Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

802.1x und pfSense (monowall)

Frage Netzwerke LAN, WAN, Wireless

Mitglied: 73329

73329 (Level 1)

17.05.2009, aktualisiert 18.10.2012, 11134 Aufrufe, 8 Kommentare

Salü

Ich hab bei mir Zuhause momentan einen dLink DIR-635 WiFi Router und einen IAS Server am laufen und möchte nun anstelle des dLink Routers meine pfSense Firewall (ebenfalls mit WiFi Interface) in betrieb nehmen. Das Problem ist nur, dass die Authentication-Anfragen nicht an den IAS Server weitergeleitet werden.

Kann mir nun jemand sagen wie man die pfSense korrekt konfiguriert?
Ich gehe davon aus, dass die notwendigen Einstellungen unter "Captive Portal" vorgenommen werden...

MERCI
Mitglied: aqui
18.05.2009, aktualisiert 18.10.2012
Das ist richtig ! Da pfSense auf M0n0wall basiert wird das in den CP Einstellungen konfiguriert:

http://doc.m0n0.ch/handbook/ch12s02.html

Allerdings begehst du hier generell einen technischen Denkfehler !!
802.1x ist eine Client Authentifizierung die von einem 802.1x Client bzw. Client Software vorgenommen wird.
Beim CP ist der Mechanismus aber etwas anders, denn es ist kein 802.1x sondern lediglich eine einfache Radius Authentifizierung die das CP mit einem Radius Server über die HTTPS Webseite vornimmt.
Den per CP Portal eingegebenen Login Namen prüft das CP dann lediglich per Radius gegen eine User Datenbank im Radius.

Vermutlich kannst du bei pfSense wie bei Monowall auch eine lokale Datenbank benutzen, was die Einstellung etwas vereinfacht, da die Radius Abfrage entfällt.
Sie ist allerings in der Anzahl der User erheblich begrenzt so das bei vielen Usern ggf. der Radius/IAS mehr Sinn macht.
Weitere Anregungen zu diesem Thema findest du ggf. in diesem Tutorial:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Bitte warten ..
Mitglied: 73329
18.05.2009 um 12:49 Uhr
Was ich eben nicht will ist eine seperate Anmeldung über ein HTTP(s) GUI...
Momentan ist es so, dass ich ein Zertifikat auf den Clients installieren muss und zusätzlich beim ersten Verbindungsaufbau den Berechtigten AD-Account angeben muss.

Im dLink Router musste man dazu nur den RADIUS Server angeben und das wars. Diesen Punkt suche ich nun in der pfSense...

Trotzdem MERCI
Bitte warten ..
Mitglied: aqui
18.05.2009 um 13:07 Uhr
Dann muss pfSense 802.1x supporten wie es auch diverse Switches tun. Mit einem Captive Portal bist du dann komplett im falschen Film, das ist richtig !!
Die Einstellmöglichkeiten unter dem CP sind dann auch Blödsinn weil sie nur für die CP Authentisierung gelten und NICHT für das was du vorhast !!!

Ob pfSense denn einen sog. 802.1x "Authenticator" speilen kann musst du im Handbuch nachlesen !
http://de.wikipedia.org/wiki/IEEE_802.1X
Das ist aber Grundvorausetzung um eine clientorientieres Authentifizierung durchzuführen wie du es willst !!

Der Client spricht dann so wie es üblich ist EAPoL mit dem pfSense und der startet eine Radius Authentication mit dem Server.
Anders ist es solltest du am pfSense einen (odere mehrere) Accesspoint an einer LAN Karte haben die dein WLAN Segment darstellt.
In diesem Falle ist der Authenticator dann natürlich am AP einzustellen (wie oben bei deinem D-Link) die haben dafür so gut wie alle dann eine Konfig für einen Radius Server !!
Wenn dein pfSense allerdinsg mit einer PCI Karte den AP emuliert, dann muss logischerweise pfSense der Authenticator sein und diese Einstellmöglichkieten haben !!!
Bitte warten ..
Mitglied: 73329
18.05.2009 um 17:43 Uhr
Wenn ich das WLAN Interface konfigurieren habe ich das Kontrollkästchen "Enable IEEE802.1X" (Setting this option will enable 802.1x authentication.) doch ich kann nirgens einen RADIUS Server eintragen...
Werde morgen mal einen Update auf meine embedded pfSense draufspielen und schauen ob was neues dazukommt ;D

Du selbst verwendest eine monowall mit 802.1x?
Wenn dass nämlich funktioniert würde ich mir diese mal anschauen (ist schliesslich auch mit einem ALIX Board kompartibel ;P )
Bitte warten ..
Mitglied: aqui
18.05.2009 um 18:04 Uhr
Du hast dir scheinbar nicht wirklich den Wikipedia Artikel durchgelesen oder hast ihn nicht verstanden, oder ??

Bei einem 802.1x Client spricht dieser nicht mit dem Authentifizierungs Device sondern stellt als Supplicant erstmal mit EAPoL (EAP over LAN oder WLAN) eine Anfrage an den Authenticator.
Dieser stellt dann mit einem Radius Request die Anfrage an den Authentifizierungsserver und muss folglich auch die Einträge dafür haben...mitnichten aber der Client.

Daraus kann man schliessten das dein WLAN Interface lediglich eine 802.1x Clientfunktion (Supplicant) hat nicht aber die eines Authenticators !!
Ergo kann das Interface nur als WLAN Client arbeiten nicht aber als WLAN Infrastruktur Accesspoint !!
Bitte warten ..
Mitglied: 73329
18.05.2009 um 18:32 Uhr
Nee du, mit dem Authorisierungsablauf bin ich seit längerem vertraut und mit dem dLink Router funktioniert es ja auch...
Ich hab ja schliesslich auch nicht mein Notebook als RADIUS Client im IAS definiert sondern den dLink Router oder wie es zukünftig sein sollte die pfSense ;)
Trotzdem muss irgendwo (wie ich vermutet hatte auf dem WLAN Interface) ein RADIUS Server angegeben werden.
Ich versuchs nochmals im pfsense Forum...

Funktioniert nun 802.1x mit einer m0n0wall?
Bitte warten ..
Mitglied: aqui
18.05.2009 um 18:58 Uhr
Ja das klappt !
Monowall cann als Client (Ad-Hoc) oder als Infrastructure AP arebiten und bei letzterem auch .1x Authenticator sein !
Hier siehst du den Ausschnitt des nativen WLAN Interfaces in der Konfig:

e206a77e9a30785aaf743e189de64188-mono802 - Klicke auf das Bild, um es zu vergrößern

Im "Enterprise" Modus arbeitet es als Authenticator gegen einen Radius Server wie du siehst !!
Bitte warten ..
Mitglied: 73329
19.05.2009 um 22:28 Uhr
WHOOO!!!

Hab nun anstelle der pfSense die m0n0wall auf mein ALIX drauf gespielt und die Authentifizierung funktionierte auf Anhieb! GENIAL!

Das einzige was ich bei der m0nowall vermisse sind die RRD Graphe. Ansonsten alles TipTop.


Nochmals vielen Dank für deine Bemühungen!
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Monowall - pfSense auf ALIX.2D13 Board installieren
gelöst Frage von ephos82Netzwerke6 Kommentare

Hallo zusammen, ich möchte für einen Bekannten ein Captive Portal einrichten und habe hier sehr gute Beiträge gefunden in ...

LAN, WAN, Wireless
Accesspoint mit 802.1X zu Switch mit 802.1X
Frage von maartsLAN, WAN, Wireless12 Kommentare

Hallo, ich möchte folgende Konfiguration abbilden: Ziel: Ein Accesspoint mit WLAN 802.1X soll mit einem Switch über einen802.1X Port ...

LAN, WAN, Wireless
802.1X-Authentifizierung
gelöst Frage von Alex29LAN, WAN, Wireless25 Kommentare

Hallo in die Runde, ich bin Hobby-Admin und würde in meinem Netzwerk gern eine 802.1X-Authentifizierung einrichten. Dazu habe ich ...

Windows Netzwerk
802.1x Konfiguration
gelöst Frage von michaelb123Windows Netzwerk2 Kommentare

Hallo, ich habe auf meinem Rechner (win7) als Authentifizierung 802.1x eingerichtet. Es funktioniert auch gut, solange der Switch dementsprechend ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 4 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 11 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 13 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 16 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1017 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...