Radius einrichten auf dem 321agn

[laberlin]

Ja, ich kenne die Suchfunktion (und ich habe nichts gefunden)!

Ich habe den 321 agn und möchte jeden (LAN und WLAN) Nutzer über den internen Radius Server authentifizieren. Der 321 soll erst schauen ob der Nutzer ins Internet darf und ihm dann den Zugriff gewähren.

Wie genau richte ich den Radius Server ein? (hab die neuste Firmware)
Ich habe gelesen ich brauche Zertifikate, stimmt das? Wenn ja, wie richte ich mir selbst welche ein?
Muss ich unter Windows (Client) auch noch was einrichten?

Danke für die Antworten

[alf29]

Moin,

Deine Frage ist ein bisserl allgemein, um dazu ein konkrete Aussage zu machen...

Willst Du die MAC-Adressen der Clients per RADIUS prüfen oder EAP/802.1x machen? Ersteres
ginge bei einem einzelnen AP ja auch über die MAC-Adreßliste...

Wenn Du 802.1x machen willst, ist die Sache ein bißchen aufwendiger. Unter
Setup->Schnittstellen->WLAN->Verschlüsselung (alle Pfade beziehen sich auf die CLI bzw.
LCOS-Menübaum in der WEBconfig) als MEthode WPA+802.1x auswählen und im Schlüssel-Feld
z.B. 'DEFAULT' schreiben. Unter Setup->IEEE802.1x->RADIUS-Server einen Eintrag gleichen
Namens (also hier DEFAULT) mit Adresse 127.0.0.1 und Port 1812 anlegen (Secret darf in
diesem Fall leer bleiben). Dann unter Setup->RADIUS-Server->Authentifizierungs-Port auf 1812
setzen, um den RADIUS-Server einzuschalten. Unter Setup->RADIUS-Server->User kannst
Du die Zugangsdaten für die Clients (Benutzername und Paßwort) ablegen.

Ich habe gelesen ich brauche Zertifikate, stimmt das? Wenn ja, wie richte ich mir selbst welche ein?

Ja, brauchst Du, ein CA-Zertifikat, daß Du auf Clients und LANCOM installierst, auf dem
RADIUS-Server ein Gerätezertifikat mitsamt privatem Schlüssel und bei Verwendung von
EAP/TLS auch noch mal pro Client ein Zertifikat. Zum Erzeugen der privaten CA und der
Zertifikate kann man z.B. XCA benutzen.

Ach ja, bis einschließlich zur 8.00er-Release gibt es ein bekanntes Problem mit der Verwendung
von PEAP und dem im Windows eingebauten Supplicant. Im Release-Update der 8.00
wird das hoffentlich besser funktionieren.

Der 321 soll erst schauen ob der Nutzer ins Internet darf und ihm dann den Zugriff gewähren.

Also das WLAN kümmert sich erstmal nur um die Zugangskontrolle auf der WLAN-Seite, wohin
die Clients danach dann dürfen, interessiert das WLAN oder 802.1x erstmal nicht...

Gruß Alfred

[laberlin]

Danke Alfred!

Ich möchte EAP/802.1x machen... Das ist doch am sichersten, oder?

Soweit habe ich das nun alles eingetragen.
Ich habe drei Zertifikate erstellt, CA, eins für den Server (also Router) und eins für den Client. Ich habe die drei dann auch auf den Router bekommen (bei Zertifikate stehen Sie allerdings nicht drin, nur im Menübaum) und das CA und Client auf meinem Win7 PC installiert (in Firefox, richtig?).
Ich bekomme nun beim Verbiundungsversuch die Meldung ich möchte Benutzername und Passwort eingeben, Gesagt, getan, im Protokoll steht auch drin, dass das abgefragt wird, aber nach der Abfrage dauert es ein wenig und es erscheint erneut die Abfrage.

Ich habe den PC mit der MAC in die Stationsliste eingetragen, ist das richtig? Wenn ich das nicht mache fragt er mich nicht nach Benutzernamen und Passwort.

Danke schon mal

[alf29]

Moin,

Ich habe drei Zertifikate erstellt, CA, eins für den Server (also Router) und eins für den Client. Ich habe die drei dann auch auf den Router bekommen (bei Zertifikate stehen Sie allerdings nicht drin, nur im Menübaum) und das CA und Client auf meinem Win7 PC installiert (in Firefox, richtig?).

Weil Du weiter hinten etwas von Benutzername und
Paßwort schreibst, nehme ich an, daß Du PEAP und nicht
EAP/TLS als EAP-Methode gewählt hast, da braucht man
auf Client-Seite kein Zertifikat.

Ich bekomme nun beim Verbiundungsversuch die Meldung ich möchte Benutzername und Passwort eingeben, Gesagt, getan, im Protokoll steht auch drin, dass das abgefragt wird, aber nach der Abfrage dauert es ein wenig und es erscheint erneut die Abfrage.

Das klingt sehr nach dem bekannten Problem, das ich in
meinem Posting oben angesprochen habe und das
hoffentlich im Release-Update der 8.00 gelöst sein wird.
Leider hat Microsoft seinerzeit im Draft zu EAP/MSCHAPv2
an einer Stelle ziemlichen Mumpitz geschrieben und ich
hatte erst neulich Gelegenheit, mir bei einem IAS
anzuschauen, wie's denn richtig auszusehen hat...

Ich habe den PC mit der MAC in die Stationsliste eingetragen, ist das richtig? Wenn ich das nicht mache fragt er mich nicht nach Benutzernamen und Passwort.

MAC-Filter sind von der Verschlüsselung im WLAN
unabhängig, die kann man zusammen mit einer beliebigen
Verschlüsselungsmethode benutzen oder es auch lassen
(indem man MAC-Filterung für die fragliche SSID ausschaltet).
Wenn ein Client wegen der MAC-Filterung schon nicht
reingelassen wird, dann kommt er erst gar nicht bis zur
802.1x-Verhandlung.

Gruß Alfred

[laberlin]

Weil Du weiter hinten etwas von Benutzername und Paßwort schreibst, nehme ich an, daß Du PEAP und nicht EAP/TLS als EAP-Methode gewählt hast, da braucht man auf Client-Seite kein Zertifikat.

Wo wähle ich denn EAP/TLS aus? Auf dem Client? Ich kann bei WIN7 nur EAP/MSCHAPv2 auswählen.

Heißt das, dass ich auf dem Router fertig bin und mich nun "nur" noch um den Client kümmern muss? Ich hab mal Bilder beigefügt, ob es bis dahin richtig ist. Kann ja nicht sein, dass wir nur auf Microsoft warten müssen um das zu nutzen, oder etwa doch?

Grüße aus Berlin

[alf29]

Moin,

ich habe gerade keine EAP/TLS-Installation zur Hand, aber 'Smartcard oder anderes Zertifikat'
als Apternative zu PEAP müßte die richtige Ecke sein. Wo genau man das Cleint-Zertifikat hinterlegt,
weiß ich offen gestanden nicht, das habe ich schon bei XP nicht verstanden...

Gruß Alfred

[laberlin]

So, nochmal an alle anderen, hat denn niemand das geschafft den internen Radius einzurichten und mit einem Win Client darauf zuzugreifen?
Glaub ich nicht....
Helft mir doch mal
thx

[vernetzer]

Selbes Problem:

Habe einen Lancom L-321agn und möchte den internen Radius Server des AP nutzen, als Clients sind Win 7 PCs vorgesehen.

alles wie oben beschrieben gemacht, aber keinen Erfolg.
Benutze die neuste Firmware "LC-L321-8.50.0091-Rel"
mit xca ein Zertifikat erstellt und als PEM Crt+ key exportiert und auf den AP geladen!

Kann mir jemand helfen?

[alf29]

Moin,

'kein Erfolg' ist keine Fehlerbeschreibung, mit der hier irgendjemand etwas anfangen
können wird...Wie wäre es mit ein paar Traces während der Anmeldung eines Clients,
z.B.

trace + EAP
trace + WLAN-DATA @ eapol
trace + RADIUS

Gruß Alfred

[CapFloor]

Hallo, um den eingebauten Radius Server in meinem Lancom benutzen zu können, hat mir beim Einrichten der EAP/PEAP Authentifizierung zwischen Router-AP und Windows 7 Client folgende Anleitung geholfen:

http://www.tekradius.com/Docs/ssssl.pdf

Funktioniert mit kleinen Änderungen auch mit Windows 7. Die Software zur Erzeugung von (selbst) signierten Zertifikaten (tekcert) gibts dort auch in einer kostenfreien Version.

Viel Spass damit!
Frank