L54 Dual und RADIUS Accounting

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
mapamann
Beiträge: 21
Registriert: 27 Aug 2007, 14:34
Kontaktdaten:
Kontaktdaten von mapamann

...

Beitrag von mapamann »

alf29 hat geschrieben:
Eventuell bekommst Du das mit der Firewall hingebogen,
dazu müßtest Du auf den APs aber routen und nicht bridgen -
womit wiederum das transparente Roaming flöten geht.
Das macht man besser zentral auf dem Gateway.

Gruß Alfred
Hi,

wollte irgendwie doch nochmal diesen Ansatz verfolgen.
Hast du nich doch nen kleinen Tip diesbezüglich für mich? Muss ja theoretisch nen Grund geben, wieso der Vorschlag kam.

Hab bis jetzt probiert und eine Regel in der FW erstellt, die für alle verbundenen Stationen eine SYSLOG Meldung auswirft, wenn diese etwas machen.

Weis nur nicht, ob das so der rechte weg ist.

Gruß

Stefan
Nach oben
Pengiun
Beiträge: 94
Registriert: 11 Jul 2006, 09:12

Beitrag von Pengiun »

Hallo,

sorry für die etwas verspätete Antwort.

Wenn Du das Ding so richtig Dich machen willst;=) dann würde ich einen IPCOP davor setzten. Squid ist da on Board und man kann dort den Squid mit diversen Gemeinheiten erweitern. Unter anderem gibt es da auch ein P2P Blocker. Das Ding nennt sich Layer7 Filter und besteht aus mehreren Teilen. Ich benutzen den zwar nicht, aber der scheint als Content Filter zu arbeiten und den Inhalt der Pakete zu analysieren. Die gängigen Download-Client lassen sich damit wohl ausschalten oder besser extrem Ausbremsen so dass es einfach keinen Spas macht;=)

Der IPCOP hat halt den Vorteil dass man den Squid via Webfrontend konfigurieren kann. Die Loglevel sind frei einstellbar. Wenn man beobachten will was die Leute so alles treiben, ich meine manche Gemeinheiten sieht man erst wenn man den Traffic sieht - dann ist zur Erkennung das System ne tolle Sache.

Was bein der Lösung von Nachteil ist, man kann auf dem Ding keinen Webdienst anbieten, also um z.B. eigene Loginseiten zu hosten. Da kommt dann immer der Spruch, keine Dienste direkt auf der Firewall;=)

Du kannst den Cop ja auch zum austesten nehmen und dann wenns läuft Dir einfach mal ansehen was er alles im squid.conf eingetragen hat. Der Cop nutzt aber kein Debian, sondern so eine abgespeckte Mini-Ditri.

Pengiun
Pengiun
Nach oben
backslash
Moderator
Moderator
Beiträge: 7132
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi mapamann
Hab bis jetzt probiert und eine Regel in der FW erstellt, die für alle verbundenen Stationen eine SYSLOG Meldung auswirft, wenn diese etwas machen.

Weis nur nicht, ob das so der rechte weg ist.
ganau das ist der rechte Weg. Wenn du dabei als Trigger "0 Pakete absolut" eingetragen hast, wird damit jede Session zu ihrem Beginn geloggt. Wenn du z.B. Zugriffe auf nicht reagierende Server ausfiltern willst, dann kannst du den Trigger auch höher stellen und die Syslog-Meldung z.B. erst nach dem 10. Paket schicken.

Gruß
Backslash
Nach oben
Benutzeravatar
stefanbunzel
Beiträge: 1405
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Beitrag von stefanbunzel »

Hallo LANCOM,

ich habe bei mir inzwischen auch einen Radius-Server (Free-Radius) im Netz und möchte damit insbesondere die von den Usern verwendeten IP-Adressen (mit und ohne DHCP) für weitere DIP-Regeln erfassen.

Warum können die Lancom's nur WLAN-Clients per Radius melden? Bei mir wäre auch die Erfassung der LAN-User erfoderlich.

Ich glaube, dass diese Funktion schon öfter gewünscht wurde aber nach wie vor noch nicht implementiert wurde?

Gibt es einen Trick, wie ich auch LAN-User an einen Radius-Server übermitteln kann?

Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Nach oben
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6207
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:
Kontaktdaten von alf29

Beitrag von alf29 »

Moin,
Warum können die Lancom's nur WLAN-Clients per Radius melden? Bei mir wäre auch die Erfassung der LAN-User erfoderlich.
unter anderem weil es im LAN kein Äquivalent zur
WLAN-Stationstabelle gibt? Im WLAN gibt es eine
definierte An- und Abmeldeprozedur, womit man pro
Client ( = MAC-Adresse) den Status genau nachhalten
kann, unter anderem wann eine Session beginnt und
wann sie endet. Im LAN hat man das alles nicht, LAN-
Stationen schicken einfach Pakete und Abmelden tun
sie sich auch nicht, ein Session-Ende bekommt man
bestenfalls per Idle-Timeout mit. Mit 802.1x auf den
Ethernet könnte sich das ändern, aber das ist noch
Zukunftsmusik...
Ich glaube, dass diese Funktion schon öfter gewünscht wurde aber nach wie vor noch nicht implementiert wurde?
Also ich bin ziemlich sicher, daß ich diesen Wunsch hier zum
ersten Mal höre...
Gibt es einen Trick, wie ich auch LAN-User an einen Radius-Server übermitteln kann?
Mit der nächsten LCOS-Release (vermutlich 8.30, irgendwann
im Frühjahr) wird es im Public-Spot eine MAC-Adressliste
geben, d.h. man kann bestimmte MAC-Adressen an einen
Benutzer binden und automatisch freigeben. Damit kann man
dann das Accounting in der Public-Spot-Option nutzen.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Nach oben
Antworten

Zurück zu „LANCOM Wireless aktuelle Accesspoints“