Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gäste und Mitarbeiter WLAN freeRadius

Frage Netzwerke LAN, WAN, Wireless

Mitglied: suflix

suflix (Level 1) - Jetzt verbinden

18.06.2012 um 13:40 Uhr, 4511 Aufrufe, 12 Kommentare

Hallo,



Ich möchte in einen LAN, WLAN einführen.

Für die Authentifizierung möchte ich den freeRADIUS einsetzen.

Ich hab folgendes vor:

-ein AP mit zwei SSIDs:
-und unterschiedliche VLAN, GästeVLAN und MitarbeiterVLAN

1. Mitarbeiter
-freeRadius mit LDAP Verzeichnisdienst verbinden, dazu gib es ja genügend Beschreibungen

2. Gäste
-Gast soll den Browser öffnen und ein vordefiniertes BN/PW eingeben quasi ein Gutschein.
-und soll nach einer bestimmten Zeit wieder aus dem WLAN entfernt werden
Kann ich den gleichen RADIUS nehmen wie für die Mitarbeiter?
Und gibt es Tipps wie ich das Umsetzen kann?
Hab was über chillispot gelesen aber weiß nicht wie das mit dem RADIUS zusammenhängt


Kenne mich leider noch nicht wirklich auf dem Gebiet aus.

Mit freundlichen Grüßen

suflix
Mitglied: mrtux
18.06.2012, aktualisiert um 13:53 Uhr
Hi !

Zitat von suflix:
Kenne mich leider noch nicht wirklich auf dem Gebiet aus.

Darum hat Kollege aqui zu dem Thema hier im Forum gleich mehrere hervorragende Tutorials (auch über RADIUS) geschrieben! Arbeite die bitte erstmal durch, danach können wir über Detailfragen diskutieren. Die Tutorials findest Du mit Hilfe der Suchfunktion des Forums.

mrtux
Bitte warten ..
Mitglied: suflix
19.06.2012, aktualisiert um 16:03 Uhr
So hab mich rein gelesen,


Ich möchte ja ein freeRADIUS nutzen um die Mitarbeiter.

Und für Gäste erscheint mir die pfSense mit CP geeignet.

Außerdem, habe gelesen das pfSense auch denn freeRADIUS beinhaltet. Gibt es da Erfahrungen?

Ich weiss nicht ob es funktioniert aber ich würde es so machen...

-vorerst ein AP mit 2 SSIDs einmal für Gäste und eins für Mitarbeiter mit festen VLANS die vor konfiguriert sind
-pfSense mit CP Voucher für die Gäste
-pfSense mit freeRADIUS für die Mitarbeiter

Ich mach mir gedanken über die Sicherheit des CP-Voucher, wie sicher ist es? Kann man das ganze auch mit dem Radius verbinden?
ICh würde sozusagen Gäste im Radius anlegen und die können mit den Benutzernamen und Passwort authentifizieren.



---
Das ganze muss in eine produktive Umgebung implementiert werden und pfSense soll ausschließlich für den WLAN Bereich fungieren.

Für den LAN Bereich gibt es schon Lösungen und besitzt eine eigene Firewall.
Bitte warten ..
Mitglied: aqui
21.06.2012, aktualisiert um 16:23 Uhr
Zu deinen Fragen:
1.) pfSense und FreeRadius integriert:
Ja, das rennt wunderbar ! Allerdings musst du aufpassen denn auf der festen Appliance (ALIX Board)
http://www.administrator.de/contentid/149915
ist das installieren solcher Plugins nicht supportet ! Das funktioniert nur wenn du es auf einer PC Plattform installierst.

2.) Ja, deinen Vorgehensweise ist absolut korrekt so und das funktioniert auch fehlerfrei !

3.) Ja die Vouchers sind sehr sicher. Was du nicht verhindern kannst ist wenn jemand den Voucher an jemand anders weitergibt. Das geht dann nur indem du nur einen einzigen Voucher Login erlaubst, dann kann man ein Voucher auch nicht mehr weitergeben, bzw. loggt sich dann selber aus.
Das Konzept ist also wasserdicht.
Ja, du kannst das ganze auch via Radius verbinden, das geht auch. Es geht aber nicht beides. Du musst dich entweder für eine Radius basierte Captive Portal Authentisierung entscheiden oder die Voucher basierende.
Problem ist dabei das das Voucher ein zeitlich limitiertes Einmalpasswort ist. Also auch ohne ein Zutun von dir wird das nach abgelaufener Zeit einfach von selbst ungültig. Zudem kannst du z.B. mehere Vocuher Rollen parallel installieren. Also welche für 30 Minuten, 2 Stunden und 8 Stunden oder 1 Woche.
Je nach Bedarf.
Mit der Radisu basierenden CP Authentisierung musst du etwaige Gast Accounts auch manuell wieder ungültig machen. Es erfordert also mehr Aufmerksamkeit und Pflege was man dann meist nach 3 Wochen nicht mehr macht und dann ist die Gefahr das alte Einträge weiter gültig bleiben und du dir somit ein Sicherheitsloch schaffst.
Vouchers sind da wasserdichter letztlich. Kommt aber auf dein Engagement an....

Das das ganze natürlich in einer produktiven Umgebung funktioniert ist klar...dafür sind diese Lösungen entwickelt worden. Diese Frage stellt sich also nicht wirklich !
Bitte warten ..
Mitglied: suflix
22.06.2012 um 12:31 Uhr
Großes Danke an deine ausführlich Antworten!

Nächste Woche werde ich das ganze realisieren.


Schönes Wochenende!
Bitte warten ..
Mitglied: aqui
22.06.2012 um 13:03 Uhr
Dann viel Erfolg, den du aber sicher haben wirst
Wenns das denn war bitte
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: suflix
26.06.2012, aktualisiert 27.06.2012
Hallo Ich kann es doch nicht so umsetzten wie gedacht. Da ich keinen AP habe der VLAN verwalten kann. Muss zwei AP nutzen.


Wir besitzen ein bestehendes Gäste VLAN und Mitarbeiter VLAN im LAN Bereich. In diesen Netzen soll aber kein AP stehen sondern in separaten Netzen die dann durch pfSense in die eben genanten VLANs geroutet werden.


Ich möchte nun zwei separate Netzwerk schaffen wo es
Gäste WLAN und Mitarbeiter WLAN gibt.

quasi:
eth0(WAN) = Gäst im LAN Bereich
eth1(LAN) = Mitarbeiter im LAN Bereich
eth2(OPT1) = AP Mitarbeiter
eht3(OPT2) = AP Gäste

pfSense soll nun von AP Mitarbeiter(WLAN) in das Mitarbeiter VLAN routen und von AP Gäste (WLAN) in das Gäste VLAN routen.




Ich weiss nicht, habe ich gerade eine falsche Denkweise?

Grafik:


5e6ad7e278d5073c559f334bceee57ae - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: suflix
27.06.2012, aktualisiert um 15:37 Uhr
Folgendes hab ich mir überlegt:

-Da unser netz im Mitarbeiter LAN voll ist möchte ich einen privaten Netzbereich für das Mit-arbeiter WLAN definieren und diesen dann in das Mitarbeiter LAN durch routen.

-Für Gäste möchte ich ausschließlich das CP nehmen, dies soll aber nur im WLAN Bereich zum Einsatz kommen. Also Gäste die sich an einer Ethernetschnittstelle befinden sollen nicht von CP verwaltet werden.

Siehe Bild:

24a5515c27546da3f5894e4f7f639bf5 - Klicke auf das Bild, um es zu vergrößern



Geht das?
---
Außerdem möchte ich die Mitarbeiter im WLAN mit protokollieren. Ist das mit pfSense möglich?
Bitte warten ..
Mitglied: aqui
28.06.2012, aktualisiert um 17:47 Uhr
Die Antwort lautet beides mal Ja ! Das ist beides problemlos möglich und pfSense protokolliert auch alles mit.
Das Tutorial erklärt die haarklein alle Schritte um das erfolgreich umzusetzen:
http://www.administrator.de/contentid/91413
http://www.administrator.de/contentid/110259
Natürlich klappt das auch mit 2 separaten APs. Allerdings kosten welche die Multi SSID supporten nun auch nicht die Welt z.w 35 und 40 Euronen so das ein neukauf dich sicher nicht umbringt. Kannst natürlich aber genauso gut die einzelnen auch verbauen.
Beachte allerdings den Kanalversatz der Funkfrequenz von 5 Kanälen wenn die in räumlicher Nähe arbeiten um sich nicht gegenseitig zu stören:
http://www.elektronik-kompendium.de/sites/net/0907031.htm -->> Kanalaufteilung
Am besten immer vorher mit einem freinen WLAN Sniffer wie dem inSSIDer:
http://www.metageek.net/products/inssider
genau checken wo die freien frequenzen sind bei dir für die optimale Aufstellung bzw. Konfiguration !
Bitte warten ..
Mitglied: suflix
03.07.2012, aktualisiert 06.07.2012
zum 1. Szenario : Wie ermögliche ich die weiter Leitung von den Gäste WLAN in das Gäste LAN?

Ich hab einmal das Gäste LAN mit der IP 10.120.x.x und WLAN mit 192.168.0.x (pfSense DHCP)

so jetzt soll vom WLAN in das LAN weitergeleitet werden. (Routen)

Gäste LAN --- Pfsense <--- Gäste WLAN

Welche Firewallregeln muss ich dazu freigeben, damit die Clienten aus dem WLAN Netz ind das LAN Netz geleitet werden?


Außerdme habe ich CP für das WLAN Interface eingerichtet und hab die entsprechnden Ports freigeben. (HTTP, HTTPS und CP 8000--> nur bin ich hier nicht so sicher was ich als Ziel und Quelle angeben muss? )

Wenn ich: http://192.168.0.1:8000 gehe komme ich auch auf die CP Seite, nur werde nicht automatisch dort hin geleitet wenn ich den Browser öffne?



Edit 06.07:

So baue immer noch rum

Wenn ich TCP/UDP auf der WLAN Interface als Firewall Regeln : Any any mache funktioniert CP sehr gut und ich komme auch in das Intenet. Nur befinde ich mich im falschen Mitarbeiter Netz. WIe kann ich die Route abhändern?
Bitte warten ..
Mitglied: aqui
08.07.2012 um 12:53 Uhr
Du machst hier vermutlich einen Denkfehler bzw. einen Designfehler ?!
Was soll denn der tiefere Sinn sein das Gäste WLAN und LAN zu trennen ?? Das ist doch eigentlich Unsinn, denn Gäste sind Gäste. Ob die nun per WLAN oder LAN in deinem Gäste Netz sind spielt doch keinerlei Rolle !
Warum betreibst du also die LAN Anschlüsse und die WLAN APs für die Gäste nicht in einem gemeinsamen Netzwerk wie sich das gehört, dann stellt sich die Frage doch gar nicht erst und wäre dann die sinnvollste Lösung ??
Schon vor dem Hintergrund das das CP nur immer für ein einziges Interface nur definiert werden kann. Da die FW immer routet kannst du das CP nicht auf 2 physischen Netzsegmenten parallel aktivieren !
Überdenke also sinnvollerweise nochmal dein Netzdesign !
Bitte warten ..
Mitglied: suflix
09.07.2012, aktualisiert um 15:54 Uhr
Der Sinn ist es, CP für das WLAN einzusetzen und so wie ich es verstanden habe, gilt CP gleich für das gemsamte Netzwerk hinter dem Interface. Ich möchte aber ausschlieslich nur WLAN mit CP Verwalten.

PfSense&CP soll nur im WLAN Bereich funktioneren nicht mehr! Also muss ich doch die Netzwerke routen... ?
Bitte warten ..
Mitglied: aqui
09.07.2012 um 17:26 Uhr
OK, dann gibt es 2 Lösungswege für dich !!

1.) Du setzt das WLAN Segment in ein eingenes Interface bzw. Netzwerk.
Das ist in jedem Falle die technisch bessere, weil sauberere Lösung !

2.) Wenn WLAN und LAN bei dir gemischt sind, dann kannst du im CP die IP Adressen oder noch besser (weil sicherer) die Mac Adressen der Endgeräte vom CP ausnehmen die das CP nicht "sehen" sollen also die LAN Endgeräte.
Das ist aber eine Frickellösung, denn wenn man IPs oder MACs verrät kann man so das CP umgehen.
Besser ist also einen Trennung wie es auch grafisch im o.a. Tutorial beschrieben ist.

Was deine letzte Frage anbetrifft: Ja, klar, die pfSense routet dann beide Netze also LAN und WLAN wenn das an unterschiedlichen pfSense Interface anliegt was die sinnvollste Lösung ist.
Wichtig ist das du mit den Firewall Regeln an diesen Interfaces dann noch bestimmt WER WOHIN Zugriff hat !
Eine Any zu Any Liste lässt erstmal alles zu zum Testen.
Wenn dein WLAN nur Gäste hast solltest du das natürlich entsprechend anpassen wenn die keinen Zugriff aufs LAN haben dürfen !
Ist ein pfSense Klassiker !!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Gäste WLAN vom eigenen Netz trennen mit einem eigenen Port am Router? (9)

Frage von M.Marz zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
gelöst WLAN in Sitzungszimmern für Kunden und Mitarbeiter (4)

Frage von ALucaK zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Getrenntes Gäste WLan mit L3 Switch (11)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Netzwerke
gelöst Gäste WLAN mit Voucher System (13)

Frage von minimalwerk zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...