felixcc
Goto Top

Über WLAN mit RADIUS in VLAN mit Zugriff auf Kabelgebundenes Netzwerk

Hallo Zusammen,

nach langer Recherche über RADIUS-Server bin ich des öfteren über dieses Board gestolpert.
Da ich eine Lösung auf meine Fragestellung nicht finden konnte, hoffe ich nun, dass ihr -wie mir scheint- sehr kompetenten Mitglieder mir ein wenig helfen könnt.

Ich habe sowohl die Boardsuche, als auch Google bereits bemüht, konnte allerdings keine Lösungen für mein Problem finden.
Das könnte allerdings auch dran liegen, dass ich mich auf diesem Bereich so gut wie garnicht auskenne und deswegen vielleicht nach den falschen Begriffen gesucht habe.
Sollte dieses Thema also schon angesprochen worden sein, würde ich mich über einen Link dorthin sehr freuen.
Ansonsten bin ich natürlich über jeden hilfreichen Hinweis dankbar!!


So, nun kommen wir mal zu meinem Problem.
Ich bin auf der Suche nach einer sicheren Lösung für folgende Anforderungen:
1) sicheres WLAN
2) weiträumige Abdeckung von WLAN
3) Zugriff von festgelegten Geräten (2-5 Stück) über das WLAN auf einen mit Kabel verbunden PC
4) Andere Geräte (ca. 50 oder mehr) dürfen auf keinen Fall Zugriff auf diesen PC bekommen und nutzen WLAN nur, um in das Internet zu kommen.

Das ist mal ganz grob zusammengefasst die Anforderung.
Ich habe mir dazu folgendes überlegt.
1) WPA2-Verschlüsselung, da viele Endgeräte im Spiel sind mit RADIUS-Server.
2) mehrere APs mit Lankabel über Switch verbunden (Netzplan weiter unten im Beitrag)
3/4) VLANs für die beiden Benutzergruppen einrichten.

Ich habe leider momentan kein Visio oder ähnliches zur Verfügung und versuche deshalb den Plan hier recht einfach zu skizzieren.

- - - - = Lankabel
) ) ) ) = WLAN-Verbindung


_ _ _ _ AP2 ) ) ) ) ) ) Laptop3
|
|
Switch - - - - - - - - - - RADIUS-Server
| | |- - - - - - - - - - - - Router ? - - - - - Internet?
| | - - - - - - - - PC1
|
AP3 ) ) ) ) ) Laptop2
) ) ) ) ) ) ) Laptop 1

Ich werde wohl einige APs mehr benötigt, aber fürs Prinzip sollte die Zeichnung genügen.
Die Sache mit dem Internet ist mir nicht ganz so wichtig.
Wichtig ist folgende Sache:
- Laptop2 soll nach der Authentifizierung über RADIUS eine sichere Verbindung zu PC1 bekommen, eine Verbindung zu anderen Geräten im Netztwerk ist nicht erwünscht.
- Laptop 1 und 3 hingegen, sollen sich auch Authentifizieren können und den Zugriff auf das WLAN gestattet bekommen, sie sollen allerdings nichts von PC1 oder Laptop3 mitbekommen. Eine Internetverbindung für diese beiden Laptops wäre optional (ist wie gesagt aber nicht ganz so wichtig)


Für den RADIUS-Server habe ich FreeRadius gefunden, was mir sehr gut gefällt (Ich hab aber noch keinerlei Erfahrung auf diesem Gebiet.)
Die APs müssen hierzu auch RADIUS-FÄHIG sein und werden als Radius-Clients eingetragen. Soviel ist mir auch schon klar.
Ich weiß auch, dass man im Radius-Server nun konfigurieren kann welcher Benutzer in welches VLan gesteckt wird.
Prinzipiell ist mir also die Vorgehensweise klar, wie ich mein Problem lösen könnte, wenn der PC über einen AP verbunden wäre.

Wie ist es nun aber mit einem lokal im Netz angeschlossenen PC. Geht das überhaupt, neben den APs einen PC anzuschließen?
Wenn nein, wie muss ich es dann machen und wenn ja, wie bekomme ich es dann hin, dass er im gleichen VLan landet wie der Laptop2 und auf garkeinen Fall von den anderen Geräten auf ihn zugegriffen werden kann?
Wo müsste ich denn hier Firewalls richtig einsetzen?
Ist das Konzept, so wie ich es mir überlegt hab überhaupt möglich?


So viele Fragen... ich hoffe ihr könnt mir helfen!
Vielen Dank

Felixcc

Content-Key: 159981

Url: https://administrator.de/contentid/159981

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: aqui
aqui 02.02.2011, aktualisiert am 18.10.2012 um 18:45:43 Uhr
Goto Top
Dieses Tutorial hast du gelesen ??

Sichere 802.1x WLAN-Benutzer Authentisierung über Radius

In Kombination mit:

VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

ist die Umsetzung deines Vorhabens ein Kinderspiel....
Mitglied: felixcc
felixcc 07.02.2011, aktualisiert am 18.10.2012 um 18:45:46 Uhr
Goto Top
Vielen Dank für die schnelle Antwort.

Ich habe mich jetzt überall durchgearbeitet und mir ist zusammen mit diesem Artikel:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
das Funktionsprinzip klargeworden.
Leider habe ich noch keine Hardware da, um zu testen....

Nur noch eine kleine Frage:
In einem wie oben beschriebenen Netzt mit 802.1x Authentifizierung, ist da WLAN-Roaming möglich, bzw was muss ich beachten um eine Neuanmeldung an jedem AP zu vermeiden?
Mitglied: aqui
aqui 07.02.2011 um 21:38:40 Uhr
Goto Top
Das ist mit Konsumer standalone APs nicht zu machen ohne Neuanmeldung. Alternative ist du benutzt Zertifikate zur Anmeldung dann musst du nix eintippen.
Ansonsten geht das nur mit Roaming fähigen oder Controller basierten APs...die dann aber etwas teuerer sind face-sad
Mitglied: felixcc
felixcc 08.02.2011 um 13:40:18 Uhr
Goto Top
Vielen Dank für deine schnelle und informative Antwort, aqui.

Meinst du mit Zertifikat-basierende Anmeldung z.B. Authentifizierung über EAP-TLS oder verwechsel ich da jetzt etwas?
Was wäre denn die aktuellste und sicherste Möglichkeit eine solche zertifizierte Authentifizierung zu realisieren? EAP-TTLS?

Wird dabei Roaming unterstützt oder kommt es dem Benutzer nur so vor, weil er von der Neuanmeldung nichts mitbekommt?
Prinzipiell müsste es möglich sein, eine VNC-Verbindung ohne Verbindungsabbruch aufrecht zu erhalten, wenn der ClientPC sich frei zwischen den APs bewegt.

Das ganze sollte den höchstmöglichen aktuellen Sicherheitsmaßnahmen gerecht werden.
Ist bei einer RADIUS-Authentifizierung fürs WLAN noch ein VPN-Tunnel zwischen dem VNC-Server und VNC-Client zu empfehlen?
Mitglied: aqui
aqui 08.02.2011, aktualisiert am 18.10.2012 um 18:45:47 Uhr
Goto Top
Zu deinen obigen Fragen siehe dies Tutorial:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Dort ist die Zertifikats Variante detailiert erklärt !
Ein wirkliches Roaming gibt es bei Konsumer APs nicht, deshalb kommt es dem Nutzer nur so vor, da er kein Passwort eingeben muss. Einen kleinen Hänger wirst du also immer haben.
Zudem kommt es auf dein Client Roaming Verhalten an im Treiber des Rechners. Die meisten Billigchipsätze wie Realtek, Ralink und Co. sind da wirklich mies. Die roamen erst wenn wenn die Bandbreite unter 1 oder 2 Mbit sinkt und der andere AP schon um die Ecke ist.
Bessere Clients wie die von Atheros und Intel bieten in den Treiber Settings oft den Button "Agressive Roaming" den man immer aktivieren sollte wenn ein schnelles Roaming erforderlich ist.
Leider ist das komplett Client abhängig wenn du keine Controller basierende WLAN Lösung hast !
VNC ist schon verschlüsselt allerdings hängt der Grad der Verschlüsselung von der verwendeten Version ab zu der du leider nix sagst face-sad
http://de.wikipedia.org/wiki/Virtual_Network_Computing
Letztlich ist damit dann kein Tunnel notwendig aber mit einem entsprechend sicher verschlüsselten VPN ist es dann absolut wasserdicht. Muss aber nicht unbedingt sein.
Mitglied: felixcc
felixcc 08.02.2011 um 16:03:34 Uhr
Goto Top
Lieber aqui,

schon wieder so schnell so gut geholfen!!!
Vielen Dank dafür!!

Ich kann weder zu der verwendeten VNC-Version noch zu der verwendeten Hardware Aussagen treffen, da sie noch garnicht angeschaft worden sind.
Bzw Es wird das beschafft, was die Anforderungen erfüllen kann.


Soweit ist dann alles klar,
ich danke die sehr für deine kompetente und qualifizierte Hilfe!