L54G konfiguration schlägt fehl

[immo.wetzel]

Hallo,

wir haben ein 54G erworben um drei VLANS über drei korrespondierende SSID zu verteilen. Aber es stockt schon am Anfang. Die LanConfig Software 7.56 mag nicht alles was man so konfigurt Leider stellt man erst später fest das z.B. das IP Netz weiterhin existiert obwohl man es gerade gelöscht hat. Auch die VLAN ID kann man nicht zurücksetzen.

Deshalb gleich nich ein paar Fragen.
Gibt es irgendwo ein CLI Handbuch für den Lancom ?
Gibt es irgendwo ein HowTo um
ein WPA2 TTLS/MSCHAPv2 gesichertes Netz mit dem internen Radius aufzubauen.

Vielleicht greif ich ja auch zu hoch. Ich möchte jedem Nutzer je Netz eine eigenständige Kennung+Passwort zuordnen damit er auf die Drei VLANS zugreifen kann. WPA2 zur Verschlüsselung mit AES ist ebenfalls ein muss.
die drei VLANS werden getagged angeliefert.

Ich bitte um Tips und Ratschläge Danke

[alf29]

Moin,

das sind ein ganzer Haufen Themenkomplexe auf einmal...

Die LanConfig Software 7.56 mag nicht alles was man so konfigurt Leider stellt man erst später fest das z.B. das IP Netz weiterhin existiert obwohl man es gerade gelöscht hat.

Da müßtest Du mal näher erläutern, was Du versucht hast...

Auch die VLAN ID kann man nicht zurücksetzen.

Da weiß ich auch noch nicht so genau, was Du versucht hast. Falls Du versucht hat, das
Default VLAN aus der VLAN-Netzwerk-Tabelle zu löschen, das geht in der Tat nicht, weil in der
Firmware einige Sachen 'in der Luft' hängen würden. Du kannst aber die Member-Liste auf
leer setzen, dann bewirkt das Default-VLAN auch nichts mehr...

Gibt es irgendwo ein CLI Handbuch für den Lancom ?

Interessantes Thema. Köchelt so vor sich hin, aber das wird wohl noch ein bisserl dauern...

Gibt es irgendwo ein HowTo um
ein WPA2 TTLS/MSCHAPv2 gesichertes Netz mit dem internen Radius aufzubauen.

Grob gesagt konfiguriert man die SSIDs gemäß Manual auf 802.1x (also in das Schlüsselfeld
den Namen eines Eintrags aud der 802.1x-RADIUS-Servertabelle), und als Adresse gibst Du
die eigene Adresse des Geräts an. Sinngemäß bei der Konfiguration des RADIUS-Servers
dann das Gerät selber als Client.

Vielleicht greif ich ja auch zu hoch. Ich möchte jedem Nutzer je Netz eine eigenständige Kennung+Passwort zuordnen damit er auf die Drei VLANS zugreifen kann.

Pro Netz und Nutzer unterschiedliche Paßwörter wird schwierig, weil der RADIUS-Server im
LCOS nicht weiß, von welcher SSID die Anfrage kam. Mit dem LCOS-eigenen Server ginge
nur das gleiche Paßwort in jeder SSID.

Gruß Alfred

[immo.wetzel]

Also Ich würde es sehr begrüßen wenn man bei Eingaben die nicht zulässig sind davon benachrichtigt wird bevor die Konfiguration in den Router wandert. Man an dieser Konfig weiterschrauben kann ohne sie neu einzulesen (Fehler wurden ja vorab bemerkt).

Mittlerweile vermute ich das man z.B. ein IP Netz nicht löschen oder ändern kann wenn es noch irgendwo im Einsatz ist (z.b. DHCP). Leider bekommt man das erst mit wenn die Konfiguration wieder eingelesen wurde und man die Felder prüft. Eine Vorher Nachher Betrachtung wäre gut.

Immo

[immo.wetzel]

So jetzt zu WPA2 TTLS/MSCHAPv2.

Dafür bräuchte ich tatsächlich mal ein HowTo im zusammenspiel mit Windows XP.. Das bekomm ich gar nicht hin. Windows bleibt bei Validating identity stehn

ein paar Screenshots unter http://www.wetznet.de/LANCOM/Lancom%20Config.zip

[alf29]

Moin,

welchen Supplicant benutzt Du überhaupt? M.W. unterstützt
der in XP eingebaute Supplicant überhaupt kein TTLS,
höchstens PEAP mit MSCHAPv2.

Wenn es doch PEAP und kein TTLS ist: ja, das ist bekannt,
mit dem in XP eingebauten Supplicant gibt es bekannte
Probleme, warum weiß ich nicht. Ich kann in diesen
Supplicant mangels sourcen nicht reinschauen, warum er
nach Phase 1 stehenbleibt...

Gruß Alfred

[immo.wetzel]

Hallo,

Danke welchen Konfigurationsweg würdest Du vorschlagen ?
Ziel sollte sein jedem Nutzer ein user/password tupel zu verpassen und keine weitere Software installieren zu müssen. Sost gehen die ganzen VPN Lösungen der Kunden die bei uns sind wieder nicht

Update:
Kann man den eine Preshared Key Liste nutzen ? So das jeder einen eigenen PreSharedKey bekommt ?

[alf29]

Moin,

Ziel sollte sein jedem Nutzer ein user/password tupel zu verpassen und keine weitere Software installieren zu müssen. Sost gehen die ganzen VPN Lösungen der Kunden die bei uns sind wieder nicht

Der eingebaute 1x-Supplicant von XP unterstützt lediglich
TLS und PEAP/MSCHAPv2 - die Alternative wäre bei 1x
also nur eine zertifikatsbasierte Authentisierung der
Clients (die man sich eigentlich nicht antun möchte, vor
allem weil das 1x im LCOS im Moment keine CRLs unterstützt
und man deshalb keine Zertifikate zurückpfeifen kann...)

Kann man den eine Preshared Key Liste nutzen ? So das jeder einen eigenen PreSharedKey bekommt ?

Du kannst über LEPS jedem Client eine eigene WPA-
Passphrase geben. Dazu mußt Du aber die MAC-Adressen
der Karten kennen.

Gruß Alfred

[immo.wetzel]

Das heisst aber auch das mit LEPS wieder keine Zugriffsbeschränkungen bezüglicher VLANs existiert. Da die Stations Liste ja nicht vom logischer WLAN Abhängt. Richtig ?

Würde mir ein externen RADIUS helfen PEAP/MSCHAPv2 zu nutzen. Gibt es da Erfahrungen ?

[immo.wetzel]

Grund scheint im Authentifizierungskrams zwischen Windows und dem Lancom zu liegen. Schaltet man in Windows XP die PEAP secure Password Option bei EAP-MSCHAP-V2 auf "automatical use windows account data" klappt der Login mittels freeradius server. Nimmt man den Haken raus kommt windows nicht über den "validating identity" status hinaus. bis dahin ist auch keine Verkehr zwischen Lancom und Radiusserver zu sehen.

Andere Hersteller ahben damit sichtlich kein Problem mein Notebook verbindet sich locker mit dem DLINK AP

Was tun ist die Frage ? Kennt jemand das problem und hat einen Lösungsansatz ?