Moin,
ich möchte mich gerne mit dem Thema Radius unfreunden.
Ich bekomme es leider nicht hin, da ich Anfänger bin.
Wär jemand so freundlich mir die Einstellungen im L-54g mit 6.10 zu erklären?
Danke
Thorsten
Radiusserver unter 6.10
Moderator: Lancom-Systems Moderatoren
-
Hobbyfahrer
- Beiträge: 676
- Registriert: 26 Mär 2006, 17:58
- Wohnort: Hamburg
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Moin,
(1) Unter Setup/RADIUS/Server den UDP-Port von 0 auf den gewünschten Wert einstellen,
üblicherweise 1812. Das aktiviert gleichzeitig den Server.
(2) An gleicher Stelle im Menü in die Tabelle die Clients eintragen, d.h. die IP-Adressen, von
denen RADIUS-Anfragen angenommen werden, zusammen mit dem jeweiligen Shared
Secret.
(3) Unter Setup/WLAN/RADIUS-Access-Check 'Use-Server-Database' einschalten, damit
erlaubt man dem Server, Daten aus der ACL-Liste zur Beantwortung von Anfragen
heranzuziehen.
(4) Den ACL-Modus auf 'positiv' stellen und die MAC-Adressen wie gewohnt in die
MAC-Adreßliste eintragen, bei Bedarf auch mit Bandbreitenlimits und/oder LEPS-
Passphrase.
Auf den RADIUS-Clients trägt man IP-Adresse des 'Masters', UDP-Port und das jeweilige
Shared Secret wie gewohnt ein.
Gruß Alfred
(1) Unter Setup/RADIUS/Server den UDP-Port von 0 auf den gewünschten Wert einstellen,
üblicherweise 1812. Das aktiviert gleichzeitig den Server.
(2) An gleicher Stelle im Menü in die Tabelle die Clients eintragen, d.h. die IP-Adressen, von
denen RADIUS-Anfragen angenommen werden, zusammen mit dem jeweiligen Shared
Secret.
(3) Unter Setup/WLAN/RADIUS-Access-Check 'Use-Server-Database' einschalten, damit
erlaubt man dem Server, Daten aus der ACL-Liste zur Beantwortung von Anfragen
heranzuziehen.
(4) Den ACL-Modus auf 'positiv' stellen und die MAC-Adressen wie gewohnt in die
MAC-Adreßliste eintragen, bei Bedarf auch mit Bandbreitenlimits und/oder LEPS-
Passphrase.
Auf den RADIUS-Clients trägt man IP-Adresse des 'Masters', UDP-Port und das jeweilige
Shared Secret wie gewohnt ein.
Gruß Alfred
-
Hobbyfahrer
- Beiträge: 676
- Registriert: 26 Mär 2006, 17:58
- Wohnort: Hamburg
Hallo und Danke für den ersten Versuch 
Ich habe da noch ein paar Fragen.
(1) Unter Setup/RADIUS/Server den UDP-Port von 0 auf den gewünschten Wert einstellen,
üblicherweise 1812. Das aktiviert gleichzeitig den Server.
Ok das ist verstanden
(2) An gleicher Stelle im Menü in die Tabelle die Clients eintragen, d.h. die IP-Adressen, von
denen RADIUS-Anfragen angenommen werden, zusammen mit dem jeweiligen Shared
Secret.
Mit den Clients meinst Du nicht die WLAN User sondern vermutlich die IP des AP oder?
Was beudetet das Secret Password? Wozu braucht man das?
(3) Unter Setup/WLAN/RADIUS-Access-Check 'Use-Server-Database' einschalten, damit
erlaubt man dem Server, Daten aus der ACL-Liste zur Beantwortung von Anfragen
heranzuziehen.
Hier meinst Du unter Setup/WLAN/Radius-Zugriffsprüfung die Server-Datenbank-liefern auf Ja setzen oder?
(4) Den ACL-Modus auf 'positiv' stellen und die MAC-Adressen wie gewohnt in die
MAC-Adreßliste eintragen, bei Bedarf auch mit Bandbreitenlimits und/oder LEPS-
Passphrase.
Ok das ist die normale ACL Liste
Auf den RADIUS-Clients trägt man IP-Adresse des 'Masters', UDP-Port und das jeweilige
Shared Secret wie gewohnt ein.
Radius-Clients? Sind das nun die WLAN User oder was meinst Du damit? Wenn es z.B. die Notebooks sind wo stelle ich das unter Windows ein?
Über Reaktionen freue ich mich
Thorsten
Was ich noch nicht verstehe. Ichkann bei der Lösung nicht erkennen, wo der Vorteil gegenüber der normelen ACL Liste ist.
Ich habe da noch ein paar Fragen.
(1) Unter Setup/RADIUS/Server den UDP-Port von 0 auf den gewünschten Wert einstellen,
üblicherweise 1812. Das aktiviert gleichzeitig den Server.
Ok das ist verstanden
(2) An gleicher Stelle im Menü in die Tabelle die Clients eintragen, d.h. die IP-Adressen, von
denen RADIUS-Anfragen angenommen werden, zusammen mit dem jeweiligen Shared
Secret.
Mit den Clients meinst Du nicht die WLAN User sondern vermutlich die IP des AP oder?
Was beudetet das Secret Password? Wozu braucht man das?
(3) Unter Setup/WLAN/RADIUS-Access-Check 'Use-Server-Database' einschalten, damit
erlaubt man dem Server, Daten aus der ACL-Liste zur Beantwortung von Anfragen
heranzuziehen.
Hier meinst Du unter Setup/WLAN/Radius-Zugriffsprüfung die Server-Datenbank-liefern auf Ja setzen oder?
(4) Den ACL-Modus auf 'positiv' stellen und die MAC-Adressen wie gewohnt in die
MAC-Adreßliste eintragen, bei Bedarf auch mit Bandbreitenlimits und/oder LEPS-
Passphrase.
Ok das ist die normale ACL Liste
Auf den RADIUS-Clients trägt man IP-Adresse des 'Masters', UDP-Port und das jeweilige
Shared Secret wie gewohnt ein.
Radius-Clients? Sind das nun die WLAN User oder was meinst Du damit? Wenn es z.B. die Notebooks sind wo stelle ich das unter Windows ein?
Über Reaktionen freue ich mich
Thorsten
Was ich noch nicht verstehe. Ichkann bei der Lösung nicht erkennen, wo der Vorteil gegenüber der normelen ACL Liste ist.
Bei einem Accesspoint alleine gibt es da auch keinen Vorteile.Was ich noch nicht verstehe. Ichkann bei der Lösung nicht erkennen, wo der Vorteil gegenüber der normelen ACL Liste ist.
Sobald Du aber mehrere Accesspoints einsetzt, musst Du nur noch auf einem AP die Userliste pflegen, anstatt auf allen parallel. Die anderen Accesspoints (CLIENTS) stellen Ihre Radiusanfragen ja an das LANCOM auf dem der Radiusserver laeuft um die Benutzer (USER) zu authentifizieren.Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hi Hobbyfahrer
Der WLAN-User meldet sich beim Accesspoint an. Dieser versucht über eine RADIUS-Anfrage beim Server zu prüfen, ob der User sich amelden darf. Daher ist der Accesspoint hier der RADIUS-Client
Gruß
Backslash
ja, damit sind die Accesspoints gemeintMit den Clients meinst Du nicht die WLAN User sondern vermutlich die IP des AP oder?
Der RADIUS-Server authentifiziert darüber die Clients (nur wenn das Paßwort korrekt ist, dann antwortet der Server auch...)Was beudetet das Secret Password? Wozu braucht man das?
nein, damit sind (wie auch oben schon) die Accesspoints gemeint:Radius-Clients? Sind das nun die WLAN User oder was meinst Du damit? Wenn es z.B. die Notebooks sind wo stelle ich das unter Windows ein?
Der WLAN-User meldet sich beim Accesspoint an. Dieser versucht über eine RADIUS-Anfrage beim Server zu prüfen, ob der User sich amelden darf. Daher ist der Accesspoint hier der RADIUS-Client
Gruß
Backslash
-
m-jelinski
- Beiträge: 231
- Registriert: 29 Mär 2005, 14:08
- Wohnort: Kaufungen bei Kassel
- Kontaktdaten:
Ich glaube Du verstehst da etwas falsch. Am "WLAN User" im Notebook aendert sich nichts. Der wird weiterhin mit WPA-PSK oder WEP konfiguriert, mit dem gleichen PSK/WPA Key wie vorher auch.Versteh ich es richtig, das beim Notebook kein Passwort angegeben werden muss (oder doch das Shared-Secret)? WinXP Pro fragt mich nämlich (anders wie bei WPA-PSK) nicht nach einem Passwort.
In einem zentralen LANCOM wird der Radius Server aktiviert und die Tabelle mit den erlaubeten RADIUS Clients gefuellt (das sind in der Regel andere Accesspoints die auf dieses LANCOM als Radiusserver zugreifen wollen, jeweils mit Ihrem Shared Secret womit DIESE sich dem RADIUS Server gegenueber authentifizieren).
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hallo,
mal zwei Nachfragen zu dem Thema:
Den Radius-Server gibt es ja nur auf den Lancoms mit WLAN. Warum eigentlich? So ein Radius-Server hat doch mit einem gleichzeitig im Gerät verbauten AP herzlich wenig zu tun.
Der Radius-Server des Lancoms beherrscht keine Authentifizierung per EAP-TTLS oder TLS?
Gruß
Mario
mal zwei Nachfragen zu dem Thema:
Den Radius-Server gibt es ja nur auf den Lancoms mit WLAN. Warum eigentlich? So ein Radius-Server hat doch mit einem gleichzeitig im Gerät verbauten AP herzlich wenig zu tun.
Der Radius-Server des Lancoms beherrscht keine Authentifizierung per EAP-TTLS oder TLS?
Gruß
Mario
Hallo Mario,
Ciao
LoUiS
Weil, wie Alfred ja schon dargelegt hat, der Radius-Server zur Pruefung die Daten aus der ACL-Liste zur Beantwortung von Anfragen heranzieht. Da die ACL-Liste nur auf Geraeten mit WLAN vorhanden ist, ist es derzeit nicht anders moeglich.Den Radius-Server gibt es ja nur auf den Lancoms mit WLAN. Warum eigentlich? So ein Radius-Server hat doch mit einem gleichzeitig im Gerät verbauten AP herzlich wenig zu tun.
Nein, beherscht er nicht.Der Radius-Server des Lancoms beherrscht keine Authentifizierung per EAP-TTLS oder TLS?
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Moin,
es hat insofern etwas damit zu tun, als daß RADIUS ja erstmal nur ein definiertes Protokoll
auf dem Netz ist, über das Authentisierungsanfragen gemacht werden können - es macht
keine Aussage darüber, wo die 'Datenbasis' herkommt, anhand der der RADIUS-Server
die Anfragen beantwortet. Da ich keine Lust hatte, dafür extra die n-te 'Benutzertabelle'
anzulegen, bedient sich der RADIUS-Server aus bereits vorhendenen Tabellen - nämlich
der MAC-Acess-Liste im WLAN und der Benutzertabelle im Public-Spot-Modul. Diese
Tabellen, weil dies die im ersten Schritt angepeilten Szenarien sind - kleine WLAN-
und/oder Public-Spot-Installationen, bei denen man zwar mehrere APs hat, aber keine
extra Server aufstellen möchte, um die Datenbasis zentral pflegen zu können. Und auf
Geräten ohne WLAN oder Public-Spot-Option (die sind im Moment deckungsgleich) würde
ein RADIUS-Server im Moment einfach keinen Sinn machen - wo sollte er seine
Datenbasis herholen?
Ich gehe davon aus, daß bei größeren Installationen man so oder so einen externen
RADIUS-Server aufstellen wird, entweder weil die Benutzerdaten gar nicht als einfache
Tabelle vorliegen, sondern z.B. als SQL-Datenbank, in die jemand anders hineinschreibt,
oder weil man auch RADIUS-Accounting haben möchte. Beides ist auf einem LANCOM
mit seinen beschränkten Resourcen nicht sinnvoll abbildbar.
dient er alleine dazu, in den oben genannten Szenarien die Authentifizierungsdaten
(entweder MAC-Adressen, zusammen mit LEPS-Passphrase und/oder Bandbreitenlimits
bzw. Public-Spot-Accounts) zentral verwalten zu können.
Gruß Alfred
es hat insofern etwas damit zu tun, als daß RADIUS ja erstmal nur ein definiertes Protokoll
auf dem Netz ist, über das Authentisierungsanfragen gemacht werden können - es macht
keine Aussage darüber, wo die 'Datenbasis' herkommt, anhand der der RADIUS-Server
die Anfragen beantwortet. Da ich keine Lust hatte, dafür extra die n-te 'Benutzertabelle'
anzulegen, bedient sich der RADIUS-Server aus bereits vorhendenen Tabellen - nämlich
der MAC-Acess-Liste im WLAN und der Benutzertabelle im Public-Spot-Modul. Diese
Tabellen, weil dies die im ersten Schritt angepeilten Szenarien sind - kleine WLAN-
und/oder Public-Spot-Installationen, bei denen man zwar mehrere APs hat, aber keine
extra Server aufstellen möchte, um die Datenbasis zentral pflegen zu können. Und auf
Geräten ohne WLAN oder Public-Spot-Option (die sind im Moment deckungsgleich) würde
ein RADIUS-Server im Moment einfach keinen Sinn machen - wo sollte er seine
Datenbasis herholen?
Ich gehe davon aus, daß bei größeren Installationen man so oder so einen externen
RADIUS-Server aufstellen wird, entweder weil die Benutzerdaten gar nicht als einfache
Tabelle vorliegen, sondern z.B. als SQL-Datenbank, in die jemand anders hineinschreibt,
oder weil man auch RADIUS-Accounting haben möchte. Beides ist auf einem LANCOM
mit seinen beschränkten Resourcen nicht sinnvoll abbildbar.
Nein, einen Access Server für 802.1x gibt es in LANCOMs (noch?) nicht, im AugenblickDer Radius-Server des Lancoms beherrscht keine Authentifizierung per EAP-TTLS oder TLS?
dient er alleine dazu, in den oben genannten Szenarien die Authentifizierungsdaten
(entweder MAC-Adressen, zusammen mit LEPS-Passphrase und/oder Bandbreitenlimits
bzw. Public-Spot-Accounts) zentral verwalten zu können.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo LoUiS und Alfred,
ok - prinzipiell kann ich eure Argumente nachvollziehen.
Gruß
Mario
ok - prinzipiell kann ich eure Argumente nachvollziehen.
Hmm - bei solchen Installationen sind die APs doch i.d.R. an einen 'fetteren' Lancom angebunden. Der könnte doch nebenbei den Radius-Server spielen. Ich hätte irgendwie damit Bauchschmerzen, den Radius-Server auf irgendeinem AP (Etage 3, Raum 305) laufen zu lassen.Diese
Tabellen, weil dies die im ersten Schritt angepeilten Szenarien sind - kleine WLAN-
und/oder Public-Spot-Installationen, bei denen man zwar mehrere APs hat, aber keine
extra Server aufstellen möchte, um die Datenbasis zentral pflegen zu können.
War ja nur 'ne Frage.Nein, beherscht er nicht. Wink
Gruß
Mario
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Und warum klappt Radius nicht bei mir?
Dank der obrigen ausführlichen Anleitung hätte doch alles funktionieren müssen. Mein Aufbau:
(1) Gateway L-1811: IP 10.0.0.102
... LAN ...
(2) L-54ag als ersten HotSpot mit DMZ-IP 10.0.0.110 (LAN) und Intranet-IP 10.0.1.110 (W-LAN: P2MP) / Dieser soll auch Radius-Server für weitere HotSpots sein. Es benötigen ausschließlich W-LAN-Clints Radius.
... W-LAN ...
(3) weitere L-54g als HotSpots mit DMZ-IP 10.0.1.111 (P2P-1-1) und Intranet-IP 10.0.2.111 (any)
Nun mein Problem: Wenn (3) eine Radius-Anfrage an (2) schickt, welche Radius-Server-IP muss ich in (3) eintragen? DMZ oder Intranet?
Syslog meldet immer nur Anfragen von (3) "... Start Radius..." und "...RADIUS access check for ... failed" aber keine Antworten von (2). Warum?
Muss ich in (2) in LANconfig unter "Kommunikation / RADIUS" auch etwas eintragen oder nur unter "Radius-Server"?
Danke
Stefan
Dank der obrigen ausführlichen Anleitung hätte doch alles funktionieren müssen. Mein Aufbau:
(1) Gateway L-1811: IP 10.0.0.102
... LAN ...
(2) L-54ag als ersten HotSpot mit DMZ-IP 10.0.0.110 (LAN) und Intranet-IP 10.0.1.110 (W-LAN: P2MP) / Dieser soll auch Radius-Server für weitere HotSpots sein. Es benötigen ausschließlich W-LAN-Clints Radius.
... W-LAN ...
(3) weitere L-54g als HotSpots mit DMZ-IP 10.0.1.111 (P2P-1-1) und Intranet-IP 10.0.2.111 (any)
Nun mein Problem: Wenn (3) eine Radius-Anfrage an (2) schickt, welche Radius-Server-IP muss ich in (3) eintragen? DMZ oder Intranet?
Syslog meldet immer nur Anfragen von (3) "... Start Radius..." und "...RADIUS access check for ... failed" aber keine Antworten von (2). Warum?
Muss ich in (2) in LANconfig unter "Kommunikation / RADIUS" auch etwas eintragen oder nur unter "Radius-Server"?
Danke
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
Moin,
IP-adreßmäßig muß ein RADIUS-Client einfach eine Server-Adresse haben, die er erreichen
kann - wenn man von dem RADIUS-Client aus den Server auf dieser Adresse anpingen
kann, dann ist das auch für RADIUS in Ordnung.
werden. Ich kann Dir eine Beta der 6.14 als PM schicken.
Gruß Alfred
IP-adreßmäßig muß ein RADIUS-Client einfach eine Server-Adresse haben, die er erreichen
kann - wenn man von dem RADIUS-Client aus den Server auf dieser Adresse anpingen
kann, dann ist das auch für RADIUS in Ordnung.
Nein, die Retry- und Timeout-Werte beziehen sich auf den RADIUS-Client im Gerät.Muss ich in (2) in LANconfig unter "Kommunikation / RADIUS" auch etwas eintragen oder nur unter "Radius-Server"?
Der RADIUS-Server hatte noch einige Bugs (erste Version...), die in der 6.14 behoben seinSyslog meldet immer nur Anfragen von (3) "... Start Radius..." und "...RADIUS access check for ... failed" aber keine Antworten von (2). Warum?
werden. Ich kann Dir eine Beta der 6.14 als PM schicken.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250