103928
Dec 13, 2011, updated at Oct 18, 2012 (UTC)
7847
6
1
DHCP einrichten? Subnetzmaske einrichten? DHCP zum vergeben der IPs multiplie SSID DHCP Vlan? 2te IP für den WAP, Anfrageparameter, Radius WPA2 Wlan Netgear n600 WDNR37000v2 mit ddwrt mit RAS Richtlinie über ActiveDir.
Allgemeine Angaben zu meinen Umgebung:
Ich habe einen Netgear n600 WDNR3700v2 mit dd wrt firmware als Access Point eingerichtet (später sollen das mehrere sein). Wir haben einen Windows Server 2003 und
über IAS habe ich Zugriffsrechte für eine bestimmte Gruppe aus dem Active Dir. erstellt (mit hilfe einer RAS-Richtline, die einer bestimmten Gruppe(Wlan-Mitarbeiter) aus dem AD, Wlan Zugriff erteilt).
Die Mitglieder der im AD erstellten Gruppe haben also Zugriff auf das Wlan, automatisch wenn Sie sich am PC mit Benutzername und pw anmelden. Das funktioniert auch sehr fix und ohne
Probleme und ohne weitere Einstellungen mit dem Radius, was ich nicht gedacht hätte. Ebenfalls funktioniert das ganze für eine Gäste W-lan , für gäste, die sich später auch per Benutzername und pw (wird dann denen erteilt) anmelden sollen, und auch dann erst zugriff kriegen aufs Wlan. das geschieht alles über Radius. Wir haben außerdem auch noch eine firewall.
Problem: Zur Sicherheit soll nun das ganze nicht über unseren Server1 laufen bzw oder irgendwie verchlüsselt sein. Es soll also ein 2. subnetzt erstellt werden und trotzdem soll das mit dem radius funktionieren. das zweite subnetzt ist dann für das gäste wlan. DHCP server soll auch ips richtig vergeben.
Die erste Überlegung war dem WAP 2 IP adressen zuzuteilen (wenn das bei dem dd wrt möglich ist?), damit die IP dann unter einer anderen Submaske läuft oder Ähnliches?!
Beim DHCP Server gibt es glaube ich ein Problem beim vergeben einer 2. IP an das WAP!? und zwar mit dem Roaming habe ich Probleme dann? wenn ich jetzt in einen anderen Raum gehe und der DHCP wieder eine neue Adresse vergibt.
Außerdem soll es ein Verfallsdatum der Passwörter bzw. Benutzernamen der Gäste geben, damit sich keiner hinterher nochmal irgendwie drauf kommen kann. Nicht über AD, sondern über
eine externe Datei sollen diese Benutzernamen und PW verwaltet werden über den Radius!? ist das möglich bei dem dd wrt!?
Wie ermöglicht man das vergeben des DHCP servers in der Radius Umgebung mit 2 Wlans(Wlan-Mitarbeiter, Wlan-Gäste), sodass die IPs richtig vergeben werden. (Welche Einstellungn sind auch im dd wrt des WAP nötig?)
Die wohl nicht so bevorzugte Überlegung war ein Virtuelles Lan zu erstellen damit man eine andere Subnetzmaske hat etc und der DHCP server dann einfach IPs vergeben kann!? und das ganze nicht über den Server1 läuft!?
Dazu müsste man auch dem Vlan sozusagen klar machen, dass nur die bestimmten in der SSID erlaubt ist und Zugriff hat!?
Wir haben außerdem eine Firewall über die auch verschiedene Konfigurationen gemacht werden könnten für das Problem mit dem DHCP bzw mit dem Subnetz!?
Ist meine Fragestellung für euch deutlich geworden!?
1.Im Grunde geht es mir darum dass ich 2 w lans habe einmal für mitarbeiter einmal für gäste und dass die Ips richtig vergeben werden, dass das 1. Wlan über unseren Server1 läuft
und das andere Wlan irgendwie über eine andere Subnetzmaske laufen soll, damit das wlan sicherer ist.
2. Das Problem mit dem DHCP und dem richtigen Vergeben der IPs.
3. Das Problem mit dem Verfallsdatum, dass über eine externe Datei geregelt werden soll.
Alles soll mit Radius laufen mit dd wrt firmware auf dem Netgear n600 WNDR3700v2
Welche Einstellungen brauche ich auf dem Windwos Server 2003(IAS,Zertifizierungstelle, AD, DHCP) bzw auf dem WAP(dd wrt) um das alles zu ermöglichen?
Dankeschön, wäre nett wenn ihr paar Tipps habt, falls Unklarheiten vorhanden sind melden!
ähnliches Thema: Gäste soll Benutzername und PW zugewiesen werden (z.B aus einer Excel Datei) Die können sich dann im Firmennetzwerk auch einloggen wie realisier ich das?
Beim DHCP Server gibt es glaube ich ein Problem beim vergeben einer 2. IP an das WAP!? und zwar mit dem Roaming habe ich Probleme dann? wenn ich jetzt in einen anderen Raum gehe und der DHCP wieder eine neue Adresse vergibt.
Außerdem soll es ein Verfallsdatum der Passwörter bzw. Benutzernamen der Gäste geben, damit sich keiner hinterher nochmal irgendwie drauf kommen kann. Nicht über AD, sondern über
eine externe Datei sollen diese Benutzernamen und PW verwaltet werden über den Radius!? ist das möglich bei dem dd wrt!?
Wie ermöglicht man das vergeben des DHCP servers in der Radius Umgebung mit 2 Wlans(Wlan-Mitarbeiter, Wlan-Gäste), sodass die IPs richtig vergeben werden. (Welche Einstellungn sind auch im dd wrt des WAP nötig?)
Die wohl nicht so bevorzugte Überlegung war ein Virtuelles Lan zu erstellen damit man eine andere Subnetzmaske hat etc und der DHCP server dann einfach IPs vergeben kann!? und das ganze nicht über den Server1 läuft!?
Dazu müsste man auch dem Vlan sozusagen klar machen, dass nur die bestimmten in der SSID erlaubt ist und Zugriff hat!?
Wir haben außerdem eine Firewall über die auch verschiedene Konfigurationen gemacht werden könnten für das Problem mit dem DHCP bzw mit dem Subnetz!?
Ist meine Fragestellung für euch deutlich geworden!?
1.Im Grunde geht es mir darum dass ich 2 w lans habe einmal für mitarbeiter einmal für gäste und dass die Ips richtig vergeben werden, dass das 1. Wlan über unseren Server1 läuft
und das andere Wlan irgendwie über eine andere Subnetzmaske laufen soll, damit das wlan sicherer ist.
2. Das Problem mit dem DHCP und dem richtigen Vergeben der IPs.
3. Das Problem mit dem Verfallsdatum, dass über eine externe Datei geregelt werden soll.
Alles soll mit Radius laufen mit dd wrt firmware auf dem Netgear n600 WNDR3700v2
Welche Einstellungen brauche ich auf dem Windwos Server 2003(IAS,Zertifizierungstelle, AD, DHCP) bzw auf dem WAP(dd wrt) um das alles zu ermöglichen?
Dankeschön, wäre nett wenn ihr paar Tipps habt, falls Unklarheiten vorhanden sind melden!
ähnliches Thema: Gäste soll Benutzername und PW zugewiesen werden (z.B aus einer Excel Datei) Die können sich dann im Firmennetzwerk auch einloggen wie realisier ich das?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 177650
Url: https://administrator.de/contentid/177650
Printed on: April 19, 2024 at 05:04 o'clock
6 Comments
Latest comment
Bevor man ins Eingemachte geht findest du hier einige grundlegende Antworten auf deine Fragen:
Hotspot mit Einmal Passwort Login:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Radius Security:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
VLANs mit WLAN ESSID (Multi SSID)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Generell ist so ein Standard Szenario wie deins oben problemlos umzusetzen.
Hotspot mit Einmal Passwort Login:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Radius Security:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
VLANs mit WLAN ESSID (Multi SSID)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Generell ist so ein Standard Szenario wie deins oben problemlos umzusetzen.
kann es sein das das hier auch meine lösung ist zu dem dhcp und multiplie ssid auf ner anderen subentzmaske?
http://www.youtube.com/watch?v=28iuGZxoV3Y&feature=related
http://www.youtube.com/watch?v=28iuGZxoV3Y&feature=related
muss man unbedingt dieses Monowall Derivat pFsense um den Gastzugang benutzen ?
Gibt es da nicht einfach die Möglichkeit einen neuen Benutzername mit Kennwort im AD immer automatisch einzurichten anhand einer Datei (mit Verfallszeit der Passwörter) ?
Gibt es da nicht einfach die Möglichkeit einen neuen Benutzername mit Kennwort im AD immer automatisch einzurichten anhand einer Datei (mit Verfallszeit der Passwörter) ?
Nein, mann kann sowohl Monowall oder pfSense einsetzen oder auch Zeroshell. Besser sind die beiden ersteren, da die auch eine Einmal Passwort Option bieten für Gäste (Vouchers) !!
Das mit einem AD zu machen wäre völliger Unsinn, denn Gäste sind ja keine permanenten User. Besser sind hier immer Einmal Passwörter.
Du kannst mehrere davon auf Monowall/pfSense generieren und dann fertig ausdrucken mit den im Tutorial zum Download beschriebenen Excel Tool. Technisch die beste Lösung für Gäste.
Wenn die beiden FWs auch noch auf einen kleinen Appliance laufen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
ist das eine rundum saubere und gute Lösung.
Das mit einem AD zu machen wäre völliger Unsinn, denn Gäste sind ja keine permanenten User. Besser sind hier immer Einmal Passwörter.
Du kannst mehrere davon auf Monowall/pfSense generieren und dann fertig ausdrucken mit den im Tutorial zum Download beschriebenen Excel Tool. Technisch die beste Lösung für Gäste.
Wenn die beiden FWs auch noch auf einen kleinen Appliance laufen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
ist das eine rundum saubere und gute Lösung.
Okay dankeschön, wir haben jedoch schon eine andere Firewall, / Firebox, stört das in irgendeiner Hinsicht wenn man nun auch noch die Monowall bzw pfSense dazu tut?!? oder hat das keinen Einfluss bzw damit nix zu tun?!
Nein das stört nicht und man kann diese problemlos dazustellen.
Auf die richtige IP Adressierung sollte man aber achten...klar !
Auf die richtige IP Adressierung sollte man aber achten...klar !
