8
FreeRADIUS IP-Adressen Verständnisfrage
Hallo,
ich mache gerade ein Abschlußprojekt zum Thema: "Absicherung des Firmen-WLANs mit WPA2-Enterprise durch 802.1X-Authentifizierung mit RADIUS-Server und Anbindung an Windows Server 2008 R2 Active Directory als Backend". Das Firmen WLAN erstreckt sich über 3 Etagen und beinhaltet 5 AP´s die alle über Kabel mit dem Netzwerk verbunden sind, also kein WDS. Auf den AP´s ist DD-WRT installiert.
Ich habe eine grundsätzliche Frage zur IP-Konfiguration der AP´s und der clients.conf Datei von FreeRADIUS.
Für die AP´s sind die folgenden, noch freien, IP-Adressen vorgesehen:
192.168.1.48
192.168.1.53
192.168.1.69
192.168.1.252
192.168.1.253
Der Radius-Server hat die IP: 192.168.1.40
Subnetz: 255.255.255.0
Gateway: 192.168.1.230
Die AD-Server lauten: srv1dc01.firma.intern + srv1dc02.firma.intern
Die AP´s haben alle die gleiche SSID, nutzen jedoch unterschiedliche Kanäle.
Wie muss ich die clients.conf und die AP´s einrichten, damit jedes Mobile Endgerät, egal wo es sich innerhalb des Firmengebäudes befindet, sich am FreeRADIUS-Srv Authentifizieren kann? Die Notebooks müssen ja, nehme ich an, eine feste IP-Adresse haben.
Vielen Dank schonmal!
paddix
Für die AP´s sind die folgenden, noch freien, IP-Adressen vorgesehen:
192.168.1.48
192.168.1.53
192.168.1.69
192.168.1.252
192.168.1.253
Der Radius-Server hat die IP: 192.168.1.40
Subnetz: 255.255.255.0
Gateway: 192.168.1.230
Die AD-Server lauten: srv1dc01.firma.intern + srv1dc02.firma.intern
Die AP´s haben alle die gleiche SSID, nutzen jedoch unterschiedliche Kanäle.
Wie muss ich die clients.conf und die AP´s einrichten, damit jedes Mobile Endgerät, egal wo es sich innerhalb des Firmengebäudes befindet, sich am FreeRADIUS-Srv Authentifizieren kann? Die Notebooks müssen ja, nehme ich an, eine feste IP-Adresse haben.
Vielen Dank schonmal!
paddix
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 172551
Url: https://administrator.de/contentid/172551
Printed on: April 19, 2024 at 09:04 o'clock
8 Comments
Latest comment
Hey,
sind diese 5 die einzigst noch freien IP-Adressen in diesem Netzwerk?
Wenn ja, stellt sich mir die Frage, welche IP-Adressen die WLAN-Clients dann bekommen sollen?!
sind diese 5 die einzigst noch freien IP-Adressen in diesem Netzwerk?
Wenn ja, stellt sich mir die Frage, welche IP-Adressen die WLAN-Clients dann bekommen sollen?!
Ich hatte mir das so gedacht, dass die Router jeweils eine feste WAN-IP-Adresse erhalten und WLAN-seitig dann ein anderes Subnetz z.B. 192.168.2.1 für die Clients genutzt wird.
So würden die WLAN-Clients ihre IP-Adressen entweder via DHCP vom Router erhalten, oder ich trage halt eine feste IP aus dem Subnetz in die Clients ein.
Über NAT sollte die Kommunikation doch dann möglich sein oder habe ich da einen Denkfehler?
So würden die WLAN-Clients ihre IP-Adressen entweder via DHCP vom Router erhalten, oder ich trage halt eine feste IP aus dem Subnetz in die Clients ein.
Über NAT sollte die Kommunikation doch dann möglich sein oder habe ich da einen Denkfehler?
Ja, das wäre eine Möglichkeit den DHCP im WLAN-Router zu aktivieren, wobei dann natürlich die entsprechenden Routen zwischen LAN und WLAN Netz gesetzt werden müssen!
Ich weiss zwar noch nicht, wie ich das Routing in DD-WRT dann umsetze, aber schön das es so zu klappen scheint.
Gibt es denn noch eine bessere Lösung als diese?
Gibt es denn noch eine bessere Lösung als diese?
Im dd-wrt unter 'Setup' -->'Advanced Routing' lassen sich die Routen hinterlegen.
Eine andere Möglichkeit wäre das Subnetz des bestehenden LAN´s zu ändern, um somit einen größeren IP-Range zu erhalten, wodurch du dir den DHCP-Server im Router/Access-Point und die Statischen Routen ersparst, jedoch ist eine solche Umstellunge genau zu durchdenken und nicht so ganz ohne......
Informiere dich auch mal zu IPCop, dort hast du die Möglichkeit diverse Schnittstellen zu konfigurieren, z.B. eine für das LAN und eine weitere für WLAN, die zwar in unterschiedlichen IP-Netzen liegen, aber das Routing in dem Falle von IPCop übernommen werden kann.
http://ipcop.org/
http://ipcop-forum.de/
Eine andere Möglichkeit wäre das Subnetz des bestehenden LAN´s zu ändern, um somit einen größeren IP-Range zu erhalten, wodurch du dir den DHCP-Server im Router/Access-Point und die Statischen Routen ersparst, jedoch ist eine solche Umstellunge genau zu durchdenken und nicht so ganz ohne......
Informiere dich auch mal zu IPCop, dort hast du die Möglichkeit diverse Schnittstellen zu konfigurieren, z.B. eine für das LAN und eine weitere für WLAN, die zwar in unterschiedlichen IP-Netzen liegen, aber das Routing in dem Falle von IPCop übernommen werden kann.
http://ipcop.org/
http://ipcop-forum.de/
Vielen Dank für die Antworten!
Das Subnetz des bestehenden LAN´s zu ändern ist leider nicht so einfach möglich, weil das Netzwerk für den produktiven Ablauf der FIrma benötigt wird. Die Umstellung in ein größeres Netz ist zwar geplant, gestaltet sich aber recht komplex, wie du ja selber schon gesagt hast.
Ich bin hier nur ein Praktikant, deswegen ist mein Handlungsspielraum begrenzt. ;)
Ich werde mich am Routing versuchen. Ipcop werde ich mir auch mal ansehen!
Danke erstmal!
Das Subnetz des bestehenden LAN´s zu ändern ist leider nicht so einfach möglich, weil das Netzwerk für den produktiven Ablauf der FIrma benötigt wird. Die Umstellung in ein größeres Netz ist zwar geplant, gestaltet sich aber recht komplex, wie du ja selber schon gesagt hast.
Ich bin hier nur ein Praktikant, deswegen ist mein Handlungsspielraum begrenzt. ;)
Ich werde mich am Routing versuchen. Ipcop werde ich mir auch mal ansehen!
Danke erstmal!
Dieses Tutorial erklärt dir Schritt für Schrit wie es geht mit dem FreeRadius im WLAN:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die Notebooks müssen natürlich keine feste IP haben, das ist Unsinn. Das klappt auch per DHCP !
Die Segmentierung des Netzes regelst du am besten mit einem Router oder einer Firewall wie oben beschrieben. Ggf. hast du VLAN fähige Switches, dann ist das ein Kinderspiel.
Dieses Tutorial erklärt dir mit einem Praxisbeispiel wie das umzusetzen ist (dd-wrt inklusive):
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Routing Kopplung nur dd-WRT: Mit einem WLAN zwei LAN IP Netzwerke verbinden
2te Netzwerkkarte im Server oder kleiner Router um die IP Segmente zu koppeln geht natürlich auch:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Einfach mal die Suchfunktion hier benutzen....
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Die Notebooks müssen natürlich keine feste IP haben, das ist Unsinn. Das klappt auch per DHCP !
Die Segmentierung des Netzes regelst du am besten mit einem Router oder einer Firewall wie oben beschrieben. Ggf. hast du VLAN fähige Switches, dann ist das ein Kinderspiel.
Dieses Tutorial erklärt dir mit einem Praxisbeispiel wie das umzusetzen ist (dd-wrt inklusive):
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Routing Kopplung nur dd-WRT: Mit einem WLAN zwei LAN IP Netzwerke verbinden
2te Netzwerkkarte im Server oder kleiner Router um die IP Segmente zu koppeln geht natürlich auch:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Einfach mal die Suchfunktion hier benutzen....
Hat Alles geklappt! Vielen Dank!
Closed.
Closed.
