1906VA WLAN mittels 802.11i -

Allgemeine Fragen zu Themen die sonst nirgendwo passen

Moderator: Lancom-Systems Moderatoren

Antworten
RaBu78
Beiträge: 19
Registriert: 30 Jul 2019, 14:09

1906VA WLAN mittels 802.11i -

Beitrag von RaBu78 »

Guten Tag,

wir haben hier ein 1906VA mit WLC Option und 3 APs LX6400. Wir haben ein WLAN für die Firma eingerichtet mit dem wir auf auch auf unser LAN zugreifen können. Dieses wird aktuell mittels 802.11i (WPA)-802.1x und dem LANCOM integrierten RADIUS Server bewerkstelligt und funktioniert somit mit Benutzername+Kennwort soweit.

Jetzt ist es allerdings so, dass ich nicht möchte, dass die Leute ihre privaten Smartphones auch in das WLAN Netz einloggen. Aus diesem Grund würde ich gerne zu der Option 802.1x die "MAC-Filterung" in der SSID aktiveren. Leider greift diese nicht wenn man die Option "802.11i (WPA)-802.1x" in der WLAN Verschlüsselung ausgewählt hat.

Wenn ich die Verschlüsselung auf "802.11i (WPA)-PSK" setze, dann funktioniert der MAC-Filter ohne Probleme. Nur dann gibt es für das WLAN nur ein einziges Kennwort und nicht mehr wie bisher pro Benutzer - dieses ist auch nicht gewünscht.

Gibt es evtl. noch eine Möglichkeit nur gewünschte Endgeräte zulassen zu können und zudem 802.1x nutzen zu können?

Schöne Grüße

Rainer
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: 1906VA WLAN mittels 802.11i -

Beitrag von 5624 »

Schau dir mal LEPS an, und zwar die MAC-basierte Variante. Damit kannst du pro MAC einen PSK erstellen.

Ich denke mal, dass der RADIUS-Server im LCOS damit überfordert ist. Der ist nur für einfachste Szenarien gedacht.
LCS NC/WLAN
RaBu78
Beiträge: 19
Registriert: 30 Jul 2019, 14:09

Re: 1906VA WLAN mittels 802.11i -

Beitrag von RaBu78 »

Moin,

vielen Dank. Damit kann ich genau das umsetzen, was wir benötigen. Zwar fällt dafür 802.1x weg aber so finde ich es noch schöner.

Schöne Grüße

Rainer
Benutzeravatar
rotwang
Beiträge: 140
Registriert: 04 Jun 2021, 22:01

Re: 1906VA WLAN mittels 802.11i -

Beitrag von rotwang »

Moin,
Ich denke mal, dass der RADIUS-Server im LCOS damit überfordert ist. Der ist nur für einfachste Szenarien gedacht.
Ich denke nicht, daß es eine Einschränkung des RADIUS-Servers ist, wenn die MAC-Adressprüfung nicht zusammen mit 802.1X funktioniert. Der RADIUS-Server ist ein Server, der nur antwortet, wenn man ihn fragt, und wenn bei 802.1X der (LX-)AP den RADIUS-Server nicht fragt, ob eine MAC-Adresse gülitig ist, dann ist das erstmal ein Thema auf dem AP. Ich habe in der Vergangenheit auf LCOS-APs mehrfach 802.1X und MAC-Filter miteinander kombiniert, das ging ohne Probleme. Hier haben vermutlich die LX-Entwickler eine andere Design-Entscheidung getroffen, und das kann man durchaus nachvollziehen, wenn man betrachtet, wie sich das Feature über die Jahre gewandelt hat.

In der Anfangszeit von WLAN, als es nur WEP-Verschlüsselung gab, galten MAC-Filter noch als ein Sicherheits-Feature, um den Zugang zu einem WLAN zu beschränken. Die ersten LCOS-APs sind in der Zeit entstanden, und deshalb ist die MAC-Prüfung bei den LCOS-APs orthogonal zu der verwendeten Verschlüsselungsmethode. Irgendwann um 2004 kam dann WPA hinzu und bei den MAC-Filtern die Option, zusammen mit der "MAC-Adresse ist erlaubt"-Antwort auch noch optional eine Passphrase mitzugeben - das wurde dann LEPS und noch später LEPS-U.

Mit der Zeit hat man aber gelernt, daß MAC-Filter kein wirksamer Schutz sind, weil MAC-Adressen sich auf den Clients meist ohne Probleme verändern lassen, und der eigentliche Zugangsschutz an einer (wirksamen) Verschlüsselung hängt. Mit dem Verschwinden von WEP ist die Schutzfunktion bei den MAC-Filtern in den Hintergrund getreten. Die wurden ab dann eher als eine "Client-Datenbank" gesehen, wo man zu einer MAC-Adresse bestimmte Daten, wie eine individuelle Passphrase oder ein VLAN abrufen kann. Bei WPA/802.1X gibt es aber gar keine Passphrase, und ein Client-spezifisches VLAN übermittelt der RADIUS-Server im 1X-Accept auch bereits mit. Von dem Hintergrund ist die Entscheidung bei den LX-Entwicklern vermutlich dahingehend ausgefallen, daß man MAC-Filter bei 802.1X nicht braucht. Das kann man jetzt gut finden oder nicht, aber es es ist eine Design-Entscheidung, die man vertreten kann. Vieles bei den LCOS-APs ist auch einfach so, weil es über 20 Jahre historisch gewachsen ist. Wenn man heute noch einmal auf einem "leeren Blatt" anfangen könnte, würde man es auch anders angehen.

Ich weiß jetzt nicht, welche 802.1X/EAP-Methode verwendet wurde, aber es gibt auch da prinzipiell eine Möglichkeit, die MAC-Adresse zu prüfen. Der AP übermittelt bei (1X-)Anfragen an den RADIUS-Server die MAC-Adresse des Clients im Attribut "Calling-Station-ID" mit, als String im Format AA-BB-CC-DD-EE-FF. Der RADIUS-Server im LCOS hat die Möglichkeit, das Attribut bei der Prüfung gegen die Benutzertabelle mit einzubeziehen. Falls als EAP-Methode PEAP verwendet wird, also Client-Authentisierung mit Benutzername und Paßwort, dann trägt man diesen MAC-Adress-String einfach mit in das Feld "Calling-Station-Id-Mask" ein. Der Eintrag in der Benutzertabelle matcht dann nur, wenn auch die Calling-Station-Id paßt. Im Default ist das Feld leer, so daß die Calling-Station-Id nicht beachtet wird. Falls EAP/TLS verwendet wird, also individuelle Client-Zertifikate, dann wird die Sache etwas komplizierter, dann muß man dem LCOS-RADIUS-Server erstmal sagen, daß er den CN im Client-Zertifikat gegen die RADIUS-Benutzertabelle prüfen soll, damit überhaupt auf die Benutzertabelle zugegriffen wird.

Ich hoffe jedenfalls, die LX-Entwickler haben sich an den RFC gehalten, der dieses Format für die MAC-Adresse vorgibt. Falls nicht, müßte man mal im RADIUS-Trace schauen, was der LX-AP als Calling-Station-Id übermittelt.
Antworten