L-321agn mit drei verschiedenen Netz-Arten

LL0rd · Beitrag von **LL0rd** » 04 Sep 2010, 17:27

Hallo,

ich wollte mal nachfragen, ob wo eine Konfiguration mit dem L-321agn möglich ist:

Im Grunde haben wir drei Nutzungsarten des WLAN Netzwerks. Zum einen sind es berechtigte Personen, die auf das gesamte Netzwerk samt Server und Internet zugreifen dürfen. Authentifizierung erfolgt per 802.1X (derzeit mit Radius). Wichtig ist, dass man einzelne Zugänge schnell sperren kann.

Dann gibt es Geräte, die 802.1X nicht unterstützen. Fernseher, WLAN Telefone und anderes Zeugs. Dieses Zeug darf auf das Internet zugreifen, aber nicht auf das Netzwerk. Derzeit haben wir hierfür einen zweiten AP mit WPA2 Verschlüsselung.

Und zu guter letzt soll es ein "HotSpot" artiges WLAN geben, bei dem man Gast-Zugänge einrichten können soll. Die Gäste haben die gleichen Rechte, wie Fernseher

VLAN Fähige Switches und Router sind vorhanden. VLANs wurden bisher aber noch nicht benötigt.

Kann mir jemand sagen, ob alle die drei Funktionen ein L-321agn abdecken kann? Thx!

Jirka · Beitrag von **Jirka** » 05 Sep 2010, 13:00

Hallo LL0rd,

Du hast nicht geschrieben, wie oder in welcher Art und Weise die Gast-Zugänge eingerichtet werden sollen. Wenn es professioneller sein soll/muss, benötigt man da noch die Public-Spot-Option. Aber ansonsten kannst Du die Funktionalitäten problemlos mit einem LANCOM-AP abdecken.

Viele Grüße,
Jirka

LL0rd · Beitrag von **LL0rd** » 05 Sep 2010, 13:07

Hallo Jirka,

also mir ist es eigentlich "egal", wie ich die Zugänge einrichte. Wichtig ist mir nur, dass die Gäste nicht auf das Hauptnetz zugreifen können. Da es recht selten vorkommen wird, dass man Gäste-Zugänge einrichtet, darf es schon etwas aufwändiger sein. Gäste dürften dann nur auf das Internet, um mal Mails abzurufen, etc. Nur muss man die Zugänge zur Not sperren können, ohne dass andere Gäste betroffen betroffen werden.

Jirka · Beitrag von **Jirka** » 05 Sep 2010, 13:25

Hallo LL0rd,

jo, das ist kein Problem. Du kannst die WLAN-Nutzer (und damit auch die Gäste) problemlos in der Stationen-Tabelle verwalten.

Viele Grüße,
Jirka

LL0rd · Beitrag von **LL0rd** » 05 Sep 2010, 13:32

Ich danke dir. Mir ist momentan zwar noch nicht ganz klar, wie ich die Benutzer voneinander trennen kann. Wahrscheinlich mit einem VLAN. Ich habe mir jetzt erstmal das AP bestellt. Ich denke, ich werde es schon "sehen" wenn ich das AP in Betrieb nehme.

Jirka · Beitrag von **Jirka** » 05 Sep 2010, 13:42

Hallo LL0rd,

die verschiedenen Netze zu trennen wird an der (gemeinsamen) LAN-Schnittstelle wohl am einfachsten per VLAN sein, ja. Es gäbe aber auch andere Möglichkeiten (Routing einrichten mit Firewall-Regeln z. B., oder irgendwas über den WLAN-Protokoll-Filter).

Viele Grüße,
Jirka

LL0rd · Beitrag von **LL0rd** » 09 Sep 2010, 21:07

Ich brauche dann doch etwas Hilfe. Ich versuche gerade die Authentifikation mit einem Radius Server einzurichten.

Ich habe unter RADIUS-Server unter Clients die IP Adresse des AP im Netzwerk eingetragen und ein Secret vergeben. Dann habe ich einen User angelegt.

Dass der Login funktioniert, habe ich getestet:

Code: Alles auswählen

Sierra ~ # radtest dr *** 10.2.0.240 10 ***
Sending Access-Request of id 183 to 10.2.0.240 port 1812
        User-Name = "dr"
        User-Password = "***"
        NAS-IP-Address = 10.2.0.200
        NAS-Port = 10
rad_recv: Access-Accept packet from host 10.2.0.240 port 1812, id=183, length=20

Dann habe ich unter Wireless-LAN -> 802.1X unter Radius Server, den Radius eingetragen und unter 802.11i/WEP für das entsprechende WLAN Netz die Einstellungen gesetzt. (siehe Bild im Anhang)

Wenn ich mich jetzt aber versuche im WLAN einzuloggen, funktioniert es nicht. Der Syslog Server sagt, dass der Login vom Radius Server abgelehnt wurde. Woran kann das denn liegen?

Code: Alles auswählen

09-09-2010	20:54:48	Auth.Warning	10.2.0.240	CONN-LOGIN_WARNING: sent RADIUS reject for user id 'dr' to 10.2.0.240

[

alf29 · Beitrag von **alf29** » 10 Sep 2010, 08:13

Moin,

Auch wenn Deine Clients PEAP oder TTLS als EAP/802.1x-Methode nutzen und
sich dabei mit Benutzernamen und Paßwort anmeldne, brauchst Du auf der Server-Seite
(also im RADIUS-Server im LANCOM) noch Zertifikate - der RADIUS-Server authentisiert
sich gegenüber Clients über ein Zertifikat. Minimal brauchst Du ein Root-CA-Zertifikat
(das Du nachher auf den Clients importierst) und ein Gerätezertifikat für den RADIUS-Server.
Das Erzeugen der Zertifikate kann man z.B. mit XCA machen, das hat auch die Möglichkeit,
das Zertifikat für den RADIUS-Servver samt CA-Zertifikat und privatem Schlüssel als
PKCS12-Container zu exportieren, den man direkt ins LANCOM laden kann.

Beachte weiterhin, daß der RADIUS-Server im LCOS ein Problem bei der Verwendung von
PEAP mit Microsoft-Clients hat. Dieses Problem wird mit dem nächsten 8.00er-Release-
Update hoffentlich gelöst sein.

Gruß Alfred

LL0rd · Beitrag von **LL0rd** » 10 Sep 2010, 09:05

Hallo Alfred,

ich danke dir für die Antwort. Nachdem ich das Posting abgeschickt habe, habe ich einfach mal ausprobiert, einen freeRadius Server einzutragen. Und schon hat der Login funktioniert. Ich kann leider nicht ausprobieren, ob sich MS Clients einloggen können, da hiermomentan nur Mac Clients unterwegs sind. Aber dann würde ich erstmal die Login Verwaltung auf einem Radius Server belassen.

Ich habe jetzt noch kurz eine andere Frage. Jirka hat geschrieben, dass man Netze auch per eingebauter Firewall im AP voneinander trennen kann. Aber wie kann ich denn in den Firewall Regeln die WLAN Netze unterscheiden?

backslash · Beitrag von **backslash** » 10 Sep 2010, 12:29

Hi LL0rd

Ich habe jetzt noch kurz eine andere Frage. Jirka hat geschrieben, dass man Netze auch per eingebauter Firewall im AP voneinander trennen kann. Aber wie kann ich denn in den Firewall Regeln die WLAN Netze unterscheiden?

das funktioniert nur, wenn du im LAN und im WLAN unterschiedliche Netze hast und zwischen diesen routest - dann kannst du das WLAN-Netz ganz einfach anhand der verwendeten IP-Adressen vom LAN-Netz unterscheiden...

Gruß
Backslash