eingerichtet.
Ich nehm für sowas immer Debian.
Das Squid Logfile kann man dann auch mit dem Webalizer aufbereiten und schon hat man ne schöne Statistik was die Anwender so alles treiben.
Ich nutze den Squid Rechner auch zum hosten der Anmeldeseiten für die Public Spots. Dann hab ich die an nur einer Stelle und muss das Zeug nicht in jeden AP reinladen. Da kann man dann auch mehr Bilder unterbringen etc.
ja der Traffic läuft durch den Proxy. Aber das ist ja eigentlich nicht schlimm.
Bau in das Ding einfach mal ne 2te Netzwerkkarte ein. Und installier den Squid. Für den Anfang reicht es ja wenn man ihn von Hand startet.
Die 2te Karte kommt in ein anderes Segment. Die Adresse auf die die Karte eingerichtet wird, stellt man im squid.conf als Listen Adresse ein. Modus Transparent. Dann muss man an den Clients nix einstellen.
Auf was für einer Distri hast Du die Kiste den eingerichtet.
Ich nehm für sowas immer Debian.
Das Squid Logfile kann man dann auch mit dem Webalizer aufbereiten und schon hat man ne schöne Statistik was die Anwender so alles treiben.
Ich nutze den Squid Rechner auch zum hosten der Anmeldeseiten für die Public Spots. Dann hab ich die an nur einer Stelle und muss das Zeug nicht in jeden AP reinladen. Da kann man dann auch mehr Bilder unterbringen etc.
Pengiun
...
Hi,
und danke für die schnelle Antwort:)
Habe als Distri auch Debian:)
Und ich hab auch noch 2 freie NW Schnittstellen:)
Werde mich die Tage mal etwas näher damit befassen.
Nur eine Frage ersmal noch im Vorfeld.
Jetzt hat mein Radius ja nur eine NW karte in Betrieb und diese hat ne öffentliche IP...muss "Listen NW Karte" dann auch zwingend eine haben oder wie läuft das ab?"Routet" der Proxy dann?
Liebe Grüße
und danke für die schnelle Antwort:)
Habe als Distri auch Debian:)
Und ich hab auch noch 2 freie NW Schnittstellen:)
Werde mich die Tage mal etwas näher damit befassen.
Nur eine Frage ersmal noch im Vorfeld.
Jetzt hat mein Radius ja nur eine NW karte in Betrieb und diese hat ne öffentliche IP...muss "Listen NW Karte" dann auch zwingend eine haben oder wie läuft das ab?"Routet" der Proxy dann?
Liebe Grüße
Hallo,
also die schon vorhandene / aktive sollte ETH0 sein.
Die geht an den Router.
Die zweite aktive wird ETH1.
Und auf die lässt man den Squid lauschen.
An ETH1 kommen dann die AP´s ran.
Der Debian Rechner, sitzt mit Radius und Squid quasi direkt in der Leitung zwischen Router (eth0) und den AP´s (eth1).
Zum testen einfach nen Notebook oder so anschliessen, man sollte dann von eth1 aus direkt ins Internet kommen.
Der Radius und Syslog beissen sich ja nicht mit dem Squid die haben je eigene Ports. Ein Radius auf dem Debian han ich zwar im Moment nicht hatte es aber mal mit Freeradius.
also die schon vorhandene / aktive sollte ETH0 sein.
Die geht an den Router.
Die zweite aktive wird ETH1.
Und auf die lässt man den Squid lauschen.
An ETH1 kommen dann die AP´s ran.
Der Debian Rechner, sitzt mit Radius und Squid quasi direkt in der Leitung zwischen Router (eth0) und den AP´s (eth1).
Zum testen einfach nen Notebook oder so anschliessen, man sollte dann von eth1 aus direkt ins Internet kommen.
Der Radius und Syslog beissen sich ja nicht mit dem Squid die haben je eigene Ports. Ein Radius auf dem Debian han ich zwar im Moment nicht hatte es aber mal mit Freeradius.
Pengiun
...
Und wie verhält es sich mit den IP's?
Wäre dann ein PPPoe Server nicht sinnvoller?
Hast du meine PN bekommen?
Wäre dann ein PPPoe Server nicht sinnvoller?
Hast du meine PN bekommen?
Hallo,
ich weis nicht ob man das als Routing bezeichnen kann. Das was auf eth1 reinkommt geht druch den Proxy und wird auf eth0 rausgeschoben. Aber eben nur der WWW Traffic also 80 und 443.
Im Squid Log stehen die IP der WLAN CLients drin. Auf dem Router sieht man im Accounting nur die IP des Squid eth0.
ich weis nicht ob man das als Routing bezeichnen kann. Das was auf eth1 reinkommt geht druch den Proxy und wird auf eth0 rausgeschoben. Aber eben nur der WWW Traffic also 80 und 443.
Im Squid Log stehen die IP der WLAN CLients drin. Auf dem Router sieht man im Accounting nur die IP des Squid eth0.
Pengiun
...
Das heist, wenn jemand Sachen über z.B. Torrent oder Emule lädt, kann ich das nicht im Log sehen bzw. loggen?Pengiun hat geschrieben:Hallo,
Aber eben nur der WWW Traffic also 80 und 443.