VLAN-Zuweisung mit RADIUS / 802.1x auf L-54g

wolkie · Beitrag von **wolkie** » 12 Sep 2005, 14:37

Hallo zuammen,

ein Lancom L-54 (Firmware 5.02) wird als AP eingesetzt. Für die Authentifizierung nach 802.1x mit PEAP wird ein FreeRadius-Server (1.0.4) eingesetzt. Diese Authentifizierung klappt auch wunderbar.
Nun möchte ich mit Hilfe eines Benutzerkontos Gast einen Inernetzuagng für Gäste realisieren. Um den Datenverkehr zwischen normalen Usern und Gästen zu trennen, habe ich an VLANs gedacht. Mein Benutzer ist in der Datei "users" mit folgenden Attributen angelegt.

Code: Alles auswählen

Gast   User-Password == "xxx"
         Tunnel-Type=VLAN,
         Tunnel-Medium-Type=802,
         Tunnel-Private-Group-Id = 500,

Diese Attribute werden in der Access-Success-Nachricht mitgeliefert, aber leider ordnet der AP den entsprechenen Port kein VLAN zu, sodass der nachgeschaltete Switch die Pakete nicht zuordnen kann.

Muss ich am AP das VLAN-Tagging aktivieren?
Welche Einstellungen sind dabei nötig?
Ich habe mit den Einstellungen schon rumprobiert, leider ohne Erfolg.

PS:
Wenn ich die Zuordnung der VLANs am AP über die SSID konfiguriere, funktioniert die Trennung der VLANs. Ich möchte aber über eine SSID zwei VLANs verwalten. Die Zuordnung abhänig vom Userprofile am RADIUS-Server.

mfg
Wolfgang Kiener

alf29 · Beitrag von **alf29** » 12 Sep 2005, 15:33

Moin,

Die VLAN-Attribute im RADIUS-Response werden weder
vom Client noch vom AP ausgewertet. Ich bin überhaupt
nicht sicher, ob das überhaupt ein AP tut - RADIUS wird ja
noch für mehr als nur EAP benutzt.

VLAN-Zuweisung geht nur für eine ganze SSID.

Gruß Alfred

wolkie · Beitrag von **wolkie** » 12 Sep 2005, 15:50

Funktionieren sollte das eigentlich schon, zumindest gibt es APs (Cisco, Wireless Virtuel Lan Debloyment Guide), die die Zuweisung von VLANs über RADIUS durchführen.

http://www.cisco.com/en/US/products/hw/ ... 444a1.html

Laut diessen Anleitung gibt es zwei Möglichkeiten VLANs vom RADIUS-Server zu kontrollieren:
1. Über mehere SSIDs, diese werden bei der Authentifizierun dem RADIUS-Server mitgeliefert. In der Userverwaltung ist dann festgelegt, welche SSIDs der User verwenden kann. Die Zuordnung zu den VLANs erfolgt durch das VLAN-Tagging am AP unabhängig vom RADIUS-Server.
2. In meinen ersten Thread erklärt, nun lege ich in der Userverwaltung nicht die dem USer zugehörigen SSIDs fest, sondern welches VLAN dem User zugordnet wird.

Bei der ersten Möglichkeit, weiss ich nicht wie die SSID vom AP aus der RADIUS-Request-Nachricht auslesen kann.
Bei der zweiten Möglichkeit, habe ich Probleme das Tagging auf dem AP richtig einzustellen.

Es sollte beides mit RADIUS + 802.1x + EAP funkionieren, zumindest steht das in den RFCs. Mein Problem ist die Konfiguration des Lancom L-54g.

Vielen Dank schon mal
Wolfgang Kiener

alf29 · Beitrag von **alf29** » 12 Sep 2005, 16:03

Moin,

Die RFCs habe ich sehr wohl gelesen, aber bitte nimm
für den Moment einfach hin, daß die Zuweisung in VLANs
bei LANCOM-APs im Moment einzig und allein aus dem
logischen Netz (d.h. der SSID) abgeleitet wird, an dem
sich der Client angemeldet hat. Es ist möglich, daß andere
APs da mehr können, aber bei LANCOM-APs ist dieses
Feature im Moment nicht implementiert. Das zu
implementieren wäre zwar nicht unmöglich, aber mit
einigem Aufwand in der LAN-Bridge verbunden, da die
Zugehörigkeiten von VLANs zu Ports (was in diesem Fall
die einzelnen SSIDs sind) auf einmal dynamisch wird und
nicht mehr statisch vorkonfiguriert werden kann.

Du bist ehrlich gesagt auch der erste Kunde, der so etwas
machen möchte...

Gruß Alfred