HalliHallo
Ich habe Folgendes Problem:
Ich probiere ein WLan abzusichern mit WPA2 und 802.1x.
In diesem WLan sind 2 l-54 Dual unterwegs sowie 5 Airlancer als Clients.
Der eine L-54 Dual hat folgende Einstellungen im Lanconfig
RadiusServer-->RadiusClients
dort sind die beiden L-54 Dual eingetragen
RadiusServer-->Benutzerkonten
dort sind halt Benutzer eingetragen
der hacken bei WlanStation nutzen wurde gestz der Rest wurde standart gelassen.
Unter Kommunikation wurde radius aktiviert und mit der ip auf sich selbst verwiesen
und Wlan--> 802.1x --> radius gab es wieder einen Verweis auf sich selbst
und in der wlan--> station gabs wieder einen Verweis auf sich selbst.
Ja nun zu meinen Problemen
Müssen in die Stationtabelle jetzt die Clients rein, die anfragen an den RadiusServer weiterleiten oder die die sich Authentifizieren wollen um in das Netz zu kommen ?
So ein weiteres Probelm habe ich mit den Zertifikaten und mit den Authentifizierungsmethoden.
Im Airlancerkonfigurationsprogramm kann man nur EAP_TTLS auswählen. Steht das für TTLS-MS CHAP und TTLS-Chap usw ?
z.B. bei PEAP MSCHAP v2 authentifiziert sich der Server gegenüber dem CLient mit einem Zertifikat. Ist dieses schon im L-54 Dual integiert?
Wenn nicht ? Wo bekommt man sowas her ? Und vor allem wie integriert man dieses in den L-54 Dual ?
Ich hoffe auf schnelle Hilfe und bedanke mich im Voraus
Mit freundlichen Grüßen
Wesker129
Probleme mit Radius
Moderator: Lancom-Systems Moderatoren
Moin,
Du mußt Dich erstmal entscheiden, ob Du jetzt 802.1x machen oder MAC-Adressen über
RADIUS prüfen willst.
WLAN genutzt wird. Die Radius-Server für 802.1x werden unter Setup->IEEE802.1x in der
entsprechenden Tabelle konfiguriert, den Namen, der Du dem entsprechenden Eintrag gegeben
hast, trägst Du dann in den WLAN-Verschlüsselungseinstellungen als Schlüssel ein.
sowie 802.1x sind zwei völlig getrennte Dinge...
Um 802.1x zu konfigurieren, macht man auf dem AP grob folgendes:
(1) Unter Setup->IEEE802.1x->RADIUS-Server die Daten des RADIUS-Servers hinterlegen
(2) Unter Setup->Schnittstellen->WLAN->Verschlüsselung eine Methode mit 802.1x auswählen
(heutzutage üblicherweise WPA/802.11i mit 802.1x) und als Schlüssel den Namen des
RADIUS-Server-Eintrags von (1)
Auf dem Gerät, das als RADIUS-Server agiert:
(1) Unter Setup->RADIUS->Server den Server aktivieren, indem man als Authentifizierungs-Port
den (UDP-)Port einstellt, den man auch auf den APs gewählt hat (üblicherweise 1812)
(2) Unter Setup->RADIUS->Server->Clients die IP-Adressen der APs hinterlegen, damit der
Server Anfragen von diesen akzeptiert
(3) Unter Setup->RADIUS->Server->Benutzer die Benutzerkennungen und -paßwörter der Clients
hinterlegen
Die Pfade beziehen sich auf die CLI bzw. WEBconfig-Expertenkonfiguration, die LANconfig-Pfade
kenne ich nicht auswendig...
das Root-CA-Zertifikat und ein Gerätezertifikat für den RADIUS-Server beschränkt.
es soll aber auch passende 'Klickibunti'-Programme für Windows geben, ich erinnere mich da dunkel
an XCA. Der Upload der Dateien in den RADIUS-Server geht über die WEBconfig, 'Datei oder
Zertifikat hochladen'.
Gruß Alfred
Du mußt Dich erstmal entscheiden, ob Du jetzt 802.1x machen oder MAC-Adressen über
RADIUS prüfen willst.
Das hat nur etwas mit der MAC-Adreßprüfung über RADIUS zu tun.Der hacken bei WlanStation nutzen wurde gestz d
An dieser Stelle wird nur der RADIUS-Server eingetragen, der für Dial-In-Verbindungen übersUnter Kommunikation wurde radius aktiviert und mit der ip auf sich selbst verwiesen
WLAN genutzt wird. Die Radius-Server für 802.1x werden unter Setup->IEEE802.1x in der
entsprechenden Tabelle konfiguriert, den Namen, der Du dem entsprechenden Eintrag gegeben
hast, trägst Du dann in den WLAN-Verschlüsselungseinstellungen als Schlüssel ein.
Diese Frage verstehe ich nicht ganz. Clients leiten nichts weiter. Und MAC-Prüfung im WLANMüssen in die Stationtabelle jetzt die Clients rein, die anfragen an den RadiusServer weiterleiten oder die die sich Authentifizieren wollen um in das Netz zu kommen ?
sowie 802.1x sind zwei völlig getrennte Dinge...
Um 802.1x zu konfigurieren, macht man auf dem AP grob folgendes:
(1) Unter Setup->IEEE802.1x->RADIUS-Server die Daten des RADIUS-Servers hinterlegen
(2) Unter Setup->Schnittstellen->WLAN->Verschlüsselung eine Methode mit 802.1x auswählen
(heutzutage üblicherweise WPA/802.11i mit 802.1x) und als Schlüssel den Namen des
RADIUS-Server-Eintrags von (1)
Auf dem Gerät, das als RADIUS-Server agiert:
(1) Unter Setup->RADIUS->Server den Server aktivieren, indem man als Authentifizierungs-Port
den (UDP-)Port einstellt, den man auch auf den APs gewählt hat (üblicherweise 1812)
(2) Unter Setup->RADIUS->Server->Clients die IP-Adressen der APs hinterlegen, damit der
Server Anfragen von diesen akzeptiert
(3) Unter Setup->RADIUS->Server->Benutzer die Benutzerkennungen und -paßwörter der Clients
hinterlegen
Die Pfade beziehen sich auf die CLI bzw. WEBconfig-Expertenkonfiguration, die LANconfig-Pfade
kenne ich nicht auswendig...
Das steht m.W. für TTLS mit MSCHAPv2Im Airlancerkonfigurationsprogramm kann man nur EAP_TTLS auswählen. Steht das für TTLS-MS CHAP und TTLS-Chap usw ?
Nein, die CA mußt Du selber aufziehen. Wobei sich das ganze bei MSCHAP bzw. TTLS aufz.B. bei PEAP MSCHAP v2 authentifiziert sich der Server gegenüber dem CLient mit einem Zertifikat. Ist dieses schon im L-54 Dual integiert?
das Root-CA-Zertifikat und ein Gerätezertifikat für den RADIUS-Server beschränkt.
Also ich habe sie damals zu Fuß mit den entsprechenden OpenSSL-Befehlen auf einem Linux erzeugt,Wenn nicht ? Wo bekommt man sowas her ? Und vor allem wie integriert man dieses in den L-54 Dual ?
es soll aber auch passende 'Klickibunti'-Programme für Windows geben, ich erinnere mich da dunkel
an XCA. Der Upload der Dateien in den RADIUS-Server geht über die WEBconfig, 'Datei oder
Zertifikat hochladen'.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
(2) Unter Setup->Schnittstellen->WLAN->Verschlüsselung eine Methode mit 802.1x auswählen
(heutzutage üblicherweise WPA/802.11i mit 802.1x) und als Schlüssel den Namen des
RADIUS-Server-Eintrags von (1)
Muss man als Schlüssel den Namen des RadiusServers angeben ?
Oder kann man sogesehen diese frei Wählen ?
1) Unter Setup->IEEE802.1x->RADIUS-Server die Daten des RADIUS-Servers hinterlegen
Hier legt man doch den Namen fest oder? Weil was anderes habe ich nicht gefunden .
Unter Setup/WLAN/RadiusZugriffsprüfung
und Setup/wlan/Zugangsliste
Dort wäre dann der Teil einzuzstellen wenn man es Per MAc Prüft?
Also bei 802.1x kann dann auch auf ein Macprüfung verzichtet werden?
Wenn ich dann die beiden Zertifikate erstellt habe brauch ich die nur hochladen und fertig ist es oder gibts dabei auch noch etwas zu beachten?
Muss dieses Zertifikat dann noch irgendwie auf dem CLient hinterlegt werden ? Ich hatte irgendwie gelesen das man es machen muss aber eigentlich ist das Zertifkat ja nur Serverseitig (bei PEAP MS CHAP oder TTLS)
Ich bedanke mich nochmal für die sehr hilfreiche Antwort und bedanke mich im Voraus für eine Weitere
Mit freundlichen Grüßen
Wesker
(heutzutage üblicherweise WPA/802.11i mit 802.1x) und als Schlüssel den Namen des
RADIUS-Server-Eintrags von (1)
Muss man als Schlüssel den Namen des RadiusServers angeben ?
Oder kann man sogesehen diese frei Wählen ?
1) Unter Setup->IEEE802.1x->RADIUS-Server die Daten des RADIUS-Servers hinterlegen
Hier legt man doch den Namen fest oder? Weil was anderes habe ich nicht gefunden .
Unter Setup/WLAN/RadiusZugriffsprüfung
und Setup/wlan/Zugangsliste
Dort wäre dann der Teil einzuzstellen wenn man es Per MAc Prüft?
Also bei 802.1x kann dann auch auf ein Macprüfung verzichtet werden?
Wenn ich dann die beiden Zertifikate erstellt habe brauch ich die nur hochladen und fertig ist es oder gibts dabei auch noch etwas zu beachten?
Muss dieses Zertifikat dann noch irgendwie auf dem CLient hinterlegt werden ? Ich hatte irgendwie gelesen das man es machen muss aber eigentlich ist das Zertifkat ja nur Serverseitig (bei PEAP MS CHAP oder TTLS)
Ich bedanke mich nochmal für die sehr hilfreiche Antwort und bedanke mich im Voraus für eine Weitere
Mit freundlichen Grüßen
Wesker
Moin,
Identität des RADIUS-Servers prüfen und sich nicht fälschlicherweise mit Rogue APs verbinden.
hochgeladen werden, entweder als separate Datei oder zusammen mit dem Zertifikat als PKCS12-
Container.
Gruß Alfred
Du mußt den Namen nehmen, den Du in der Tabelle der RADIUS-Server frei wählen darfstMuss man als Schlüssel den Namen des RadiusServers angeben ?
Oder kann man sogesehen diese frei Wählen ?
Ja.Unter Setup/WLAN/RadiusZugriffsprüfung
und Setup/wlan/Zugangsliste
Dort wäre dann der Teil einzuzstellen wenn man es Per MAc Prüft?
Prüfung der MAC-Adressen ist bei jeglicher Verschlüsselungsmethode optional.Also bei 802.1x kann dann auch auf ein Macprüfung verzichtet werden?
Man installiert sinnvollerweise das Root-Zertifikat auch auf den Clients, so können sie dieMuss dieses Zertifikat dann noch irgendwie auf dem CLient hinterlegt werden ? Ich hatte irgendwie gelesen das man es machen muss aber eigentlich ist das Zertifkat ja nur Serverseitig (bei PEAP MS CHAP oder TTLS)
Identität des RADIUS-Servers prüfen und sich nicht fälschlicherweise mit Rogue APs verbinden.
Zu dem Gerätezertifikat des RADIUS-Servers gehört auch noch ein privater Schlüssel, der muß auchWenn ich dann die beiden Zertifikate erstellt habe brauch ich die nur hochladen und fertig ist es oder gibts dabei auch noch etwas zu beachten?
hochgeladen werden, entweder als separate Datei oder zusammen mit dem Zertifikat als PKCS12-
Container.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Moin,
SSL und TLS sind nur zwei Versionen des gleichen Protokolls (SSLv3 ist Version 3.0, TLSv1 ist
Version 3.1), und sie benutzen beide die gleiche Art von Zertifikaten (X.509).
werden. Und der Hersteller kann nicht wissen, wie der Kunde sein LANCOM nennen wird...
Gruß Alfred
SSL und TLS sind nur zwei Versionen des gleichen Protokolls (SSLv3 ist Version 3.0, TLSv1 ist
Version 3.1), und sie benutzen beide die gleiche Art von Zertifikaten (X.509).
Das mußt Du selber erstellen, denn Zertifikate müssen von der CA signiert werden, damit sie gültigMuss das GeräteZertifikat auch erstellt nwerden oder gibts da schon eins vom Hersteller ?
werden. Und der Hersteller kann nicht wissen, wie der Kunde sein LANCOM nennen wird...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015