Hallo,
bin seit kurzen stolzer besitzer eines L-54ag. Nun möchte ich ihn so einrichten, dass w-lan cliente wie handys oder notebooks sich nur mit benutzer/passwort abfrage einloggen können. Wie geht das?
Irgendwie muss man ja vorher die benutzernamen und passwörter im l-54ag eingeben und dann so einstellen dass nur die in der liste per oben beschriebener abfrage wirklich ins w-lan können. ich hab überall nach radius server einstellen anleitungen gesucht, aber nichts gefunden.
bitte um hilfe
gruss RJ45
Lancom L-54ag Radius Server einstellen bzw aktivieren
Moderator: Lancom-Systems Moderatoren
Moin,
vielleicht äußerst Du Dich erstmal etwas genauer, was Du mint Benutzername/Paßwort meinst.
Das kann sowohl heißen, daß Du die Public-Spot Funktion nutzen möchtest, bei der die
Benutzernamen und Paßwörter im internen RADIUS-Server hinterlegt sein können (aber nicht
müssen), die ist aber ein kostenpflichtiges Feature, das freigeschaltet werden muß.
Oder meinst Du eine Authentisierung per 802.1x (anstelle von WPA/PSK), bei der es
Authentisierungsmethoden wie EAP/TTLS oder EAP/PEAP gibt, bei denen die Clients sich
mit Benutzenamen und Paßwort authentisieren? Diese Funktion (sowohl der 802.1x-
Authenticator als auch der EAP Access Server im RADIUS-Server) sind Standard-Funktionen
von LANCOM-APs, wenn Du Dich aber noch nie mit 802.1x und/oder Zertifikaten befaßt hast,
dann wirst Du eine ziemlich steile Lernkurve haben. Ohne Zertifikate geht's dabei nämlich
nicht, denn die serverseitige Authentisierung läuft immer über Zertifikate. Will heißen, Du mußt
zumindest eine 'Mini-CA' mit einem Root-CA-Zertifikat und einem Zertifikat für den RADIUS-
Server im LANCOM aufsetzen und das Root-CA-Zertifikat auf den Clients hinterlegen, was
zumindest bei Windows-Clients keine ganz so einfache Sache ist...ich meine, irgendwo in
der Knowledge-Base gibt es einen Artikel, wie man so eine CA mit dem Programm XCA
aufsetzt und den Rest einrichtet. Es gibt aber auch so noch genug Fallstricke, in die ein
Anfänger reinlaufen und verzweifeln kann...
Gruß Alfred
vielleicht äußerst Du Dich erstmal etwas genauer, was Du mint Benutzername/Paßwort meinst.
Das kann sowohl heißen, daß Du die Public-Spot Funktion nutzen möchtest, bei der die
Benutzernamen und Paßwörter im internen RADIUS-Server hinterlegt sein können (aber nicht
müssen), die ist aber ein kostenpflichtiges Feature, das freigeschaltet werden muß.
Oder meinst Du eine Authentisierung per 802.1x (anstelle von WPA/PSK), bei der es
Authentisierungsmethoden wie EAP/TTLS oder EAP/PEAP gibt, bei denen die Clients sich
mit Benutzenamen und Paßwort authentisieren? Diese Funktion (sowohl der 802.1x-
Authenticator als auch der EAP Access Server im RADIUS-Server) sind Standard-Funktionen
von LANCOM-APs, wenn Du Dich aber noch nie mit 802.1x und/oder Zertifikaten befaßt hast,
dann wirst Du eine ziemlich steile Lernkurve haben. Ohne Zertifikate geht's dabei nämlich
nicht, denn die serverseitige Authentisierung läuft immer über Zertifikate. Will heißen, Du mußt
zumindest eine 'Mini-CA' mit einem Root-CA-Zertifikat und einem Zertifikat für den RADIUS-
Server im LANCOM aufsetzen und das Root-CA-Zertifikat auf den Clients hinterlegen, was
zumindest bei Windows-Clients keine ganz so einfache Sache ist...ich meine, irgendwo in
der Knowledge-Base gibt es einen Artikel, wie man so eine CA mit dem Programm XCA
aufsetzt und den Rest einrichtet. Es gibt aber auch so noch genug Fallstricke, in die ein
Anfänger reinlaufen und verzweifeln kann...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo,
danke für die Aufklärung hat mir sehr geholfen, denn ich habe die Public-Spot funktion so kange gesucht, vergebens wie sich jetzt rausstellt.
Also ja genau sowas wollte ich haben mit dem Public-Spot, hmm naja egal jetzt.
Aber wie sieht es mit der Methode aus?
"Oder meinst Du eine Authentisierung per 802.1x (anstelle von WPA/PSK), bei der es
Authentisierungsmethoden wie EAP/TTLS oder EAP/PEAP gibt,"
gibt es das ganze auch ohne Zertifikate zu erstellen? sondern einfach dass man im Radiusserver Benutzernamen und Passwort hinterlegt und die clienten sich ohne Zertifikat anmelden können?
Zum Beispiel ich gebe im Radiusserver Max Mustermann mit passwort 123456 ein, dann versucht sich der Max Mustermann sagen wir mit einem Handy verbindung aufzunehmen gibt seinen namen ein und das passwort 123456, ohne Zertifikate. Ist das die TTLS Methode? Jedenfalls hab ich das so interpretiert. Wenn es das ist, könnte ich dazu ne mini anleitung bekommen oder einen link, wie ich mir das einrichte?
gruß
RJ45
danke für die Aufklärung hat mir sehr geholfen, denn ich habe die Public-Spot funktion so kange gesucht, vergebens wie sich jetzt rausstellt.
Also ja genau sowas wollte ich haben mit dem Public-Spot, hmm naja egal jetzt.
Aber wie sieht es mit der Methode aus?
"Oder meinst Du eine Authentisierung per 802.1x (anstelle von WPA/PSK), bei der es
Authentisierungsmethoden wie EAP/TTLS oder EAP/PEAP gibt,"
gibt es das ganze auch ohne Zertifikate zu erstellen? sondern einfach dass man im Radiusserver Benutzernamen und Passwort hinterlegt und die clienten sich ohne Zertifikat anmelden können?
Zum Beispiel ich gebe im Radiusserver Max Mustermann mit passwort 123456 ein, dann versucht sich der Max Mustermann sagen wir mit einem Handy verbindung aufzunehmen gibt seinen namen ein und das passwort 123456, ohne Zertifikate. Ist das die TTLS Methode? Jedenfalls hab ich das so interpretiert. Wenn es das ist, könnte ich dazu ne mini anleitung bekommen oder einen link, wie ich mir das einrichte?
gruß
RJ45
Hallo,
also ich habe es jetzt soweit hinbekommen, dass ich abgefragt werde nach benutzername und passwort. so wie ich es ja auch haben will. Ohne Zertifikat.
Habe folgendes gemacht:
-Radius Server eingestellt indem ich den Authentifizierungsport von 1.812 eingegeben habe
- dann bin ich zur Wlan-->802.11i/WEP gegangen, bin auf WPA-/Einzel WEP Einstellungen, dann auf Wireless-netzwerk 1 bearbeiten, dann habe ich die Methode/Schlüsseltyp auf 802.1i WPA gestellt, dann konnte ich weiter unten bei Client EAP-Methode TLS oder TTLS auswählen und noch viel mehr, seitdem wird immer bitte benutzernamen und passwort angeben im verbindungsfenster angezeigt. Gebe ich jedeoch korrekte anmeldedaten ein, sagt er mit falsches passwort oder falscher benutzername.
Was habe ich falsch gemacht? Warum sagt er mir das immer? obwohl im im radius-server das passwort mit zugehörigen benutzernamen angegeben habe?
gruß
RJ45
also ich habe es jetzt soweit hinbekommen, dass ich abgefragt werde nach benutzername und passwort. so wie ich es ja auch haben will. Ohne Zertifikat.
Habe folgendes gemacht:
-Radius Server eingestellt indem ich den Authentifizierungsport von 1.812 eingegeben habe
- dann bin ich zur Wlan-->802.11i/WEP gegangen, bin auf WPA-/Einzel WEP Einstellungen, dann auf Wireless-netzwerk 1 bearbeiten, dann habe ich die Methode/Schlüsseltyp auf 802.1i WPA gestellt, dann konnte ich weiter unten bei Client EAP-Methode TLS oder TTLS auswählen und noch viel mehr, seitdem wird immer bitte benutzernamen und passwort angeben im verbindungsfenster angezeigt. Gebe ich jedeoch korrekte anmeldedaten ein, sagt er mit falsches passwort oder falscher benutzername.
Was habe ich falsch gemacht? Warum sagt er mir das immer? obwohl im im radius-server das passwort mit zugehörigen benutzernamen angegeben habe?
gruß
RJ45
oder ganz einfach gesagt genau so möchte ich es haben, wie mache ich das?:
(Ausschnitt aus einem thread)
(Ausschnitt aus einem thread)
WPA/802.1x im WLAN ist eine Alternative zu WPA-PSK,
d.h. anstelle einer Passphrase brauchen die Benutzer
entweder ein Zertifikat oder einen Benutzernamen mit
Paßwort, um sich anzumelden. Das wird vor allen in
Firmen genutzt, wo man sehr viele Benutzer hat, denen
man ansonsten allen die (gleiche) Passphrase mitteilen
müßte - und wenn ein Mitarbeiter geht, muß diese streng
genommen überall ausgetauscht werden. Bei 802.1x
zieht man entweder einfach dieses eine Zertifikat zurück oder
löscht die Benutzerkennung aus der Datenbank.
Moin,
(sinnvollerweise) immer eine gegenseitige Authentisierung,
d.h. nicht nur der Client authentisiert sich gegenüber dem
AP/Netz, sondern auch umgekehrt der AP bzw. dahinter
stehende RADIUS-Server gegenüber dem Client. Das
ist wichtig, denn sonst könnte Dein Nachbar einfach einen
AP mit gleicher SSID aufstellen, der einfach alle
Benutzernamen und Paßwörter akzeptiert und Deine Clients
'einsammelt' - Stichwort 'Rogue APs'. Und diese Seite
der Authentisierung läuft auch bei TTLS und PEAP über
ein Zertifikat, das ist auch nicht zu ändern. Man kann den
Clients zwar üblicherweise sagen, daß sie es ignorieren
und weitermachen sollen, wenn Sie das vom Server gelieferte
Zertifikat nicht prüfen können (so wie wenn man bei HTTPS
die Zertifikatswarnungen des Browsers wegklicken kann),
das ändert aber nichts daran, daß der Server ein Zertifikat
braucht, das Du ins LANCOM hochladen mußt.
unter Wireless-LAN->802.1x->RADIUS-Server eingetragen?
Ansonsten wird das Gerät seinen internen RADIUS-Server
nicht ansprechen.
selber als WLAN-Client und nicht als Basisstation (AP)
läuft.
notorisch nichtssagend und ungenau. Das Protokoll ist im
Detail ziemlich kompliziert, und offensichtlich schafft es kein
Hersteller, eine vernünftige Fehlermeldung zu bringen, wenn
irgendwo in der Verhandlung 'tief unten' etwas schief geht.
Zertifikat auf Server-Seite samt dazugehörigem privaten
Schlüssel. Wenn der RADIUS-Server eine TTLS/PEAP-
Verhandlung mit einem Client anfangen soll und kein
Zertifikat vorfindet, wird er die Verhandlung direkt mit einem
Reject beenden - was dann auf Deinem Client vermutlich
diese Fehlermeldung bewirkt.
da darin nur von der Client-Seite die Rede ist.
Gruß Alfred
Nein, ganz ohne Zertifikate geht's nicht. EAP/802.1x istgibt es das ganze auch ohne Zertifikate zu erstellen? sondern einfach dass man im Radiusserver Benutzernamen und Passwort hinterlegt und die clienten sich ohne Zertifikat anmelden können?
Zum Beispiel ich gebe im Radiusserver Max Mustermann mit passwort 123456 ein, dann versucht sich der Max Mustermann sagen wir mit einem Handy verbindung aufzunehmen gibt seinen namen ein und das passwort 123456, ohne Zertifikate. Ist das die TTLS Methode? Jedenfalls hab ich das so interpretiert. Wenn es das ist, könnte ich dazu ne mini anleitung bekommen oder einen link, wie ich mir das einrichte?
(sinnvollerweise) immer eine gegenseitige Authentisierung,
d.h. nicht nur der Client authentisiert sich gegenüber dem
AP/Netz, sondern auch umgekehrt der AP bzw. dahinter
stehende RADIUS-Server gegenüber dem Client. Das
ist wichtig, denn sonst könnte Dein Nachbar einfach einen
AP mit gleicher SSID aufstellen, der einfach alle
Benutzernamen und Paßwörter akzeptiert und Deine Clients
'einsammelt' - Stichwort 'Rogue APs'. Und diese Seite
der Authentisierung läuft auch bei TTLS und PEAP über
ein Zertifikat, das ist auch nicht zu ändern. Man kann den
Clients zwar üblicherweise sagen, daß sie es ignorieren
und weitermachen sollen, wenn Sie das vom Server gelieferte
Zertifikat nicht prüfen können (so wie wenn man bei HTTPS
die Zertifikatswarnungen des Browsers wegklicken kann),
das ändert aber nichts daran, daß der Server ein Zertifikat
braucht, das Du ins LANCOM hochladen mußt.
Hast Du auch die 127.0.0.1 mit Port 1812 als RADIUS-Serveralso ich habe es jetzt soweit hinbekommen, dass ich abgefragt werde nach benutzername und passwort. so wie ich es ja auch haben will. Ohne Zertifikat.
Habe folgendes gemacht:
-Radius Server eingestellt indem ich den Authentifizierungsport von 1.812 eingegeben habe
unter Wireless-LAN->802.1x->RADIUS-Server eingetragen?
Ansonsten wird das Gerät seinen internen RADIUS-Server
nicht ansprechen.
Diese Einstellung hat nur eine Bedeutung, wenn das LANCOMdann konnte ich weiter unten bei Client EAP-Methode TLS oder TTLS auswählen und noch viel mehr,
selber als WLAN-Client und nicht als Basisstation (AP)
läuft.
Nunja, Fehlermeldungen von WLAN-Clients bei 802.1x sindWas habe ich falsch gemacht? Warum sagt er mir das immer?
notorisch nichtssagend und ungenau. Das Protokoll ist im
Detail ziemlich kompliziert, und offensichtlich schafft es kein
Hersteller, eine vernünftige Fehlermeldung zu bringen, wenn
irgendwo in der Verhandlung 'tief unten' etwas schief geht.
Wie ich bereits schrieb, brauchst Du mindestens einobwohl im im radius-server das passwort mit zugehörigen benutzernamen angegeben habe?
Zertifikat auf Server-Seite samt dazugehörigem privaten
Schlüssel. Wenn der RADIUS-Server eine TTLS/PEAP-
Verhandlung mit einem Client anfangen soll und kein
Zertifikat vorfindet, wird er die Verhandlung direkt mit einem
Reject beenden - was dann auf Deinem Client vermutlich
diese Fehlermeldung bewirkt.
Das ist kein Widerspruch zu dem, was ich geschrieben habe,oder ganz einfach gesagt genau so möchte ich es haben, wie mache ich das?:
(Ausschnitt aus einem thread)
da darin nur von der Client-Seite die Rede ist.
Gruß Alfred
danke für deine Geduld und deine gute Hilfe an dieser Stelle erstmal =).
jepp habe ich eingetragen.Hast Du auch die 127.0.0.1 mit Port 1812 als RADIUS-Server
unter Wireless-LAN->802.1x->RADIUS-Server eingetragen?
Ansonsten wird das Gerät seinen internen RADIUS-Server
nicht ansprechen.
Also heisst das für mich ich muss ein Zetrifikat erstellen und das in das Lancom einfügen wegen serverseitiger verfügung, und dann funktionert das so dass die clienten selber kein Zertifikat brauchen sondern nur benutzername und passwort als authentifizierung eingeben müssen?Wie ich bereits schrieb, brauchst Du mindestens ein
Zertifikat auf Server-Seite samt dazugehörigem privaten
Schlüssel. Wenn der RADIUS-Server eine TTLS/PEAP-
Verhandlung mit einem Client anfangen soll und kein
Zertifikat vorfindet, wird er die Verhandlung direkt mit einem
Reject beenden - was dann auf Deinem Client vermutlich
diese Fehlermeldung bewirkt.
Moin,
(1) Ein Root-CA-Zertifikat
(2) Ein Gerätezertifikat für den RADIUS-Server, das mit
dem Schlüssel der Root-CA signiert ist.
So etwas kann man, wie z.B. in der Knowledgebase
beschrieben, mit XCA erzeugen, und das Gerätezertifikat
mitsamt privatem Schlüssel als PKCS#12-Container ins
Gerät laden. Wenn das geklappt hat, solltest Du auf der
CLI des Geräts Dir die Zertifikate mittels 'show eaptls'
anzeigen können.
Bei den Clients variiert es etwas, was man zu tun hat: manche
Clients zeigen beim ersten Mal den Fingerprint des
Serverzertifikats an und fragen, ob das akzeptiert werden
soll, so wie wenn man zum ersten Mal eine SSH-Verbindung
zu einem anderen Rechner macht. IPhones machen das so,
wenn ich's richtig im Kopf habe. Bei Windows-Clients
hingegen muß man das Root-CA-Zertifikat explizit in den
Zertifikatsspeicher importieren, damit sie das damit
signierte Zertifikat des RADIUS-Servers akzeptieren.
Gruß Alfred
Üblicherweise braucht man mindestens:Also heisst das für mich ich muss ein Zetrifikat erstellen und das in das Lancom einfügen wegen serverseitiger verfügung, und dann funktionert das so dass die clienten selber kein Zertifikat brauchen sondern nur benutzername und passwort als authentifizierung eingeben müssen?
(1) Ein Root-CA-Zertifikat
(2) Ein Gerätezertifikat für den RADIUS-Server, das mit
dem Schlüssel der Root-CA signiert ist.
So etwas kann man, wie z.B. in der Knowledgebase
beschrieben, mit XCA erzeugen, und das Gerätezertifikat
mitsamt privatem Schlüssel als PKCS#12-Container ins
Gerät laden. Wenn das geklappt hat, solltest Du auf der
CLI des Geräts Dir die Zertifikate mittels 'show eaptls'
anzeigen können.
Bei den Clients variiert es etwas, was man zu tun hat: manche
Clients zeigen beim ersten Mal den Fingerprint des
Serverzertifikats an und fragen, ob das akzeptiert werden
soll, so wie wenn man zum ersten Mal eine SSH-Verbindung
zu einem anderen Rechner macht. IPhones machen das so,
wenn ich's richtig im Kopf habe. Bei Windows-Clients
hingegen muß man das Root-CA-Zertifikat explizit in den
Zertifikatsspeicher importieren, damit sie das damit
signierte Zertifikat des RADIUS-Servers akzeptieren.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015