LW600 SSL-Zertifikat

[geppi]

Gibt es eigentlich irgendeine versteckte Möglichkeit dem LW600 doch ein eigenes SSL Zertifikat für den Webserver unterzujubeln?

[tstimper]

Gibt es eigentlich irgendeine versteckte Möglichkeit dem LW600 doch ein eigenes SSL Zertifikat für den Webserver unterzujubeln?

Ausbrechen aus der LCOS-LX Shell und Zertifikat im darunter liegenden OpenWrt einspielen.
Keine Ahnung ob das schon jemand versucht und geschafft hat.

Viele Grüße

ts

[geppi]

Ausbrechen aus der LCOS-LX Shell und Zertifikat im darunter liegenden OpenWrt einspielen.
Keine Ahnung ob das schon jemand versucht und geschafft hat.

Uiii, klingt ja wie damals bei meinem ersten iPhone der Jailbreak.
Und wie bricht man da aus?

[geppi]

Aber jetzt mal im Ernst, dass der LW600 eine abgespeckte low cost Variante ist war mir ja klar.
Trotzdem würde ich von einem Gerät, welches durchaus im Unternehmensbereich eingesetzt wird erwarten, dass man das SSL-Zertifikat mit Boardmitteln gegen ein gültig signiertes austauschen kann. Das geht ja sogar in den Consumer Fritten.

[tstimper]

Aber jetzt mal im Ernst, dass der LW600 eine abgespeckte low cost Variante ist war mir ja klar.
Trotzdem würde ich von einem Gerät, welches durchaus im Unternehmensbereich eingesetzt wird erwarten, dass man das SSL-Zertifikat mit Boardmitteln gegen ein gültig signiertes austauschen kann. Das geht ja sogar in den Consumer Fritten.

Also das ist auch mein voller Ernst, das natürlich das Einspielen von Zertifikaten gehen muß.
Der LW-600 mag preiswertere Hardware haben als z.b. der LX-6400. Er hat aber dennoch das vollwertige LCOS-LX aktuell in der v6.12.0024-REL.

Der LW-500 ist lt. diesem Thread viewtopic.php?t=17477 ein OEM EDIMAX CAP1300.
Der LW-600 sieht dem EDIMAX CAX1800 sehr ähnlich.

LCOS-LX ist einfach gesagt ein mit OpenWRT mit einer angepassten LANCOM Shell und mittlerweile vielen LANCOM spezifischen Ergänzungen
wie WLC und LMC Verwaltung.

Somit ist natürlich die Zertitikatsverwaltung implementiert, nur eben nur zusammen mit Zertifikaten, die vom WLC oder der LMC verteilt werden.

Genau das ist das Problem. Die Zertifikatsverwaltung muss auch für das WLC und LMC unabhängige Einspielen von Zertifikaten geöffnet werden.

Um Untermehmensbetriueb mit WLC könnte allerdings jetzt schin eine angepasste CA auf dem WLC helfen. Also miut angepassten Unternehmens Namen usw.

Diese CA dann auf die Unternehmensgeräte verteilen und schon siehts wieder besser aus mit den Zertifikaten.

Hier hilft nur: Immer wieder an den Hersteller kommunizieren.

Vuele Grüße

ts

[geppi]

Danke für die Infos. Das ist ja schon mal sehr erhellend.

Hab' ich das jetzt richtig verstanden, dass das einspielen eines eigenen SSL-Zertifikats über einen WLC funktionieren würde?
Das würde heißen, dass lediglich das Interface in der WebConfig und LanConfig dafür fehlt?

Das ist dann schon ein ziemlich schwaches Bild von Lancom!

[tstimper]

Danke für die Infos. Das ist ja schon mal sehr erhellend.

Hab' ich das jetzt richtig verstanden, dass das einspielen eines eigenen SSL-Zertifikats über einen WLC funktionieren würde?

Nein das geht nicht.

ABER: EIn AP, der sich mit dem WLC verbindet, bekommt vom WLC ein Zertifikat, das von der WLC CA gesigned ist.

Und die WLC CA kannst Du frei konfigurieren.
Ob es eine SUB CA von der Unternehmens CA sein kann, habe ich nich ausprobiert.

Viele Grüße

ts

[geppi]

OK, danke. Da ich keinen WLC betreibe und mein Anwendungsfall den auch nicht wirklich benötigt würde mich das mit dem "Ausbruchsversuch" ja doch noch mal interessieren. Gibt's da irgendwo 'ne Info zu?

[tstimper]

OK, danke. Da ich keinen WLC betreibe und mein Anwendungsfall den auch nicht wirklich benötigt

Den WLC finde ich schon angenehm. Ab zwei bis drei APs wärs mir das Geld wert.

Du kannst die WLC Option auch auf einem LCOS Router (der kein eigenes WLAN Interface hat) aktivieren.
Ebenso kannst du den kleinsten LCOS vRouter dafür nehmen und als VM irgendwo mitlaufen lassen.

Du braucht also nicht zwingend den Hardware WLC.

Und selbst da findet sich bei ebay mal ein WLC-4006+ (also der mit +) der bekommt sogar noch das aktuelle LCOS.

Oder Du holst Dir einen gebrauchten 1781VA (also den VA, nicht den A), der bekommt auch noch das aktuelle LCOS und bestückst den mit der WLC Option und schon hast Du einen aktiellen Low Budget WLC

würde mich das mit dem "Ausbruchsversuch" ja doch noch mal interessieren. Gibt's da irgendwo 'ne Info zu?

Da müsste jemand was sagen, der sich mit OpenWRT auskennt.
Und möglicherweise hat LANCOM auch Sachen weggelassen, die im LCOS-LX nicht benötigt werden und dann andere Sachen umgebaut und ersetzt.
Wie z.B. ll2mdetect. Das ist LANCOM spezifisch.

Also ein Ansatz zum suchen wäre OpenWRT Webseite.

Man verliert natürlich LANCOM Funktionalität und Support.

Also Low Budget WLC mit selbts definierter CA und das Root zert auf die Geräte ausrollen , dei auf den AP zum verwalten müssen,
empfände ich als das Eleganteste.

Viele Grüße

ts

[geppi]

Naja, ich schieße hier mit meiner Installation für ein SOHO eh' schon ein bisschen über's Ziel hinaus. Ist eher historisch und aus meinem Spieltrieb heraus gewachsen. Hatte vor Urzeiten mal mit Elsa angefangen und bin dann über die Jahre bei Lancom geblieben.

Bisher hat die Kombination aus einem 1781VA und einem 1302acn gereicht um alle Anforderungen abzudecken. War anfangs eher ein bisschen überdimensioniert. Jetzt sollte einfach ein weiterer Bereich mit dem LW600 für das WLAN erschlossen werden.

Die WLC Basic Option klang eigentlich recht interessant, zumal ich ja schon einen 1781VA habe. Allerdings steht der nicht mehr auf der aktuellen Liste der unterstützten Geräte: https://www.lancom-systems.de/produkte/ ... sic-option und den Preis der Option, der equivalent zum Preis des LW600 ist, finde ich für's Zertifikate hochladen ein bisschen heftig.

Klar bietet die WLC Option sehr viel Funktionalität für das Management größerer WLAN Umgebungen, aber für meine 2 APs.....

Naja, mal sehen wozu mein Spieltrieb noch führt. Ist die WLC Basic Option denn später übertragbar?
Der 1781VA ist ja inzwischen schon recht betagt und könnte durchaus irgendwann in näherer Zukunft mal das zeitliche segnen.

[tstimper]

In LANconfig lassen sich zumindest Configs für den 1781VA mit WLC Option und erstellen.

Zwecks Aktivierung könnte man den Support vorher fragen.

Ich denke es kommt auch drauf an wie alt der 1781VA ist.

Eine Optionsübertragung gibt es nur im Garantiefall.

Also back to square one: LCOS-LX muss die Möglichkeit bekommen, eigene Zertifikate hochzuladen.


Viele Grüße

ts

[Dr.Einstein]

Also back to square one: LCOS-LX muss die Möglichkeit bekommen, eigene Zertifikate hochzuladen.

Lancom versucht jetzt halt das LCOS von grob 20 Jahren aufzuholen. Das kann dauern...