Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

802.1x und pfSense (monowall)

Frage Netzwerke LAN, WAN, Wireless

Mitglied: 73329

73329 (Level 1)

17.05.2009, aktualisiert 18.10.2012, 11074 Aufrufe, 8 Kommentare

Salü

Ich hab bei mir Zuhause momentan einen dLink DIR-635 WiFi Router und einen IAS Server am laufen und möchte nun anstelle des dLink Routers meine pfSense Firewall (ebenfalls mit WiFi Interface) in betrieb nehmen. Das Problem ist nur, dass die Authentication-Anfragen nicht an den IAS Server weitergeleitet werden.

Kann mir nun jemand sagen wie man die pfSense korrekt konfiguriert?
Ich gehe davon aus, dass die notwendigen Einstellungen unter "Captive Portal" vorgenommen werden...

MERCI
Mitglied: aqui
18.05.2009, aktualisiert 18.10.2012
Das ist richtig ! Da pfSense auf M0n0wall basiert wird das in den CP Einstellungen konfiguriert:

http://doc.m0n0.ch/handbook/ch12s02.html

Allerdings begehst du hier generell einen technischen Denkfehler !!
802.1x ist eine Client Authentifizierung die von einem 802.1x Client bzw. Client Software vorgenommen wird.
Beim CP ist der Mechanismus aber etwas anders, denn es ist kein 802.1x sondern lediglich eine einfache Radius Authentifizierung die das CP mit einem Radius Server über die HTTPS Webseite vornimmt.
Den per CP Portal eingegebenen Login Namen prüft das CP dann lediglich per Radius gegen eine User Datenbank im Radius.

Vermutlich kannst du bei pfSense wie bei Monowall auch eine lokale Datenbank benutzen, was die Einstellung etwas vereinfacht, da die Radius Abfrage entfällt.
Sie ist allerings in der Anzahl der User erheblich begrenzt so das bei vielen Usern ggf. der Radius/IAS mehr Sinn macht.
Weitere Anregungen zu diesem Thema findest du ggf. in diesem Tutorial:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Bitte warten ..
Mitglied: 73329
18.05.2009 um 12:49 Uhr
Was ich eben nicht will ist eine seperate Anmeldung über ein HTTP(s) GUI...
Momentan ist es so, dass ich ein Zertifikat auf den Clients installieren muss und zusätzlich beim ersten Verbindungsaufbau den Berechtigten AD-Account angeben muss.

Im dLink Router musste man dazu nur den RADIUS Server angeben und das wars. Diesen Punkt suche ich nun in der pfSense...

Trotzdem MERCI
Bitte warten ..
Mitglied: aqui
18.05.2009 um 13:07 Uhr
Dann muss pfSense 802.1x supporten wie es auch diverse Switches tun. Mit einem Captive Portal bist du dann komplett im falschen Film, das ist richtig !!
Die Einstellmöglichkeiten unter dem CP sind dann auch Blödsinn weil sie nur für die CP Authentisierung gelten und NICHT für das was du vorhast !!!

Ob pfSense denn einen sog. 802.1x "Authenticator" speilen kann musst du im Handbuch nachlesen !
http://de.wikipedia.org/wiki/IEEE_802.1X
Das ist aber Grundvorausetzung um eine clientorientieres Authentifizierung durchzuführen wie du es willst !!

Der Client spricht dann so wie es üblich ist EAPoL mit dem pfSense und der startet eine Radius Authentication mit dem Server.
Anders ist es solltest du am pfSense einen (odere mehrere) Accesspoint an einer LAN Karte haben die dein WLAN Segment darstellt.
In diesem Falle ist der Authenticator dann natürlich am AP einzustellen (wie oben bei deinem D-Link) die haben dafür so gut wie alle dann eine Konfig für einen Radius Server !!
Wenn dein pfSense allerdinsg mit einer PCI Karte den AP emuliert, dann muss logischerweise pfSense der Authenticator sein und diese Einstellmöglichkieten haben !!!
Bitte warten ..
Mitglied: 73329
18.05.2009 um 17:43 Uhr
Wenn ich das WLAN Interface konfigurieren habe ich das Kontrollkästchen "Enable IEEE802.1X" (Setting this option will enable 802.1x authentication.) doch ich kann nirgens einen RADIUS Server eintragen...
Werde morgen mal einen Update auf meine embedded pfSense draufspielen und schauen ob was neues dazukommt ;D

Du selbst verwendest eine monowall mit 802.1x?
Wenn dass nämlich funktioniert würde ich mir diese mal anschauen (ist schliesslich auch mit einem ALIX Board kompartibel ;P )
Bitte warten ..
Mitglied: aqui
18.05.2009 um 18:04 Uhr
Du hast dir scheinbar nicht wirklich den Wikipedia Artikel durchgelesen oder hast ihn nicht verstanden, oder ??

Bei einem 802.1x Client spricht dieser nicht mit dem Authentifizierungs Device sondern stellt als Supplicant erstmal mit EAPoL (EAP over LAN oder WLAN) eine Anfrage an den Authenticator.
Dieser stellt dann mit einem Radius Request die Anfrage an den Authentifizierungsserver und muss folglich auch die Einträge dafür haben...mitnichten aber der Client.

Daraus kann man schliessten das dein WLAN Interface lediglich eine 802.1x Clientfunktion (Supplicant) hat nicht aber die eines Authenticators !!
Ergo kann das Interface nur als WLAN Client arbeiten nicht aber als WLAN Infrastruktur Accesspoint !!
Bitte warten ..
Mitglied: 73329
18.05.2009 um 18:32 Uhr
Nee du, mit dem Authorisierungsablauf bin ich seit längerem vertraut und mit dem dLink Router funktioniert es ja auch...
Ich hab ja schliesslich auch nicht mein Notebook als RADIUS Client im IAS definiert sondern den dLink Router oder wie es zukünftig sein sollte die pfSense ;)
Trotzdem muss irgendwo (wie ich vermutet hatte auf dem WLAN Interface) ein RADIUS Server angegeben werden.
Ich versuchs nochmals im pfsense Forum...

Funktioniert nun 802.1x mit einer m0n0wall?
Bitte warten ..
Mitglied: aqui
18.05.2009 um 18:58 Uhr
Ja das klappt !
Monowall cann als Client (Ad-Hoc) oder als Infrastructure AP arebiten und bei letzterem auch .1x Authenticator sein !
Hier siehst du den Ausschnitt des nativen WLAN Interfaces in der Konfig:

e206a77e9a30785aaf743e189de64188-mono802 - Klicke auf das Bild, um es zu vergrößern

Im "Enterprise" Modus arbeitet es als Authenticator gegen einen Radius Server wie du siehst !!
Bitte warten ..
Mitglied: 73329
19.05.2009 um 22:28 Uhr
WHOOO!!!

Hab nun anstelle der pfSense die m0n0wall auf mein ALIX drauf gespielt und die Authentifizierung funktionierte auf Anhieb! GENIAL!

Das einzige was ich bei der m0nowall vermisse sind die RRD Graphe. Ansonsten alles TipTop.


Nochmals vielen Dank für deine Bemühungen!
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (4)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
802.1x funktioniert nur an einem oder zwei Accesspoints (3)

Frage von westberliner zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
gelöst 802.1x Konfiguration (2)

Frage von michaelb123 zum Thema Windows Netzwerk ...

Firewall
Blocklisten für pfSense mit pfBlockerNG & DNSBL

Link von Dobby zum Thema Firewall ...

Neue Wissensbeiträge
Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2016 Standard Server 2012 R2 Hetzner Mail (36)

Frage von Datsspeed zum Thema Exchange Server ...

Verschlüsselung & Zertifikate
Mit Veracrypt eine zweite interne (non-system) Festplatte verschlüsseln (10)

Frage von Bernulf zum Thema Verschlüsselung & Zertifikate ...

Internet Domänen
Nameserver ein Geist? (7)

Frage von zelamedia zum Thema Internet Domänen ...

Video & Streaming
Kamera mit 24-7 auf Website hat Aussetzer (6)

Frage von Calvus zum Thema Video & Streaming ...