Hallo zusammen,
ich bin Auszubildender im 3. Lehrjahr und mache zur Zeit mein Abschlussprojekt, dieses Beschäftigt sich mit der Migration eines W-Lan mit RADIUS-Authentifizierung in ein Berufsschulnetzwerk.
Und zwar soll das ganze nachher so aussehen, das Die W-Lan user sich am RADIUS Authentifizieren um ins Lan zu kommen, leider habe ich bisher keine ahnung von dem RADIUS-Server (Debian Server mit Cistron RADIUS), der Server wird zur Zeit nur für die Authentifizierung des Internet im Lan genutzt und dafür werden nur Benutzername und Passwort benötigt.
Nun meine Frage, welche Informationen benötigt der Access Point für die Authentifizierung, benötigt dieser mehr als nur Benutzername und Passwort, wie z.B. eine Mac Adresse oder i-welche anderen parameter?
denn falls der Access Point noch mehr Parameter benötigt muss die Konfiguration des Servers dementsprechend angepasst werden, was natürlich wieder ne andere frage ist, wie das dann funzt, aber dafür habe ich dann schon Ansprechpartner in der Schule.
hoffe ich habe mich so ausgedrückt, das man mich verstehen kann...
MfG
Martin
Radius - Welche infos benötigt AP
Moderator: Lancom-Systems Moderatoren
Radius - Welche infos benötigt AP
Erfahrung ist nicht alles, man kann auch 35 Jahre seine Sache schlecht gemacht haben
hallo,
es gibt zwei möglichkeiten, einmal Eine MAC-Access prüfung oder Auth per 802.1x
bei der Mac prüfung fragt der AP den Radius nach dem Usernamen (=MAC Adresse des Clientes) und nach einen Passwort (das ist immer das gleiche und zwar in der grundeinstellung der secret key des APs)
wenn der Radius dann meldet OK dann lässt der AP den client rein,
mehr wird nicht gebraucht, man kann den AP natürlich dann noch weiter infos zukommen lassen wie max bandbreite etc...
es gibt zwei möglichkeiten, einmal Eine MAC-Access prüfung oder Auth per 802.1x
bei der Mac prüfung fragt der AP den Radius nach dem Usernamen (=MAC Adresse des Clientes) und nach einen Passwort (das ist immer das gleiche und zwar in der grundeinstellung der secret key des APs)
wenn der Radius dann meldet OK dann lässt der AP den client rein,
mehr wird nicht gebraucht, man kann den AP natürlich dann noch weiter infos zukommen lassen wie max bandbreite etc...
Hallo,
bei dieser Authentifizierung per 802.1x brauche ich da keine Mac Adresse angeben? und kann ich da die Account Datenbank des Radius Servers verwenden, so das jeder user mit seinem eigenen Passwort und Benutzernamen Authentifiziert wird oder gibt es dann nur ein Passwort und einen Benutzernamen?
ich hätte dann noch eine Frage: Brauche ich um das ganze ordentlich hin zu bekommen die Public Spot Option oder Funktioniert das auch so?
Mit freundlichen Grüssen
Martin Stock
bei dieser Authentifizierung per 802.1x brauche ich da keine Mac Adresse angeben? und kann ich da die Account Datenbank des Radius Servers verwenden, so das jeder user mit seinem eigenen Passwort und Benutzernamen Authentifiziert wird oder gibt es dann nur ein Passwort und einen Benutzernamen?
ich hätte dann noch eine Frage: Brauche ich um das ganze ordentlich hin zu bekommen die Public Spot Option oder Funktioniert das auch so?
Mit freundlichen Grüssen
Martin Stock
Erfahrung ist nicht alles, man kann auch 35 Jahre seine Sache schlecht gemacht haben
Wie stellt man das denn in den APs ein bzw. wo legt man eine Datenbank der Benutzer an? Hat XP mit SP2 so ein Auth-Tool ?!für 802.1X brauchst du nur Benutzername und Passwort, natürlich hat da jeder sein eigenes Wink du brauchst aber dann auf dem jeweiligen Client rechner nen 802.1x Auth tool wenn dies nicht beim OS dabei ist...
Moin,
Für 802.1x braucht man grob drei Komponenten:
(1) Auf den Clients einen sogennanten Supplicant, der
die Client-Seite von 802.1x abwickelt - den bringt
Windows XP mit (zumindest für bestimmte Verfahren,
aber davon später mehr...)
(2) Einen Access Point, der 802.1x unterstützt - das ist bei
allen LANCOM-APs der Fall, mit Ausnahme der (I)L-2
und (I)L-11
(3) einen RADIUS-Server, der 802.1x/EAP unterstützt - das
ist quasi der Authentifizierungs-Server. Windows bringt
m.W. so einen Server (IAS) nur in den Server-Versionen
mit, man kann aber auf dieser Seite aber auch einen
Linux-Server mit dem kostenlosen FREEradius benutzen.
Auf diesem Server liegt dann die Benutzerdatenbank.
Wenn Du Dich an einen 802.1x-Aufbau wagen willst, und
das hinbekommst, dann hast Du danach garantiert eine
ganze Menge Dinge gelernt
Wie aus dieser Beschreibung
hervorgeht, ist so eine 802.1x-Aufbau schon eine
vergleichsweise anspruchsvolle Aufgabe. 802.1x bzw.
das darin benutzte EAP sehen nämlich auch noch vor, daß
das Authentifizierungsverfahren wählbar und austauschbar
ist. Gängige Verfahren sind z.B.:
(1) TLS, dabei werden überhaupt keine Paßwörter
ausgetauscht, sowohl Client als auch (RADIUS-)Server
authentifizieren sich gegenseitig über Zertifikate. Dieses
Verfahren gilt als sehr sicher, wegen der Verwaltung der
Client-Zertifikate aber auch als sehr aufwendig.
(2) TTLS funktioniert ähnlich wie TLS, jedoch wird hier
nur auf der Serverseite ein Zertifikat verwendet, der
Client meldet sich mit Benutzernamen und Paßwort
an. Die Einrichtung ist daher deutlich einfacher als
bei TLS.
(3) PEAP funktioniert ähnlich wie TTLS, wird aber besonders
von Microsoft und Cisco gepusht.
(4) LEAP war früher in Cisco-Umgebungen sehr gängig und
kommt ganz ohne Zertifikate aus, gilt aber heutzutage als
unsicher und sollte nicht mehr in Neuinstallationen ver-
wendet werden.
Windows XP kommt mit einem Supplicant, der TLS und
PEAP unterstützt. Es ist möglich, daß der Kartenhersteller
einen eigenen Supplicant mitliefert, der deutlich mehr
unterstützt. Der unter Linux gängige wpa_supplicant
unterstützt alle genannten Verfahren.
Auf der Serverseite sieht es beim IAS ähnlich aus, TLS
und PEAP funktionieren. FREEradius dagengen unterstützt
wieder alle Verfahren.
Wenn Du jetzt den Eindruck gewonnen hat, daß das alles
fürchterlich kompliziert ist...dann hast Du vermutlich nicht
ganz unrecht. Ich habe selber einige Anläufe gebrucht, bis
ich einen FREEradius zum Laufen bekommen habe.
Eine einfachere Lösung für eine benutzerbasierte
Anmeldung wäre deshalb die von LANCOM angebotene
Public Spot Option. Bei der erhält der Benutzer einfach
eine Anmeldeseite im Browser, auf der er seinen Namen
und das Paßwort angeben muß. Erst bei einem
erfolgreichen Login schaltet der AP den Benutzer 'durch'.
Diese Option gibt es auch für ältere LANCOM-APs, aber
sie kostet Geld...
Gruß Alfred
Für 802.1x braucht man grob drei Komponenten:
(1) Auf den Clients einen sogennanten Supplicant, der
die Client-Seite von 802.1x abwickelt - den bringt
Windows XP mit (zumindest für bestimmte Verfahren,
aber davon später mehr...)
(2) Einen Access Point, der 802.1x unterstützt - das ist bei
allen LANCOM-APs der Fall, mit Ausnahme der (I)L-2
und (I)L-11
(3) einen RADIUS-Server, der 802.1x/EAP unterstützt - das
ist quasi der Authentifizierungs-Server. Windows bringt
m.W. so einen Server (IAS) nur in den Server-Versionen
mit, man kann aber auf dieser Seite aber auch einen
Linux-Server mit dem kostenlosen FREEradius benutzen.
Auf diesem Server liegt dann die Benutzerdatenbank.
Wenn Du Dich an einen 802.1x-Aufbau wagen willst, und
das hinbekommst, dann hast Du danach garantiert eine
ganze Menge Dinge gelernt
Wie aus dieser Beschreibunghervorgeht, ist so eine 802.1x-Aufbau schon eine
vergleichsweise anspruchsvolle Aufgabe. 802.1x bzw.
das darin benutzte EAP sehen nämlich auch noch vor, daß
das Authentifizierungsverfahren wählbar und austauschbar
ist. Gängige Verfahren sind z.B.:
(1) TLS, dabei werden überhaupt keine Paßwörter
ausgetauscht, sowohl Client als auch (RADIUS-)Server
authentifizieren sich gegenseitig über Zertifikate. Dieses
Verfahren gilt als sehr sicher, wegen der Verwaltung der
Client-Zertifikate aber auch als sehr aufwendig.
(2) TTLS funktioniert ähnlich wie TLS, jedoch wird hier
nur auf der Serverseite ein Zertifikat verwendet, der
Client meldet sich mit Benutzernamen und Paßwort
an. Die Einrichtung ist daher deutlich einfacher als
bei TLS.
(3) PEAP funktioniert ähnlich wie TTLS, wird aber besonders
von Microsoft und Cisco gepusht.
(4) LEAP war früher in Cisco-Umgebungen sehr gängig und
kommt ganz ohne Zertifikate aus, gilt aber heutzutage als
unsicher und sollte nicht mehr in Neuinstallationen ver-
wendet werden.
Windows XP kommt mit einem Supplicant, der TLS und
PEAP unterstützt. Es ist möglich, daß der Kartenhersteller
einen eigenen Supplicant mitliefert, der deutlich mehr
unterstützt. Der unter Linux gängige wpa_supplicant
unterstützt alle genannten Verfahren.
Auf der Serverseite sieht es beim IAS ähnlich aus, TLS
und PEAP funktionieren. FREEradius dagengen unterstützt
wieder alle Verfahren.
Wenn Du jetzt den Eindruck gewonnen hat, daß das alles
fürchterlich kompliziert ist...dann hast Du vermutlich nicht
ganz unrecht. Ich habe selber einige Anläufe gebrucht, bis
ich einen FREEradius zum Laufen bekommen habe.
Eine einfachere Lösung für eine benutzerbasierte
Anmeldung wäre deshalb die von LANCOM angebotene
Public Spot Option. Bei der erhält der Benutzer einfach
eine Anmeldeseite im Browser, auf der er seinen Namen
und das Paßwort angeben muß. Erst bei einem
erfolgreichen Login schaltet der AP den Benutzer 'durch'.
Diese Option gibt es auch für ältere LANCOM-APs, aber
sie kostet Geld...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Danke für die schnelle und sehr informative Antwort!
Das klingt ja nach ner Menge Holz und ich weiss nicht, ob ich das alles brauche.
Ich hab neun L-54g und ein L-11 AP und die sollen einfach nur Anfagen von WLAN-Clients annehmen und diese mit gültigem Benutzernamen und Passwort annehmen und ins Internet lassen. Die Clients sollen am besten gar nicht konfiguriert werden müssen um den Aufwand so gering wie möglich zu halten. Da ist die Public Spot Option wirklich das Beste glaub ich, denn da kommt ja gleich ein Anmeldefenster wenn man sich mit dem AP verbinden will oder?!
Gruß Maverick
Das klingt ja nach ner Menge Holz und ich weiss nicht, ob ich das alles brauche.
Ich hab neun L-54g und ein L-11 AP und die sollen einfach nur Anfagen von WLAN-Clients annehmen und diese mit gültigem Benutzernamen und Passwort annehmen und ins Internet lassen. Die Clients sollen am besten gar nicht konfiguriert werden müssen um den Aufwand so gering wie möglich zu halten. Da ist die Public Spot Option wirklich das Beste glaub ich, denn da kommt ja gleich ein Anmeldefenster wenn man sich mit dem AP verbinden will oder?!
Gruß Maverick
gemessen an dem zeitlichen rahmen aufwand, den du für das projekt investieren kannst wäre es eine out-of-the-box lösung.
ja, es erscheint eine anmeldeseite im browser.
der anmeldemodus kann dabei wegfallen, mit benutzername /passwort oder benutzername/passwort/ mac-adresse erfolgen.
weiterhin kannst du die benutzerliste im lancom direkt einrichten und ein ablaufdatum festlegen, wenn es sich um gastzugänge handelt.
http://www.lancom-systems.de/LANCOM_Pub ... 348.0.html
preislich sollte die option im rahmen des projektbudgets sicherlich keine "hürde" darstellen. z.B.
http://www.geizhals.at/deutschland/a26779.html
ja, es erscheint eine anmeldeseite im browser.
der anmeldemodus kann dabei wegfallen, mit benutzername /passwort oder benutzername/passwort/ mac-adresse erfolgen.
weiterhin kannst du die benutzerliste im lancom direkt einrichten und ein ablaufdatum festlegen, wenn es sich um gastzugänge handelt.
http://www.lancom-systems.de/LANCOM_Pub ... 348.0.html
preislich sollte die option im rahmen des projektbudgets sicherlich keine "hürde" darstellen. z.B.
http://www.geizhals.at/deutschland/a26779.html
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
ja die option ist pro gerät zu erwerben.
Ich weiß ja nicht, welche finanziellen Mittel zur Verfügung stehen und welcher genaue Einsatzzweck (gewisse Funktionen sind nicht in allen Produkten/Vergleichsmatrix enthalten oder gewinnen in der Zukunft an Bedeutung) erzielt werden soll.
Beachte aber immer, dass du nur einen begrenzten Realisitionszeitraum hast und du nicht nur auf sturr auf die Kosten achten kannst, sondern diese dem zusätzlichem Zeitaufwand, den du für die Aneignung kostenloser Alternativen benötigst ins Verhältnis setzen musst.
Also kurzum man kann Kosten überall einsparen, nur sollte der Komfort nicht darunter leiden und es sollte nicht in Geiz ausarten.
Ich weiß ja nicht, welche finanziellen Mittel zur Verfügung stehen und welcher genaue Einsatzzweck (gewisse Funktionen sind nicht in allen Produkten/Vergleichsmatrix enthalten oder gewinnen in der Zukunft an Bedeutung) erzielt werden soll.
Beachte aber immer, dass du nur einen begrenzten Realisitionszeitraum hast und du nicht nur auf sturr auf die Kosten achten kannst, sondern diese dem zusätzlichem Zeitaufwand, den du für die Aneignung kostenloser Alternativen benötigst ins Verhältnis setzen musst.
Also kurzum man kann Kosten überall einsparen, nur sollte der Komfort nicht darunter leiden und es sollte nicht in Geiz ausarten.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
naja es ist mein abschlussprojekt zum fachinformatiker und ich soll ja auch ne produktauswahl mit kriterien abliefern. wie lang braucht man ca. zum konfigurieren der public option? es sind nur so 10-15 pcs, die in die liste müssten. das projekt ist auf 35 stunden angesetzt, wofür aber nur so 6-10 stunden fürs reine konfigurieren angesetzt sind. ist das machbar?
Ja das solltest du dich auf maximal drei Alternativen beschränken und ganz klar die benötigten Funktionen stärker gewichten.Maverick hat geschrieben: ich soll ja auch ne produktauswahl mit kriterien abliefern.
Solange du dir die entsprechenden Kapitel durchgelesen hast du das Ganze gleich an einem AP umsetzt, sollte es ohne Probleme mit einem Zeitpuffer realiserbar sein. (Weißt du, ob alles ohne Probleme funktionieren wird?).
Es ist auch keine Schande ein Produkt zu vergleichen, dass aber aufgrund von diversen Kritieren für das Projekt von vorherein ausscheidet (z.B. kein Support).
Nacher kannst du die einmal geschaffene Konfiguration auf die anderen APs auch mittel Skripting übertragen.
Hier kommt z.B. der administrative Aufwand/die Managebarkeit der LANCOMs als positives Kriterium ganz klar zum tragen.
Das System wird dann an einen Dritten (den Auftraggeber) übergeben und abgenommen werden. Dazu gehört, dass das System verstanden wird und möglichst transparent ist.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Hab hier mal son paar Alternativen aufgeshrieben:
VPN: Einwahl auf einem VPN-Gateway
Vorteil: sichere Verbindung, zeitgesteuerte Freischaltung der Accounts durch Admin im AD z.B. möglich
Nachteil: jeder Client bräuchte die Software, daher mehr Aufwand nötig
RADIUS: Benutzerauthentifizierung an einem Remoteserver
Vorteil: keine/kaum Konfiguration am Client
Nachteil: geht nur mit MAC-Adresse und Passwort
Public Hot Spot Option der Accesspoints: Clients melden sich an und bekommen eine Loginmaske
Vorteil: keine/kaum Konfiguration am Client
Nachteil: hohe Kosten, 119 Euro Einzel / 1099 Euro 10er-Lizenz
Ich hab auch mal was gelesen von ISA-Server (IAS-Dienst) und der Benutzer-Authentifizierung dadrauf, geht das auch mit den Lancom-APs?
VPN: Einwahl auf einem VPN-Gateway
Vorteil: sichere Verbindung, zeitgesteuerte Freischaltung der Accounts durch Admin im AD z.B. möglich
Nachteil: jeder Client bräuchte die Software, daher mehr Aufwand nötig
RADIUS: Benutzerauthentifizierung an einem Remoteserver
Vorteil: keine/kaum Konfiguration am Client
Nachteil: geht nur mit MAC-Adresse und Passwort
Public Hot Spot Option der Accesspoints: Clients melden sich an und bekommen eine Loginmaske
Vorteil: keine/kaum Konfiguration am Client
Nachteil: hohe Kosten, 119 Euro Einzel / 1099 Euro 10er-Lizenz
Ich hab auch mal was gelesen von ISA-Server (IAS-Dienst) und der Benutzer-Authentifizierung dadrauf, geht das auch mit den Lancom-APs?
Die Argumentation ist noch zu viel zu dürftig...
Der IAS ist ein MS-RADIUS Server der ISA eine Stateful bis Layer3/4 und Applikationlayer-firewall --> Security Appliance.
Musst es unbedingt mit Username/passwort sein, oder reicht dir pro Gerät ein eigener PSK aus. Dann würde (je nach gewünschter Funktionalität) das proprietäre LANCOM Verfahren LEPS ausreichen, dass das Manko eines globalen PSK für alle Geräte umgeht. Dasselbe Problem hast du im Main Mode bei Roadwarrior Szenarien, es sein denn du verwendest an Aggressive-Mode. Eine "echte" Benutzerauthentfizierung gibt es bei einem "normalen" IPSec-VPN ja nicht, da da ein gerät zur Koppelung im Vordergrund steht.
Der IAS ist ein MS-RADIUS Server der ISA eine Stateful bis Layer3/4 und Applikationlayer-firewall --> Security Appliance.
Musst es unbedingt mit Username/passwort sein, oder reicht dir pro Gerät ein eigener PSK aus. Dann würde (je nach gewünschter Funktionalität) das proprietäre LANCOM Verfahren LEPS ausreichen, dass das Manko eines globalen PSK für alle Geräte umgeht. Dasselbe Problem hast du im Main Mode bei Roadwarrior Szenarien, es sein denn du verwendest an Aggressive-Mode. Eine "echte" Benutzerauthentfizierung gibt es bei einem "normalen" IPSec-VPN ja nicht, da da ein gerät zur Koppelung im Vordergrund steht.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a