6
Access Point für 802.1X Authentifizierung
Hallo, ich hoffe mir kann hier jemand helfen.
Und zwar studiere ich momentan an einer Universität, und nutze in meiner Wohnung deren Netzwerk. Leider ist das ein Altbau, und es gibt nur LAN. Nun möchte ich und mein Mitbewohner einen WIFI Access Point daran anschließen. Als ich meinen Laptop zum ersten Mal mit dem LAN Kabel dort verbunden habe, musste ich an meinem PC bei den Einstellungen ein Häkchen bei 802.1x Authentifizierung setzen und mich authentifizieren. Danach habe ich mir von AVM einen WIFI Repeater gekauft. Zu unserem Bedauern, mussten wir feststellen dass dieses Gerät mit 802.1X nicht funktioniert. Nun wollte ich wissen ob das grundsätzlich nicht möglich ist, oder ob wir einfach ein anderes Gerät brauchen mit dem wir das WIFi erzeugen.
Ich hoffe mir/uns kann jemand helfen.
Und zwar studiere ich momentan an einer Universität, und nutze in meiner Wohnung deren Netzwerk. Leider ist das ein Altbau, und es gibt nur LAN. Nun möchte ich und mein Mitbewohner einen WIFI Access Point daran anschließen. Als ich meinen Laptop zum ersten Mal mit dem LAN Kabel dort verbunden habe, musste ich an meinem PC bei den Einstellungen ein Häkchen bei 802.1x Authentifizierung setzen und mich authentifizieren. Danach habe ich mir von AVM einen WIFI Repeater gekauft. Zu unserem Bedauern, mussten wir feststellen dass dieses Gerät mit 802.1X nicht funktioniert. Nun wollte ich wissen ob das grundsätzlich nicht möglich ist, oder ob wir einfach ein anderes Gerät brauchen mit dem wir das WIFi erzeugen.
Ich hoffe mir/uns kann jemand helfen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 302499
Url: https://administrator.de/contentid/302499
Printed on: April 19, 2024 at 15:04 o'clock
6 Comments
Latest comment
musste ich an meinem PC bei den Einstellungen ein Häkchen bei 802.1x Authentifizierung setzen und mich authentifizieren.
Klassische und simple Port Authentisierung bei Netzwerken über Radius. Guckst du hier:Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Kennt jeder Netzwerker...
Zu unserem Bedauern, mussten wir feststellen dass dieses Gerät mit 802.1X nicht funktioniert.
Weis man mit gesundem Menschenverstand aber eigentlich auch vorher wenn man mal ins Datenblatt sieht BEVOR man Geld zum Fenster rausschmeisst ! Und das als Uni Student...ohne Worte.Abgesehen davon ist ein WLAN Repeater auch das technisch falsche Gerät. Sinnvoll wäre hier ein einfacher WLAN Access Point gewesen:
Kopplung von 2 Routern am DSL Port
WLAN Repeating ist da vollkommen falsch und technsich auch die schlechteste Lösung überhaupt.
Einfaches Fazit: Die AVM Gurke kann das natürlich nicht. Sowas ist billige Consumer Ware für Oma Gretes Wohnzimmer.
Beschaff dir einen kleinen AP der eine 802.1x Authentisierung am LAN Port supportet.
Ein einfacher WRT54 mit DD-WRT oder alles was DD-WRT supportet kann das z.B.. Ein kleiner Mikrotik WLAN Router ebenfalls. Es gibt diverse Geräte am Markt die das können.
Alternativ kannst du einen kleinen Switch nehmen, der an seinen Ports 802.1x Client Authentisierung supportet.
Der "öffnet" dir dann das Uni Netz auf dem Port wo du ihn anschliesst und "schleust" dann allen Traffic von seinen anderen Ports durch. Ein Cisco SG-200-8 kann sowas z.B.
Allerdings mit der Einschränkung das die Uni IT Abteilung die .1x Mac Authentisierung ggf. aktiviert hat, dann wird jede Mac Adresse die ins Uni Netz will mit .1x authentisiert und dann nützt dir das auch nicht.
Kann also auch sein das das trotz .1x dann nicht hilft je nachdem wie wasserdicht die Uni Informatiker die LAN Port Authentisierung konfiguriert haben.
Es bleibt also ein Restrisiko und besser ist es du informierst dich vorher um nicht wieder Geld in den Sand zu setzen.
1
Ja leider studieren nicht alle Studenten IT :D
Ich hörte da zum ersten Mal von 802.1x. Dachte immer ein LAN Port kann nicht gesichert sein. Nun aber egal, vielen Dank für die Top Antwort.
Bei den Datenblätter steht nie 802.1x sondern WPA Enterprise, ist das sozusagen 802.1x?
Jetzt habe ich das so verstanden, auch wenn der WIFI Access Point mir das Netzwerk öffnet, wenn aber mein Handy und Laptop zugreifen "kann" es sein das nur eine "MAC Adresse" angenommen wird? Gibt es eine Möglichkeit ein Gerät an die Netzwerkdose anzuschließen welches eine neue MAC Adresse generiert und dem UNI Server vorgaukelt es ist nur ein Gerät vorhanden obwohl dahinter noch weitere hängen. Probieren würde ich es erstmal mit einem DD-WRT Gerät, wenn ich dann sehe das nur eine MAC Adresse geht, ob ich dann wie oben beschrieben etwas dazu konfigurieren kann.
Das ist der beschriebene Router? Welcher 802.1x kann?
Linksys-WRT54GL-EU
Ich hörte da zum ersten Mal von 802.1x. Dachte immer ein LAN Port kann nicht gesichert sein. Nun aber egal, vielen Dank für die Top Antwort.
Bei den Datenblätter steht nie 802.1x sondern WPA Enterprise, ist das sozusagen 802.1x?
Jetzt habe ich das so verstanden, auch wenn der WIFI Access Point mir das Netzwerk öffnet, wenn aber mein Handy und Laptop zugreifen "kann" es sein das nur eine "MAC Adresse" angenommen wird? Gibt es eine Möglichkeit ein Gerät an die Netzwerkdose anzuschließen welches eine neue MAC Adresse generiert und dem UNI Server vorgaukelt es ist nur ein Gerät vorhanden obwohl dahinter noch weitere hängen. Probieren würde ich es erstmal mit einem DD-WRT Gerät, wenn ich dann sehe das nur eine MAC Adresse geht, ob ich dann wie oben beschrieben etwas dazu konfigurieren kann.
Das ist der beschriebene Router? Welcher 802.1x kann?
Linksys-WRT54GL-EU
Nur ein Kommentar von mir zu der Geschichte:
Für solch eine Aktion kannst du von der Uni fliegen! Egal wie du das Signal verstärken willst oder es weiterleitest, es ist ein Eingriff in die Netzstruktur und somit keine Kleinigkeit. Du könntest ohne wissen das gesamte Netzwerk lahmlegen. Ich weiß, das bei uns an der FH genau nach solchen Geräten gescannt wird und wenn's raus kommt wird's richtig eng.
Ich wäre bei so etwas immer vorsichtig.
Für solch eine Aktion kannst du von der Uni fliegen! Egal wie du das Signal verstärken willst oder es weiterleitest, es ist ein Eingriff in die Netzstruktur und somit keine Kleinigkeit. Du könntest ohne wissen das gesamte Netzwerk lahmlegen. Ich weiß, das bei uns an der FH genau nach solchen Geräten gescannt wird und wenn's raus kommt wird's richtig eng.
Ich wäre bei so etwas immer vorsichtig.
Ich glaube meine Frage wurde so nicht geklärt, brauche keinen Rechtsbeistand der mir die Regeln meiner Uni erklärt. Diese genehmigt das ganze solange es verschlüsselt ist und ausschließlich von eigenen Geräten verwendet wird! Immer solche unnötigen Kommentare.
Moin,
das was du brauchst ist eine 802.1x Auth auf dem WAN-Port nicht deines Access-Points selber, denn die UNI hat ja den Zugang dadurch abgesichert.
Also, schnapp dir eine pfSense und richte die Authentifizierug auf dem WAN-Port derer ein, Beispiel-Config für wpa_supplicant findest du hier:
https://m.reddit.com/r/PFSENSE/comments/2n41pk/wan_authentication_with_8 ...
Je nach eingesetztem Verfahren (MSChapv2/PEAP/etc.) natürlich anzupassen!
Gruß jodel32
das was du brauchst ist eine 802.1x Auth auf dem WAN-Port nicht deines Access-Points selber, denn die UNI hat ja den Zugang dadurch abgesichert.
Also, schnapp dir eine pfSense und richte die Authentifizierug auf dem WAN-Port derer ein, Beispiel-Config für wpa_supplicant findest du hier:
https://m.reddit.com/r/PFSENSE/comments/2n41pk/wan_authentication_with_8 ...
Je nach eingesetztem Verfahren (MSChapv2/PEAP/etc.) natürlich anzupassen!
Gruß jodel32
Dachte immer ein LAN Port kann nicht gesichert sein.
Als Student lernt man doch: Nicht denken, sondern nachdenken !!Da kann man dann nur dich selber zitieren: "Ja leider studieren nicht alle Studenten IT". Dann kann das schon mal passieren das Ur- und Frühgeschichtler oder Altphilologen in Admin Foren darüber schwadronieren das LAN Ports nicht gesichert werden können... Dem ist dann nichts mehr hinzuzufügen.
Beschaff dir die richtige Hardware. Lies ein IT Netzwerkbuch und dann klappt das auch sofort !
Diese genehmigt das ganze solange es verschlüsselt ist und ausschließlich von eigenen Geräten verwendet wird! Immer solche unnötigen Kommentare.
So so... da kommt dann einer von der Uni und vergewissert sich vor Ort das ein Altphilologe, der denkt LAN Ports sind immer ungesichert, auch korrekt die Verschlüsselung auf seinem privaten AP aktiviert hat mit den richtigen Parametern und nickt das dann als von der Uni genehmigt ab.Na gut, heute ist ja Freitag.... Da bleibt das dann mal unkommentiert.
Vermutlich scheiterst du schon an TKIP und AES/CCMP...?!
