Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

802.1x und pfSense (monowall)

Frage Netzwerke LAN, WAN, Wireless

Mitglied: 73329

73329 (Level 1)

17.05.2009, aktualisiert 18.10.2012, 11040 Aufrufe, 8 Kommentare

Salü

Ich hab bei mir Zuhause momentan einen dLink DIR-635 WiFi Router und einen IAS Server am laufen und möchte nun anstelle des dLink Routers meine pfSense Firewall (ebenfalls mit WiFi Interface) in betrieb nehmen. Das Problem ist nur, dass die Authentication-Anfragen nicht an den IAS Server weitergeleitet werden.

Kann mir nun jemand sagen wie man die pfSense korrekt konfiguriert?
Ich gehe davon aus, dass die notwendigen Einstellungen unter "Captive Portal" vorgenommen werden...

MERCI
Mitglied: aqui
18.05.2009, aktualisiert 18.10.2012
Das ist richtig ! Da pfSense auf M0n0wall basiert wird das in den CP Einstellungen konfiguriert:

http://doc.m0n0.ch/handbook/ch12s02.html

Allerdings begehst du hier generell einen technischen Denkfehler !!
802.1x ist eine Client Authentifizierung die von einem 802.1x Client bzw. Client Software vorgenommen wird.
Beim CP ist der Mechanismus aber etwas anders, denn es ist kein 802.1x sondern lediglich eine einfache Radius Authentifizierung die das CP mit einem Radius Server über die HTTPS Webseite vornimmt.
Den per CP Portal eingegebenen Login Namen prüft das CP dann lediglich per Radius gegen eine User Datenbank im Radius.

Vermutlich kannst du bei pfSense wie bei Monowall auch eine lokale Datenbank benutzen, was die Einstellung etwas vereinfacht, da die Radius Abfrage entfällt.
Sie ist allerings in der Anzahl der User erheblich begrenzt so das bei vielen Usern ggf. der Radius/IAS mehr Sinn macht.
Weitere Anregungen zu diesem Thema findest du ggf. in diesem Tutorial:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Bitte warten ..
Mitglied: 73329
18.05.2009 um 12:49 Uhr
Was ich eben nicht will ist eine seperate Anmeldung über ein HTTP(s) GUI...
Momentan ist es so, dass ich ein Zertifikat auf den Clients installieren muss und zusätzlich beim ersten Verbindungsaufbau den Berechtigten AD-Account angeben muss.

Im dLink Router musste man dazu nur den RADIUS Server angeben und das wars. Diesen Punkt suche ich nun in der pfSense...

Trotzdem MERCI
Bitte warten ..
Mitglied: aqui
18.05.2009 um 13:07 Uhr
Dann muss pfSense 802.1x supporten wie es auch diverse Switches tun. Mit einem Captive Portal bist du dann komplett im falschen Film, das ist richtig !!
Die Einstellmöglichkeiten unter dem CP sind dann auch Blödsinn weil sie nur für die CP Authentisierung gelten und NICHT für das was du vorhast !!!

Ob pfSense denn einen sog. 802.1x "Authenticator" speilen kann musst du im Handbuch nachlesen !
http://de.wikipedia.org/wiki/IEEE_802.1X
Das ist aber Grundvorausetzung um eine clientorientieres Authentifizierung durchzuführen wie du es willst !!

Der Client spricht dann so wie es üblich ist EAPoL mit dem pfSense und der startet eine Radius Authentication mit dem Server.
Anders ist es solltest du am pfSense einen (odere mehrere) Accesspoint an einer LAN Karte haben die dein WLAN Segment darstellt.
In diesem Falle ist der Authenticator dann natürlich am AP einzustellen (wie oben bei deinem D-Link) die haben dafür so gut wie alle dann eine Konfig für einen Radius Server !!
Wenn dein pfSense allerdinsg mit einer PCI Karte den AP emuliert, dann muss logischerweise pfSense der Authenticator sein und diese Einstellmöglichkieten haben !!!
Bitte warten ..
Mitglied: 73329
18.05.2009 um 17:43 Uhr
Wenn ich das WLAN Interface konfigurieren habe ich das Kontrollkästchen "Enable IEEE802.1X" (Setting this option will enable 802.1x authentication.) doch ich kann nirgens einen RADIUS Server eintragen...
Werde morgen mal einen Update auf meine embedded pfSense draufspielen und schauen ob was neues dazukommt ;D

Du selbst verwendest eine monowall mit 802.1x?
Wenn dass nämlich funktioniert würde ich mir diese mal anschauen (ist schliesslich auch mit einem ALIX Board kompartibel ;P )
Bitte warten ..
Mitglied: aqui
18.05.2009 um 18:04 Uhr
Du hast dir scheinbar nicht wirklich den Wikipedia Artikel durchgelesen oder hast ihn nicht verstanden, oder ??

Bei einem 802.1x Client spricht dieser nicht mit dem Authentifizierungs Device sondern stellt als Supplicant erstmal mit EAPoL (EAP over LAN oder WLAN) eine Anfrage an den Authenticator.
Dieser stellt dann mit einem Radius Request die Anfrage an den Authentifizierungsserver und muss folglich auch die Einträge dafür haben...mitnichten aber der Client.

Daraus kann man schliessten das dein WLAN Interface lediglich eine 802.1x Clientfunktion (Supplicant) hat nicht aber die eines Authenticators !!
Ergo kann das Interface nur als WLAN Client arbeiten nicht aber als WLAN Infrastruktur Accesspoint !!
Bitte warten ..
Mitglied: 73329
18.05.2009 um 18:32 Uhr
Nee du, mit dem Authorisierungsablauf bin ich seit längerem vertraut und mit dem dLink Router funktioniert es ja auch...
Ich hab ja schliesslich auch nicht mein Notebook als RADIUS Client im IAS definiert sondern den dLink Router oder wie es zukünftig sein sollte die pfSense ;)
Trotzdem muss irgendwo (wie ich vermutet hatte auf dem WLAN Interface) ein RADIUS Server angegeben werden.
Ich versuchs nochmals im pfsense Forum...

Funktioniert nun 802.1x mit einer m0n0wall?
Bitte warten ..
Mitglied: aqui
18.05.2009 um 18:58 Uhr
Ja das klappt !
Monowall cann als Client (Ad-Hoc) oder als Infrastructure AP arebiten und bei letzterem auch .1x Authenticator sein !
Hier siehst du den Ausschnitt des nativen WLAN Interfaces in der Konfig:

e206a77e9a30785aaf743e189de64188-mono802 - Klicke auf das Bild, um es zu vergrößern

Im "Enterprise" Modus arbeitet es als Authenticator gegen einen Radius Server wie du siehst !!
Bitte warten ..
Mitglied: 73329
19.05.2009 um 22:28 Uhr
WHOOO!!!

Hab nun anstelle der pfSense die m0n0wall auf mein ALIX drauf gespielt und die Authentifizierung funktionierte auf Anhieb! GENIAL!

Das einzige was ich bei der m0nowall vermisse sind die RRD Graphe. Ansonsten alles TipTop.


Nochmals vielen Dank für deine Bemühungen!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (2)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
802.1x funktioniert nur an einem oder zwei Accesspoints (3)

Frage von westberliner zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
gelöst 802.1x Konfiguration (2)

Frage von michaelb123 zum Thema Windows Netzwerk ...

Windows Netzwerk
gelöst RADIUS 802.1x Geräte Authentifizierung (3)

Frage von Cloudy zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...