RADIUS Accounting für server im /Setup/IEEE802.1x

rokpapez · Beitrag von **rokpapez** » 18 Dez 2012, 15:47

Moin,

Ich habe ein paar SSIDs mit WPA2-Enterprise (802.1x). Der WLAN-1-3 und WLAN-2-3 sollte eigentlich ein
andere RADIUS benutzen und die folgende Konfiguration funktioniert einwandfrei für Authentifizierung:

cd /Setup/Interfaces/WLAN/Encryption
tab Ifc Encryption Default-Key Method Key WPA-Version WPA-Session-Keytypes WPA-Rekeying-Cycle Client-EAP-Method Authentication
set WLAN-1-3 Yes 1 802.11i-WPA-802.1x "RADIUS2" WPA1/2 TKIP/AES 0 TLS Open-System
set WLAN-2-3 Yes 1 802.11i-WPA-802.1x "RADIUS2" WPA1/2 TKIP/AES 0 TLS Open-System
cd /Setup/IEEE802.1x/RADIUS-Server
del *
tab Name IP-Address Port Secret Loopback-Addr. Backup
add "RADIUS2" 10.0.99.3 1812 "rad123test" "" ""

Das RADIUS-Accounting aber wird nicht nach RADIUS2 gesendet aber nach RADIUS server im /Setup/WLAN/RADIUS-Accounting.
Wie kann ich einstellen das Accounting für WLAN-1-3 auch nach RADIUS2 gesendet wird?

alf29 · Beitrag von **alf29** » 18 Dez 2012, 19:04

Moin,

gar nicht, die Server-Einstellung unter Setup/IEEE802.1x ist nur für die 1x-Authentisierung via RADIUS. RADIUS-Accounting im WLAN ist unabhängig davon, welche Verschlüsselungsmethode benutzt wird, und wird immer mit den Servern gemacht, die unter Setup/WLAN/RADIUS-Accounting eingestellt werden. Eine Einstellung verschiedener Server pro SSID ist aktuell nicht vorgesehen (Du bist der erste, der so etwas machen will...).

Gruß Alfred

rokpapez · Beitrag von **rokpapez** » 19 Dez 2012, 09:37

Moin,

alf29 hat geschrieben:Moin,

gar nicht, die Server-Einstellung unter Setup/IEEE802.1x ist nur für die 1x-Authentisierung via RADIUS. RADIUS-Accounting im WLAN ist unabhängig davon, welche Verschlüsselungsmethode benutzt wird, und wird immer mit den Servern gemacht, die unter Setup/WLAN/RADIUS-Accounting eingestellt werden. Eine Einstellung verschiedener Server pro SSID ist aktuell nicht vorgesehen (Du bist der erste, der so etwas machen will...).

Gruß Alfred

Es wäre viel logischer das Accounting nach selbe Server die 1x-Authentisierung macht zu senden.

Die alternative ist ein dritter RADIUS zu installieren und nach Called-Station-Id sortieren nach welches RADIUS das Accounting zu übertragen

.

alf29 · Beitrag von **alf29** » 19 Dez 2012, 11:16

Moin,

Es wäre viel logischer das Accounting nach selbe Server die 1x-Authentisierung macht zu senden.

Dafür müßte man in der 1x-Tabelle dann aber mindestens eine zweite Angabe für den UDP-Port fürs Accouting rein. Authentisierung und Accounting laufen ja meist über getrennte Ports. Was ich daran nicht so schön fände, ist daß der Accounting-Server dann an unterschiedlichen Stellen im Menü definiert wird, je nachdem ob man 802.1x auf der SSID macht oder nicht.

Die alternative ist ein dritter RADIUS zu installieren und nach Called-Station-Id sortieren nach welches RADIUS das Accounting zu übertragen Sad.

Das war gestern ehrlich gesagt auch mein erster Reflex, als RADIUS-Server den internen RADIUS-Server anzugeben und den dann anhand der Called-Station-Id forwarden zu lassen - bis mir eingefallen ist, daß Forwarding im Augenblick nur anhand des Realms geht

In der 8.80 wird es so sein, daß das LCOS prinzipiell getrennte RADIUS-Accounting-Server pro SSID unterstützt, allerdings nur, wenn der AP über einen Controller gemanagt ist. Ich vermute, das ist bei Dir nicht der Fall?

Ich werde hier intern mal eine Diskussion anstoßen, das menütechnisch auch im Standalone-Betrieb nutzbar zu machen.

Gruß Alfred

alf29 · Beitrag von **alf29** » 19 Dez 2012, 17:47

Moin,

wir werden das für LCOS 8.82 ändern. Einen Termin für eine Release oder einen Release Candidate kann ich aber (noch) nicht nennen.

Gruß Alfred