epigenese
Goto Top

Fragen zu Netzwerkanmeldung mit Radiusserver

Hallo zusammen,

danke fürs Lesen der Frage.

Ich möchte für eine Lehrlingsgruppe folgendes einrichten.
12 Laptops und 4 PCs mit einem Netzwerk/Internetzugang ausstatten.
Internetanschluss für Router in der Werkstatt ist vorhanden.
Betriebssysteme gemischt Windows und/oder Linux auf PCs und Laptops.

Die Geräte sollen über Wlan und Lan angeschlossen werden können.

Dafür habe ich zum lernen und probieren einen Mikrotik hAP lite RB941-2ND gekauft und nach folgendem Video den Radiusserver aufgesetzt.
MikroTik Hotspot Radius Server
(Es wäre aber für die tatsächliche Umgebung kein Problem Geräte wie den Mikrotik RouterBoard RB951Ui-2nD hAP oder RB962UiGS-5HacT2HnT zu kaufen.)

Die Videoumsetzung hat bis auf den Usermanager funktioniert. Den Usermanager gibts nicht für smips.
Ich habe die User unter dem Reiter "IP" und dann Reiter "Hotspot" unter "User" angelegt.
Somit funktioniert das Ganze.

Wenn ich mich nun mit einem Laptop per WLAN verbinde muss ich, für einen Internetzugang, an einem Portal Benutzername und Passwort eingeben.

Das Problem ist, dass ich gerne die Geräte kontrollieren würde, die generell an dem Netzwerk angeschlossen werden können.
Bei der jetzigen Konstellation kann jeder der ein Laptop mit Zugangsdaten hat, auch z.B. sein Smartphone nehmen und sich einloggen.
Ich dachte an MAC Filter, denke aber dass die zu einfach umgangen werden können.

Ich habe nun in Aquis Anleitung ( Aquis Anleitung ) gelesen aber habe dazu Fragen.

Fragen:
1) Ist das Vorhaben mit einem der Mikrotik Router RB951Ui-2nD hAP oder RB962UiGS-5HacT2HnT möglich?
2) Bietet der Usermanager der unter meinem Testrouter nicht läuft die geforderten Optionen?
3) Über welche Authentifizierung muss ich mich einlesen um die Geräte am Netz zu kontrollieren?
4) Ist das Vorhaben an Wlan und LAN gleichermaßen umsetzbar oder ist er einfacher alles über Wlan zu machen und die Lan Anschlüsse komplett zu sperren?

Vielen Dank erstmal fürs Lesen.
Leider ist mein Englisch grottig, so dass ich überwiegend auf deutschsprachige Inhalte angewiesen bin, falls einer einen Tipp postet.

Danke und Grüße
Epi

Content-Key: 344236

Url: https://administrator.de/contentid/344236

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: 108012
Lösung 108012 23.07.2017 aktualisiert um 21:35:45 Uhr
Goto Top
Hallo,

Leider ist mein Englisch grottig, so dass ich überwiegend auf deutschsprachige Inhalte angewiesen bin, falls einer einen Tipp postet.
Das wird dann mit anderen Routern ähnlich "nett" werden, aber man könnte auch eine kleine pfSense Firewall auf einem APU2C4 installieren
und dann zusätzlich dazu den kleinen MikroTik WLAN AP auch wirklich als AP benutzen! Wäre mein Vorschlag hier dazu.

Dann hast Du auch zusätzlich zum Radius Server der an alle Deine (Euro) Geräte ein Zertifikat "verteilt" noch ein "Captive Portal"
was die Gäste gleich mit abfackelt. So eine APU2C4 kostet zwischen 190 Euro und 200 Euro und kommt auch fertig
zusammengebaut also "Bundle" daher. Noch ein kleiner 5 Port oder 8 Port Switch dazu und fertig ist das ganze.
Netgear GS105E
Netgear GS108E
Netgear GS108Tv2

Cisco SG200-10
Cisco SG300-10
Cisco SG220-10
Cisco SG350-10

D-Link DGS1510-20
MikroTik CRS210-8G-2S+IN

Ist das Vorhaben an Wlan und LAN gleichermaßen umsetzbar oder ist er einfacher alles über Wlan zu machen und die Lan
Anschlüsse komplett zu sperren?
Radius Server mit Zertifikat und Verschlüsselung hauen einem schon ganz schön einen Schlag auf Kabel, aber bei den 16 Klienten
ist das auch nicht soooo schlimm. Also ich würde da dann das beste aus zwei Welten benutzen und dann ist man wenigstens sicher.

Wäre mir an Deiner Stelle lieber, denn;
- MikroTik hat eine etwas steilere Lernkurve
- pfSense hat das auch, aber man hat auch deutschsprachiges Forum zusätzlich hier zu diesem Forum
- Und auch noch drei Bücher dazu die man mit etwas Geduld und Dict.de hat man das auch alles schnell abgefackelt
- @aqui hat natürlich auch hierzu die recht viele Anleitungen geschrieben und kann Dir dazu bestimmt auch noch Fragen beantworten

Gruß
Dobby
Mitglied: Epigenese
Epigenese 24.07.2017 um 17:44:21 Uhr
Goto Top
Hallo Dobby,

vielen Dank für deine Unterstützung.
Dann werde ich mich mit pfsense weiter beschäftigen.
Habe damit auch schon ein Captive Portal umgesetzt.

Verstehe ich das richtig, dass die "Hardwareüberwachung" von der pfsense dann mit Radiusserver, mit Zertifikaten gelöst wird.

D.h. ich lese mich in "pfsense, Radius, Zertifikate" ein?

Ich werde mal mit dem Thread anfangen --> zu pfsense face-smile

Danke dir und Grüße
Epi
Mitglied: 108012
Lösung 108012 24.07.2017 um 18:20:40 Uhr
Goto Top
Verstehe ich das richtig, dass die "Hardwareüberwachung" von der pfsense dann mit Radiusserver, mit Zertifikaten gelöst wird.
Definiere mal bitte Hardwareüberwachung! Wenn man nicht möchte, dass andere Leute oder Benutzer das eigene WLAN einfach
mitbenutzen, denn kann man auch dafür sorgen, und zwar mittels Radius Server und Zertifikaten, dass jedes eigene Gerät ein
solches Zertifikat erhält und alle anderen WLAN Benutzer werden dann eben nicht mehr in das Netzwerk gelassen, und wenn
man hier noch ein "paar" LAN Geräte mit abwickelt ist das schon in Ordnung. Jetzt aber hat man das Problem dass man wenn
einmal Gäste vor Ort sind, diesen nicht auch ein Zertifikat ausstellen bzw. installieren möchte, also setzt man zusätzlich noch
einen HotSpot auf mittels des Captive Portals und verteilt dort zeitlich begrenzte Vouchers!

D.h. ich lese mich in "pfsense, Radius, Zertifikate" ein?
Kann man machen, Radius Zertifikate und Captive Portal (für Gäste) wenn man damit arbeitet wäre es auch nicht schlecht
etwas darüber zu wissen. Nur man kann auch einfach eine Anleitung von @aui hier im Forum benutzen und dann ist das auch
ruck zuck umgesetzt was Du da vor hast.

Ich werde mal mit dem Thread anfangen --> zu pfsense 
Hier sind die Links zu den Anleitungen von @aqui und damit ist das recht schnell umgesetzt, fertig zum abtippen.

Sichere WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Gruß
Dobby
Mitglied: Epigenese
Epigenese 24.07.2017 um 19:47:45 Uhr
Goto Top
Hallo Dobby,


Zitat von @108012:
Definiere mal bitte Hardwareüberwachung! Wenn man nicht möchte, dass andere Leute oder Benutzer das eigene WLAN einfach
mitbenutzen, denn kann man auch dafür sorgen, und zwar mittels Radius Server und Zertifikaten, dass jedes eigene Gerät ein
solches Zertifikat erhält und alle anderen WLAN Benutzer werden dann eben nicht mehr in das Netzwerk gelassen, ........

Ja so soll es sein. Ist im Rahmen von Qualifizierung/Ausbildung.
Es sollen nur die vorgegebenen Geräte ins Netz. Und es soll möglich sein einzelne auch wieder zu sperren, wenn nötig.

Ich danke dir für deine Hilfe.

Grüße
Epi
Mitglied: 108012
108012 24.07.2017 um 20:16:45 Uhr
Goto Top
Es sollen nur die vorgegebenen Geräte ins Netz.
Ist mit dem FreeRadius Server ja möglich.

Und es soll möglich sein einzelne auch wieder zu sperren, wenn nötig.
Zertifikate kann man auch auf eine RCL Liste setzen und dann gilt das Zertifikat als zurückgezogen und funktioniert
nicht mehr und die Vouchers vom "Captive Portal" laufen nach xyz Stunden ab, man kann auch diverse Gruppen
im Captive Portal anlegen und denen dann unterschiedliche Zeiten zuweisen, also für sagen wir mal, Gruppe 1
für 2 Stunden, Gruppe 2 für 4 Stunden usw......

Gruß
Dobby
Mitglied: hildefeuer
hildefeuer 26.07.2017 aktualisiert um 12:38:47 Uhr
Goto Top
Erwähnt werden sollten auch die negativen Nachteile einer Verbindung per Radius Server:
Der Radius Server sollte sich ja melden beim Aufruf der ersten Webside im Browser, es sei denn die Verbindung ist Verschlüsselt.
Also bekommen alle die user, die google als Startseite haben, den Radius Server login nicht zu sehen, nur eine Fehlermeldung. Da google via https Zeritfikat verschlüsselt aufgerufen wird. Chrome ist dann meist unbrauchbar, da ja immer bei google gesucht wird, wenn man nicht korrekt eine url eingibt. Ebenso bei Linux das Aufrufen der Standard Startseite von Mozilla.
Ebenso wer eine Bank- Seite als erste aufruft oder eine andere verschlüsselte url.