Betreff: Radius Server einrichten
hallo,
es geht darum das ich zum Schutz meines einfachen Wlan\'s einen Radius Server einrichten möchte.
Es sollen dann quasi erst der Wlan Schlüssel und dann die Anmeldungs mit Benutzernamen und Passwort an dem Radius Server eingegeben werden um in das Wlan Netz zu gelangen.
Könnt ihr mir evtl. weiter helfen?
Radius Server im einfachen Wlan erstellen mit 320agn
Moderator: Lancom-Systems Moderatoren
-
dicker250311
- Beiträge: 7
- Registriert: 30 Mär 2011, 09:27
-
dicker250311
- Beiträge: 7
- Registriert: 30 Mär 2011, 09:27
Hallo,
dann nutze doch die Macht (tm) und aktiviere die 30-Tage-Demo-PublicSpot-Lizenz auf dem Gerät: http://www.lancom-systems.de/Registrier ... 822.0.html
Dann kannst Du in Ruhe damit testen. Ansonsten kannst Du nur das LEPS-Feature benutzen, unter LANconfig unter -> Konfiguriere -> Wireless LAN -> Stationen -> Daten...übertragen -> Stationsliste ausfüllen mit individuellem Key pro MAC.
Ist aber nicht ganz das, was Du im OP fragst - dafür halt die PSpot testen.
Gruß,
Martin
dann nutze doch die Macht (tm) und aktiviere die 30-Tage-Demo-PublicSpot-Lizenz auf dem Gerät: http://www.lancom-systems.de/Registrier ... 822.0.html
Dann kannst Du in Ruhe damit testen. Ansonsten kannst Du nur das LEPS-Feature benutzen, unter LANconfig unter -> Konfiguriere -> Wireless LAN -> Stationen -> Daten...übertragen -> Stationsliste ausfüllen mit individuellem Key pro MAC.
Ist aber nicht ganz das, was Du im OP fragst - dafür halt die PSpot testen.
Gruß,
Martin
-
dicker250311
- Beiträge: 7
- Registriert: 30 Mär 2011, 09:27
Moin,
vielleicht sollte man erstmal klären, ob Public Spot hier wirklich das gewünschte ist.
Public Spot ist eher etwas für öffentliche Netze, die unverschlüsselt sind, und wenn man bei
Public Spot zusätzlich die 'Privacy' im WLAN haben möchte, dann muß man noch zusätzlich
WPA im WLAN einrichten und man muß sich quasi doppelt anmelden: erst mit der
WPA-Passphrase und dann noch einmal mit Benutzernamen und Paßwort. Ist das wirklich
das gewünschte Szenario oder geht es hier doch eher um die Einrichtung von 802.1x?
Gruß Alfred
vielleicht sollte man erstmal klären, ob Public Spot hier wirklich das gewünschte ist.
Public Spot ist eher etwas für öffentliche Netze, die unverschlüsselt sind, und wenn man bei
Public Spot zusätzlich die 'Privacy' im WLAN haben möchte, dann muß man noch zusätzlich
WPA im WLAN einrichten und man muß sich quasi doppelt anmelden: erst mit der
WPA-Passphrase und dann noch einmal mit Benutzernamen und Paßwort. Ist das wirklich
das gewünschte Szenario oder geht es hier doch eher um die Einrichtung von 802.1x?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
dicker250311
- Beiträge: 7
- Registriert: 30 Mär 2011, 09:27
-
dicker250311
- Beiträge: 7
- Registriert: 30 Mär 2011, 09:27
Moin,
RADIUS->Server in der CLI). Wenn der Reiter 'RADIUS-
Server' im LANconfig fehlt, dann wäre das ein Bug im LANconfig.
erstmal überhaupt nichts. RADIUS ist erstmal nichts weiter
als eine Netzwerk-Schnittstelle zu einer Benutzerdatenbank.
Grob gesagt fragt irgendjemand über RADIUS beim
RADUIS-Server einen Benutzernamen an und bekommt ein
Accept oder Reject zurück. Das kann man an verschiedenen
Stellen nutzen, z.B. im Public-Spot-Modul im LANCOM oder
eben bei der 802.1x-Authentisierung. Die Authentisierung
kann dabei auf die verschiedensten Weisen funktionieren,
entweder schlicht per Paßwort oder im Rahmen von
802.1x/EAP über Zertifikate.
WPA/802.1x im WLAN ist eine Alternative zu WPA-PSK,
d.h. anstelle einer Passphrase brauchen die Benutzer
entweder ein Zertifikat oder einen Benutzernamen mit
Paßwort, um sich anzumelden. Das wird vor allen in
Firmen genutzt, wo man sehr viele Benutzer hat, denen
man ansonsten allen die (gleiche) Passphrase mitteilen
müßte - und wenn ein Mitarbeiter geht, muß diese streng
genommen überall ausgetauscht werden. Bei 802.1x
zieht man entweder einfach dieses eine Zertifikat zurück oder
löscht die Benutzerkennung aus der Datenbank.
Wenn Du noch nie etwas mit 802.1x gemacht hast, bzw.
diesen Begriff gerade zum ersten Mal gehört hast, dann
wirst Du in den nächsten Tagen aber eine ziemlich "steile
Lernkurve" haben, so Du das nutzen willst. Auch wenn man
die Benutzer über Benutzernamen und Paßwort authentisieren
will, so braucht man doch auf der Server-Seite Zertifikate
und muß dafür eine "Mini-CA " aufziehen.
Gruß Alfred
sicher hat der einen RADIUS-Server integriert (Setup->sagt mal, kann es sein das der l320 agn garkeinen radius server integriert hat, sondern einen solchen nur unterstüzt?
RADIUS->Server in der CLI). Wenn der Reiter 'RADIUS-
Server' im LANconfig fehlt, dann wäre das ein Bug im LANconfig.
Also RADIUS macht von sich aus auf 'magische Weise'Also das ist schon das gewünschte Szenario. Aber ich dachte das genau das Radius macht.
erstmal überhaupt nichts. RADIUS ist erstmal nichts weiter
als eine Netzwerk-Schnittstelle zu einer Benutzerdatenbank.
Grob gesagt fragt irgendjemand über RADIUS beim
RADUIS-Server einen Benutzernamen an und bekommt ein
Accept oder Reject zurück. Das kann man an verschiedenen
Stellen nutzen, z.B. im Public-Spot-Modul im LANCOM oder
eben bei der 802.1x-Authentisierung. Die Authentisierung
kann dabei auf die verschiedensten Weisen funktionieren,
entweder schlicht per Paßwort oder im Rahmen von
802.1x/EAP über Zertifikate.
WPA/802.1x im WLAN ist eine Alternative zu WPA-PSK,
d.h. anstelle einer Passphrase brauchen die Benutzer
entweder ein Zertifikat oder einen Benutzernamen mit
Paßwort, um sich anzumelden. Das wird vor allen in
Firmen genutzt, wo man sehr viele Benutzer hat, denen
man ansonsten allen die (gleiche) Passphrase mitteilen
müßte - und wenn ein Mitarbeiter geht, muß diese streng
genommen überall ausgetauscht werden. Bei 802.1x
zieht man entweder einfach dieses eine Zertifikat zurück oder
löscht die Benutzerkennung aus der Datenbank.
Wenn Du noch nie etwas mit 802.1x gemacht hast, bzw.
diesen Begriff gerade zum ersten Mal gehört hast, dann
wirst Du in den nächsten Tagen aber eine ziemlich "steile
Lernkurve" haben, so Du das nutzen willst. Auch wenn man
die Benutzer über Benutzernamen und Paßwort authentisieren
will, so braucht man doch auf der Server-Seite Zertifikate
und muß dafür eine "Mini-CA " aufziehen.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
dicker250311
- Beiträge: 7
- Registriert: 30 Mär 2011, 09:27
Guten Morgen Alfred,
also danke erstmal für deine sehr hilfreiche Antwort.
Es sieht ganz so aus als wenn ich die 802.1x Authentisierung benutzen möchte=)
Allerdings bin ich wie du schon vermutet hast neuling in diesem Gebiet.
Aus deinem letzten Abschnitt geht hervor das ich Serversseitig Zertifikate haben muss? Aber ich habe doch dann nur meinen Lancom mit Radius Serve, kann ich in Ihm Zertifikate einbinden?
und was ist eine Mini-ca?
Ich habe jetzt schonmal im Internet nachgesehen aber bisher leider keine Anleitung gefunden wie man sowas macht. Hast du evtl. sowas parat?
also danke erstmal für deine sehr hilfreiche Antwort.
Es sieht ganz so aus als wenn ich die 802.1x Authentisierung benutzen möchte=)
Allerdings bin ich wie du schon vermutet hast neuling in diesem Gebiet.
Aus deinem letzten Abschnitt geht hervor das ich Serversseitig Zertifikate haben muss? Aber ich habe doch dann nur meinen Lancom mit Radius Serve, kann ich in Ihm Zertifikate einbinden?
und was ist eine Mini-ca?
Ich habe jetzt schonmal im Internet nachgesehen aber bisher leider keine Anleitung gefunden wie man sowas macht. Hast du evtl. sowas parat?
Moin,
mit "Mini-CA" meinte ich, daß bei Auswahl von PEAP (oder TTLS) als
EAP/802.1x-Methode die Clients sich mit Benutzernamen und Paßwort
anmelden und keine eigenen Zertifikate brauchen. Man braucht an
Zertifikaten nur ein CA-Zertifikat und das Gerätezertifikat für den RADIUS-
Server, das mit dem CA-Zertifikat signiert wird.
Zum Erstellen der Zertifikate kann man ein externes Programm nehmen, ich
habe in der Vergangenheit öfter XCA mit gutem Erfolg benutzt. XCA erlaubt
es, das RADIUS-Server-Zertifikat mitsamt privatem Schlüssel und CA-Zertifikat
in einem PKCS#12-Container zu exportieren, den kann man entweder über
LANconfig oder die WEBconfig als EAP/TLS-Zertifikat ins LANCOM hochladen
(trotz des Namens gilt dieses auch für TTLS und PEAP).
Auch mit XCA sind einige Grundkenntnisse über Zertifikate nötig. Leider kenne
ich keine Literatur, die das in einer für einen Anfänger verständlichen Weise
erklären würde.
Gruß Alfred
mit "Mini-CA" meinte ich, daß bei Auswahl von PEAP (oder TTLS) als
EAP/802.1x-Methode die Clients sich mit Benutzernamen und Paßwort
anmelden und keine eigenen Zertifikate brauchen. Man braucht an
Zertifikaten nur ein CA-Zertifikat und das Gerätezertifikat für den RADIUS-
Server, das mit dem CA-Zertifikat signiert wird.
Zum Erstellen der Zertifikate kann man ein externes Programm nehmen, ich
habe in der Vergangenheit öfter XCA mit gutem Erfolg benutzt. XCA erlaubt
es, das RADIUS-Server-Zertifikat mitsamt privatem Schlüssel und CA-Zertifikat
in einem PKCS#12-Container zu exportieren, den kann man entweder über
LANconfig oder die WEBconfig als EAP/TLS-Zertifikat ins LANCOM hochladen
(trotz des Namens gilt dieses auch für TTLS und PEAP).
Auch mit XCA sind einige Grundkenntnisse über Zertifikate nötig. Leider kenne
ich keine Literatur, die das in einer für einen Anfänger verständlichen Weise
erklären würde.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
dicker250311
- Beiträge: 7
- Registriert: 30 Mär 2011, 09:27
Hey Alfred,
Also ich habe das jetzt soweit geschafft das ich den Radius server ohne Public spot aktiviert habe. Jetzt habe ich dort einen Benutzer erstellet...(wofür ist eigentlih der client button in der konfig)
wenn ich jetzt in das wlan rein will muss ich nutzer namen und passwort eingeben. Aber der Benutzername den ich im radius eingegeben habe funktioniert nicht.
Allerdings habe ich bis jetzt auch noch nicht ein Zertifikat erstellt da ich nicht weiß wie das geht. Ich habe mir das Programm xca runter geladen aber wie du schon sagst man brauch vorkenntnisse=(
Hast du evtl. einen weiteren Rat für mich?
Also ich habe das jetzt soweit geschafft das ich den Radius server ohne Public spot aktiviert habe. Jetzt habe ich dort einen Benutzer erstellet...(wofür ist eigentlih der client button in der konfig)
wenn ich jetzt in das wlan rein will muss ich nutzer namen und passwort eingeben. Aber der Benutzername den ich im radius eingegeben habe funktioniert nicht.
Allerdings habe ich bis jetzt auch noch nicht ein Zertifikat erstellt da ich nicht weiß wie das geht. Ich habe mir das Programm xca runter geladen aber wie du schon sagst man brauch vorkenntnisse=(
Hast du evtl. einen weiteren Rat für mich?
Moin,
erstmal scusi, daß es mit der Antwort so lange gedauert hat.
an den RADIUS-Server Anfragen stellen dürfen und welches shared secret dabei jeweils
verwendet werden soll. In Deinem Fall redet das Gerät aber nur RADIUS 'mit sich selber', deshalb
brauchst Du die Tabelle nicht.
verpassen, ist selbst bei Verwendung von Tools wie XCA eine vergleichsweise hoffnungslose
Sache - wenn wir zusammen vor einem Bildschirm säßen, sähe das ganz anders aus...im
Verlaufe des Mai werde ich vermutlich bei uns intern eine Schulung zu dem Themenkomplex für
den Support machen, mal sehen, ob die dann den Kunden besser helfen können...
Gruß Alfred
erstmal scusi, daß es mit der Antwort so lange gedauert hat.
Die Client-Liste im RADIUS-Server dient dazu, festzulegen, welche Clients (definiert per IP-Adresse)(wofür ist eigentlih der client button in der konfig)
an den RADIUS-Server Anfragen stellen dürfen und welches shared secret dabei jeweils
verwendet werden soll. In Deinem Fall redet das Gerät aber nur RADIUS 'mit sich selber', deshalb
brauchst Du die Tabelle nicht.
Tja, ohne Zertifikate wenigstens auf Server-Seite funktioniert keine 802.1x/EAP-Methode...Aber der Benutzername den ich im radius eingegeben habe funktioniert nicht.
Allerdings habe ich bis jetzt auch noch nicht ein Zertifikat erstellt da ich nicht weiß wie das geht. I
Leider nicht so recht. Jemandem auf diesem Weg einen Crash-Kurs in Zertifikaten zuch habe mir das Programm xca runter geladen aber wie du schon sagst man brauch vorkenntnisse=(
Hast du evtl. einen weiteren Rat für mich?
verpassen, ist selbst bei Verwendung von Tools wie XCA eine vergleichsweise hoffnungslose
Sache - wenn wir zusammen vor einem Bildschirm säßen, sähe das ganz anders aus...im
Verlaufe des Mai werde ich vermutlich bei uns intern eine Schulung zu dem Themenkomplex für
den Support machen, mal sehen, ob die dann den Kunden besser helfen können...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015