L54ag Wireless - Radiusbenutzer nur für bestimmtes WLan zula

Sascha_R · Beitrag von **Sascha_R** » 14 Feb 2013, 10:46

Hallo zusammen,

ist es ohne PublicSpot Option möglich einen Raduisbenutzer "PublicUser" nur Zugriff auf das "Public-Wlan" zu gewähren aber nicht auf das interne WLan? Der AP stellt beide SSIDs bereit, Public ist mittels Brigde von "Privat-WLan" getrennt.

Ich möchte einfach verhindern dass sich ein Gast trotz der Aufforderung sich mit dem "Public-WLan" zu verbinden sich mit den "Privat-Wlan" verbindet.

Danke schonmal.

Cytor · Beitrag von **Cytor** » 14 Feb 2013, 10:52

Hi,

du könntest das über den Called Station Eintrag am RADIUS-User versuchen. In der Kontexthilfe zu dem Eingabefeld ist das ganz gut erklärt, du müsstest dann für deinen User so etwas wie '*:Public-WLAN' hinterlegen.

Sascha_R · Beitrag von **Sascha_R** » 14 Feb 2013, 10:59

Danke, dann schau ich mal danach.

Edit...funktioniert so leider nicht. Der Benutzer kann sich dann überhaupt nicht mehr anmelden.

alf29 · Beitrag von **alf29** » 14 Feb 2013, 11:15

Moin,

bei Public Spot wird im Called-Station-Attribut nicht der im RFC definierte Info-String 'BSSID:SSID' geschickt, sondern nur 'nackt' die eigene Geräteadresse, unabhängig von der SSID. Das ist 'historisch bedingt' und vor einer Änderung haben wir bisher wegen des Risikos zurückgeschreckt, existierende Installationen zu stören. Die SSID, auf der ein Nutzer sitzt, läßt sich bei Public Spot nur anhand des NAS-Port-Id-Attributs identifizieren, und auf dieses Attribut kann der RADIUS-Server im LCOS wiederum nicht prüfen - tut mir leid...

Gruß Alfred

Cytor · Beitrag von **Cytor** » 14 Feb 2013, 12:16

Hi Alfred,

aber er schreibt, er habe gar keine PS Option. Bin dann davon ausgegangen, dass er 802.1x betreibt - sollte das damit nicht funktionieren? Bei mir kommt die Called-Station-Id in den Requests auf jeden Fall im Format BSSID:SSID.

alf29 · Beitrag von **alf29** » 14 Feb 2013, 13:40

Moin,

OK, da hatte ich von Public-WLAN direkt auf Public Spot geschlossen

Gruß Alfred

Sascha_R · Beitrag von **Sascha_R** » 16 Feb 2013, 06:55

Morgen alf29 und Cytor,

richtig, ich nutze keine PublicSpot Option dafür aber 802.1x und habe das Privat Wlan auch mit Zertifikaten abgesichert. Für das Public Wlan wollte ich einen Gastbenutzer nutzen.

@Cytor

muß mein Eintrag im CalledStation Feld dann"BSSID:Public" lauten? So funktioniert es bei mir auch nicht.

alf29 · Beitrag von **alf29** » 16 Feb 2013, 11:18

Moin,

Die Angabe muß

Code: Alles auswählen

*:<SSID>

lauten. Vom 802.1x kommt ein Called-Station-Attribut der Form

Code: Alles auswählen

<BSSID des APs>:<SSID>

wie in RFC 3580 Abschnitt 3.20 beschrieben, und die Called-Station-Id-Mask in der Benutzertabelle des RADIUS-Servers ist ein Wildcard-Ausdruck. D.h. in diesem Fall ist irrelvant, an welchem AP der Client sich angemeldet hat (deswegen der Stern als Wildcard für den BSSID-Teil), aber die SSID muß passen.

Gruß Alfred