Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Netzwerk Aufbau - WLAN Netze, Login

Frage Netzwerke LAN, WAN, Wireless

Mitglied: inwafture

inwafture (Level 1) - Jetzt verbinden

27.12.2014 um 14:31 Uhr, 3332 Aufrufe, 19 Kommentare, 4 Danke

Guten Tag,

bei mir in der Gemeinde gibt es derzeit ein Netzwerk bestehend aus den folgenden Komponenten:

Cisco RV180 Router
HP ProCurve 2510B-24 Switch
8-Port Netgear POE Switch (VLAN fähig)
3x Zyxel NWA-1100 APs
Login ins WLAN erfolgt über WPA2-Enterprise mit Radius Server auf einer Synology NAS
Default VLAN und ein abgtrenntes VLAN über das ein spezielles Licht-Steuerungs Protokoll läuft


Folgende Probleme gibt es jetzt:
  • Das Anmelden mit Windows ist relativ kompliziert (vor allem für Gäste die nur kurz ins Internet wollen)
  • Einige Services müssen vom Internet erreichbar sein und stehen derzeit direkt im LAN (keine DMZ)
  • Ein eigenes Audio-Netzwerk wird benötigt (LAN+WLAN)
  • Zugriff vom WLAN auf das Licht-VLAN zur Steuerung


Deshalb -> Netzwerk-NEU:
ee92d50ef42bcc47ada305b9e3a213ae - Klicke auf das Bild, um es zu vergrößern
LAN:
  • Ein 2. Router (Bild: Router2) wird benötigt Vorraussetzungen: Gigabit WAN um eine schnelle Verbindung vom LAN in die DMZ zu ermöglichen, einfache Handhabung, Vlan Routing
  • Der HP Switch ist schon zimlich voll - ein 2. Switch wird wahrscheinlich auch benötigt (min. 24 Port) - Layer 3 Switch, oder VLAN Routing über den Router?
Im LAN - egal welches VLAN - wird keine Authentifizierung benötigt

WLAN:
dfb32873278efc5e50d24e0a436b26e9 - Klicke auf das Bild, um es zu vergrößern (Entschuldigung für meine Zeichenkünste)
  • WLAN Controller - sollte verschiedene Authentifizerungsmodi beherschen - Benutzer (Radius, LDAP oder interne User-Datenbank) und Vouchers für Gäste
Meine derzeitige Überlegung:
Zyxel Controller NXC2500
Ubiquiti Unifi
  • Zum Controller passende APs werden natürlich auch gekauft

Zu welchen Komponenten würdet ihr raten? Ist das umsetzbar was vorhabe? Irgendwelche anderen Lösungen?
Budget liegt für: Router, 24 Port Switch, Wlan Controller + APs bei max. 1800€ - billiger wär natürlich besser

Vielen Dank,
Bernhard
Mitglied: aqui
27.12.2014, aktualisiert um 16:23 Uhr
Das Anmelden mit Windows ist relativ kompliziert (vor allem für Gäste die nur kurz ins Internet wollen)
Für Gäste die kurz ins Internet wollen benutzt du am besten ein rechtlich sicheres Captive Portal mit einem Einmalpasswort:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
bzw.
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Und in der Praxis:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Einige Services müssen vom Internet erreichbar sein und stehen derzeit direkt im LAN (keine DMZ)
Kein Problem mit der o.a. Firewall die über ein drittes LAN Segment verfügt womitz dann eine richtige DMZ realisierbar ist !
Diekt im LAN ist natürlich tödlich ! Kein verantwortungsvoller Netzwerker macht sowas !!
Ein eigenes Audio-Netzwerk wird benötigt (LAN+WLAN)
Kein Thema mit einem mSSID (Multiple SSID) fähigen AP und einem VLAN Switch !
Zugriff vom WLAN auf das Licht-VLAN zur Steuerung
Ein Kinderspiel über die o.a. Firewall und entsprechenden Regeln das nur die zugreifen dürfen die auch die Berechtigung haben !
Fazit: Ein simples 08/15 Allerweltskonzept in dem eine kleine neue 150 Euro Box und ein 150 Euro Switch z.B. Cisco SG-200-24(PoE) plus ein paar mSSID APs alle deine Problemchen auf Schlag löst für einen Bruchteil deiner geplanten Materialschlacht.
Bitte warten ..
Mitglied: sk
27.12.2014 um 18:30 Uhr
Zitat von inwafture:

Login ins WLAN erfolgt über WPA2-Enterprise

Ist doch prima. Professioneller und empfehlenswerter als ein offenes WLAN mit Captive Portal.


Zitat von inwafture:
Folgende Probleme gibt es jetzt:
  • Das Anmelden mit Windows ist relativ kompliziert (vor allem für Gäste die nur kurz ins Internet wollen)

Aber nur unter XP und älter. Und diese Systeme sollten aber nun wirklich langsam mal aussterben...


Gruß
sk
Bitte warten ..
Mitglied: aqui
27.12.2014 um 20:53 Uhr
Ist doch prima. Professioneller und empfehlenswerter als ein offenes WLAN mit Captive Portal.
Nicht unbedingt... Verrät einer der Nutzer (und das ist absehbar wann das passiert...) seinen Usernamen Passwort ist auch diese Sicherung sinnfrei. Bei einem Einmalpasswort macht das nur Sinn in dessen Laufzeit. Danach kann man das Passwort dann so oft "verraten" wie man lustig ist.
Bei Gastzugängen mit unbekannten Gästen ist und bleibt immer noch das offene WLAN mit CP und Einmalpasswort der beste Kompromiss....
Bitte warten ..
Mitglied: inwafture
28.12.2014, aktualisiert um 00:23 Uhr
Captive Portal mit Vouchers ist geplant (bringt es was das Gäste-WLAN zusätzlich mit WPA2 abzusichern? Denn wen Gäste sowiso einen Zettel mit Code benötigen, dann kann der WPA-Key auch dabei stehen)

Ist es möglich zu definieren welche Radius-User sich in welches WLAN einloggen dürfen?

Irgendwelche Empfehlungen für APs?

Den Cisco SG-200-26 (POE) finde ich ab 467€
Router 150€
APs (z.B. 3x Unifi AC) 747€
= fast 1400€

Zitat von sk:
> Zitat von inwafture:
>
> Folgende Probleme gibt es jetzt:
> * Das Anmelden mit Windows ist relativ kompliziert (vor allem für Gäste die nur kurz ins Internet wollen)

Aber nur unter XP und älter. Und diese Systeme sollten aber nun wirklich langsam mal aussterben...

Es ist auch unter Windows 7 und 8 kompliziert (Authentifizierungsmethode muss manuell ausgewählt werden)
Bitte warten ..
Mitglied: sk
28.12.2014, aktualisiert um 11:27 Uhr
Zitat von aqui:

Verrät einer der Nutzer (und das ist absehbar wann das passiert...) seinen Usernamen Passwort ist auch
diese Sicherung sinnfrei. Bei einem Einmalpasswort macht das nur Sinn in dessen Laufzeit. Danach kann man das Passwort dann so oft
"verraten" wie man lustig ist.
Bei Gastzugängen mit unbekannten Gästen ist und bleibt immer noch das offene WLAN mit CP und Einmalpasswort der beste
Kompromiss....

Und warum sollten die 802.1x-Zugangsdaten eine unbegrenzte Laufzeit haben? Auch diese können den Charakter eines Einmalkennwortes haben, weil sie z.B. nur für einen Tag oder nur wenige Stunden Gültigkeit haben. Man benötigt dafür lediglich ein geeignetes Backendsystem und Accesspoints, welche auch die Accounting-Infos liefern.
Eines meiner Hauptprojektes dieses Jahr war das Finden, Evaluieren und Implementieren eines solchen Systems. Umgesetzt wurde das Vorhaben letzlich mit Komponenten von MeruNetworks. Kernkomponente ist der Meru Identity Manager, welchen man grundsätzlich auch mit den Systemen anderer Hersteller kombinieren kann (den IDM hat Meru ohnehin nur zugekauft).

Gruß
sk
Bitte warten ..
Mitglied: sk
28.12.2014, aktualisiert um 12:00 Uhr
Zitat von inwafture:
Irgendwelche Empfehlungen für APs?

Welche Features fehlen Dir denn nun genau bei den vorhandenen APs? VLANs und MultiSSID werden z.B. auch von den vorhandenen NWAs unterstützt und ein zentrales Management wäre ähnlich wie bei Ubiqui auch über eine Software möglich - wenngleich bei lediglich 3 APs doch etwas übertrieben.


Zitat von inwafture:
Es ist auch unter Windows 7 und 8 kompliziert (Authentifizierungsmethode muss manuell ausgewählt werden)

Kann ich nicht bestätigen. Welche Authentifizierungsmethode kommt denn zum Einsatz? Wir verwenden hier PEAP in Verbindung mit einem von einer öffentlichen CA signierten Serverzertifikat. Letzteres führt zwar anders als man erwarten würde nicht dazu, dass der User das Cert nicht einmalig aktiv akzeptieren müsste, aber doch wenigstens dazu, dass er unter Vista und höher das WLAN-Profil nicht von Hand anlegen muss. In der Praxis hat sich dies bei uns als akzeptabel erwiesen.


Zitat von inwafture:
Captive Portal mit Vouchers ist geplant (bringt es was das Gäste-WLAN zusätzlich mit WPA2 abzusichern? Denn wen
Gäste sowiso einen Zettel mit Code benötigen, dann kann der WPA-Key auch dabei stehen)

Ja in Verbindung mit aktivierter Layer2-Isolierung/IntraBBS-Blocking durchaus. Hab ich auch lange so gehandhabt. Der Key dient nämlich nur dem Zutritt zum WLAN, nicht aber der Verschlüsselung. Die Keys dafür werden dynamisch erzeugt.


Zitat von inwafture:
Ist es möglich zu definieren welche Radius-User sich in welches WLAN einloggen dürfen?

Mit geeigneten Komponenten ja.


Gruß
sk
Bitte warten ..
Mitglied: inwafture
28.12.2014 um 15:32 Uhr
Leider sind es Zyxel NWA-1100 APs nicht die 1100-N Version und die können noch keine Vlans/MultiSSD.

Ok das muss ich mal probieren, wusste nicht, dass das Zertifikat auch beim Profil etwas verändert.


Welche Komponenten wären nötig um bei den restlichen 3 Netzen eine Authentifizierung über Radius zu ermöglichen, wobei definierbar sein muss welcher User in welches Wlan darf?



Freundliche Grüße,
Bernhard
Bitte warten ..
Mitglied: sk
LÖSUNG 28.12.2014, aktualisiert 02.01.2015
Hallo Bernhard,


Zitat von inwafture:
Leider sind es Zyxel NWA-1100 APs nicht die 1100-N Version und die können noch keine Vlans/MultiSSD.

Die Dinger sind bzw. waren wirklich übel. Von einem OEM-Partner zugekaufter Murks der billigsten Sorte.


Zitat von inwafture:
Ok das muss ich mal probieren, wusste nicht, dass das Zertifikat auch beim Profil etwas verändert.

Mach mal Deinem Client das öffentliche Cert der CA bekannt, die das Cert des Radius-Servers ausgestellt hat. Das führt zwar nicht dazu, dass - wie man eigentlich erwarten würde - das Serverzertifikat nicht händisch bestätigt werden müsste, jedoch immerhin dazu, dass auch alle Windows-Versionen größer als XP nach Benutzernahme und Kennwort fragen. Wenn man darüber hinaus noch den Haken setzt bei "automatisch verbinden", dann legt Windows nach erstmaligem Durchlaufen der Anmeldeprozedur auch ein WLAN-Profil dazu an.


Zitat von inwafture:
Welche Komponenten wären nötig um bei den restlichen 3 Netzen eine Authentifizierung über Radius zu
ermöglichen, wobei definierbar sein muss welcher User in welches Wlan darf?

Das Radius-Protokoll ermöglicht optional die Übertragung diverser standardisierter und nichtstandardisierter (herstellerspezifischer) Attribute. Wenn der Accesspoint also in seiner Anfrage an den Radiusserver die Information überträgt, in welche SSID der Client die Einwahl versucht, dann kann auf einem geeignetem Radius-Server eine dementsprechende Prüfung stattfinden.
Diese könnte z.B. so aussehen:
1) "Wenn die Anfrage von AP1 kommt, der Client eine Einwahl in SSID_A versucht und der Benutzer Mitglied der Gruppe "WLAN-Berechtigung_A" ist (und das Kennwort stimmt), dann erlaube den Zugriff anderenfalls gehe zur nächsten Policy"
2) "Wenn die Anfrage von AP1 kommt, der Client eine Einwahl in SSID_B versucht und der Benutzer Mitglied der Gruppe "WLAN-Berechtigung_B" ist (und das Kennwort stimmt), dann erlaube den Zugriff anderenfalls gehe zur nächsten Policy"
3) "Verweigere den Zugriff" (=Defaultpolicy)

Übrigens geht auch der umgekehrte Weg: Der Radius-Server kann nicht nur Ja oder Nein sagen, sondern z.B. in Abhängigkeit von einer Gruppenmitgliedschaft eine VLAN-ID oder einen anderen definierten Wert zurückliefern, anhand dessen der Accesspoint den Client dann in ein spezielles VLAN packt (wenn der AP diese Funktionalität unterstützt).

Inwiefern der Radius-Server auf Deinem Synology-NAS so eine Policyabarbeitung zulässt, entzieht sich meiner Kenntnis. Es sollten sich aber im OpenSource-Umfeld relativ problemlos geeignete Alternativen finden lassen. Diesbezüglich bin ich allerdings nicht so kundig.
Wie oben geschrieben, habe ich in einem diesjährigen Projekt den Identitymanager von Meru eingesetzt. Der kann dies und vieles mehr. Allerdings überschreitet allein der IDM schon Euer Budget. Im Rahmen dieses Projektes hatte ich auch geprüft, ob eine Realisierung mittels der Buildin-Funktionalität des bereits von Dir genannten WLAN-Controllers von ZyXEL (bzw. des bei uns vorhandenen NXC5200) möglich ist. Meine spezifischen Projektanforderungen waren damit leider nicht realisierbar, aber diese lagen auch wesentlich über den Deinigen. Leider kann ich im Moment nicht sagen, ob sich Deine Anforderungen mit dem NXC umsetzen lassen - dafür ist das schon zu lange her. Ich müsste das nochmal genau austesten. Allerdings käme ich dazu wohl erst Mitte Februar. Dann hoffe ich ohnehin die neuen managed ac-Accesspoints von ZyXEL (WAC650x) testen zu können. Wenn Dein Projekt also zeitlich nicht zu sehr brennt, lohnt es sich vielleicht noch auf meine Testergebnisse zu warten. Der NXC könnte nicht nur die Funktion des WLAN-Controllers und Authentifizierungsservers übernehmen, sondern ebenso auch als Backendfirewall dienen.


Gruß
Steffen


NACHTRAG:
Mein Test des NXC würde klären, ob die mit der controllerinternen Voucherlösung namens "dynamic Guest" erzeugten Gastkonten auch zur WLAN-Authentifizierung per 802.1x herangezogen werden können und ob über unterschiedliche DynamicGuest-Gruppen auch eine granulare Zugriffsteuerung für verschiedene 802.1x gesicherte WLANs/VLANs möglich ist. Eine Captive Portal-Authentifizierung ist in jedem Fall möglich - doch von diesem antiquiertem Zeug sollte man m.E. langsam mal runterkommen. Was ebenfalls (zumindest bei CP-Authentifizierung) definitv möglich ist, ist die benutzergruppenbezogene Beregelung des Traffics per Firewall: also z.B. Gäste der Gruppe A dürfen nur vom WLAN ins Internet zugreifen, aber Gäste der Gruppe B dürfen zusätzlich auch ins interne Netz zugreifen etc.
Bitte warten ..
Mitglied: gilligan
LÖSUNG 28.12.2014, aktualisiert 02.01.2015
Ich würde in der Konstellation zu einem Lancom 1781VA oder EF+ greifen, die Wlan Controller Option buchen und 3 APs kaufen, fertig. Dann noch Public Spot gebucht und gut ists.
Bitte warten ..
Mitglied: aqui
29.12.2014, aktualisiert um 10:22 Uhr
.@sk
Eines meiner Hauptprojektes dieses Jahr war das Finden, Evaluieren und Implementieren eines solchen Systems. Umgesetzt wurde das Vorhaben letzlich mit Komponenten von MeruNetworks. Kernkomponente ist der Meru Identity Manager, welchen man grundsätzlich auch mit den Systemen anderer Hersteller kombinieren kann (den IDM hat Meru ohnehin nur zugekauft).
Hast du dir mal Aruba Clearpass angesehen ? M.E. ist das dort noch erheblich besser gelöst als bei Meru gerade auch was das Einbinden von 3rd Party Produkten anbetrifft.
Gut Aruba hat nicht das Single Channel Virtual Cell Verfahren wie Meru...oder nur mit Umwegen. Aus Security Sicht ist Clearpass aber durchaus einen Test wert.
Mal abgesehen das es dem TO sicher nicht hilft da weit über sein Budget....
Bitte warten ..
Mitglied: sk
29.12.2014 um 12:35 Uhr
Zitat von aqui:
Hast du dir mal Aruba Clearpass angesehen ? M.E. ist das dort noch erheblich besser gelöst als bei Meru gerade auch was das
Einbinden von 3rd Party Produkten anbetrifft.

Nein das hatte ich nicht auf dem Schirm. Scheint wirklich eine sehr umfangreiche Lösung zu sein. Wobei wir schon die Features des Meru IDM mit unseren spezifischen Anforderungen nicht ausgereizt haben. Selfregistration mit anschließender Prüfung und Freigabe durch einen Sponsor gibt es z.B. auch beim IDM. Das nutzen wir aber genauso wenig wie "Smart Connect".
Kernanforderung in diesem Projekt war die rechteabgestufte Delegation der Verwaltung von Benutzerzugängen und ein zentrales Logging/Monitoring derselben über verschiedene Standorte und Systeme hinweg.


Zitat von aqui:
Gut Aruba hat nicht das Single Channel Virtual Cell Verfahren wie Meru...oder nur mit Umwegen

Die Entscheidung für den MIDM war unabhängig von der späteren partiellen Einführung der WLAN-Lösung von Meru. Natürlich hat es den Schritt hin zu letzterem auch erleichtert, aber grundsätzlich war eine herstellerneutrale Authentifizierungslösung gesucht, da ohnehin vorhandene Systeme eingebunden werden mussten.


Gruß
Steffen
Bitte warten ..
Mitglied: Cougar77
LÖSUNG 29.12.2014, aktualisiert 02.01.2015
Ich kann mich nur gilligan anschließen. Ein LANCOM 1781 (in der entsprechenden Bestückung EF, VA, wie für den Internetzugang notwendig - aber ohne WLAN) + WLAN-controller-Option + Public Spot und drei L-320/321er APs und Du hast alles, was Du brauchst.

Das einfachste für den Gäste-Teil ist offen mit CP. Kommt also drauf an, was über das Gäste-Netzwerk laufen soll. Wenn es hier auch um vertrauliche Daten geht, kann man das durchaus auch verschlüsseln und das Passwort regelmäßig ändern. Missbrauch ist mit dem CP ausgeschlossen, und abhören durch das regelmässig geänderte Passwort.
Alles andere ist die Frage, was man an Aufwand dem Gast zumuten will.
Bitte warten ..
Mitglied: aqui
29.12.2014 um 14:15 Uhr
Eine gute Übersicht an Pro APs findet man auch hier:
https://www.heise.de/artikel-archiv/ct/2015/01/144_Schnellfunker
Bitte warten ..
Mitglied: sk
29.12.2014 um 14:45 Uhr
Wem WPA-Enterprise für den User als zu kompliziert erscheint, für den könnte auch das proprietäre Private-PSK-Verfahren von Aerohive interessant sein. Praktikabler als z.B. die auf den ersten Blick ähnlich erscheinenden Verfahren von Aruba und Lancom.

Gruß
sk
Bitte warten ..
Mitglied: inwafture
29.12.2014 um 21:31 Uhr
Erstmal Danke für die rege Beteiligung hier, schön das sich gleich alle so bemühen

Also mit allem was ich jetzt so neu erfahren habe würde ich es so planen:
  • 1 Wlan für alle Radius-User, mit WPA2-Enterprise, die dann abhängig von der Gruppe automatisch in ihr Vlan umgeleitet werden
  • 1 Wlan für die Gäste, mit WPA2-Personal + Captive Portal mit zeitlich begrenzten Zugangscodes

Was benötigt wird:
Radius-Server (der von Synology hat nur Basisfunktionen)
Freeradius, Windows NPS,..?

Router / Wlan Controller
Lancom 1781 + Wlan Controller Option + Public Spot + 3x Lancom APs
Router (Pfsense?) + Zyxel NXC 2500 + 3x Zyxel APs
Sonstige? (Ich nehme an Meru, Aruba und Aerohive können das auch, aber zu teuer?)

Ich hab die Preise mal ungefähr zusammengerechnet, da liegt Lancom bei ca. 1800€, Zyxel bei 1400€ wobei bei Zyxel nicht klar scheint ob das mit der Radius-Authentifizierung funktioniert, bei Lancom scheint das kein Problem zu sein (Referenzhandbuch "Lancom 1781" S. 867)
Bitte warten ..
Mitglied: Cougar77
30.12.2014 um 06:49 Uhr
Der Radius vom LANCOM funktioniert tatsächlich tadellos und ist eigentlich auch recht einfach einzurichten.
Bitte warten ..
Mitglied: aqui
LÖSUNG 30.12.2014, aktualisiert 02.01.2015
Der FreeRadius auf einem RasPi funktioniert ebenso tadellos und ist noch einfacher einzurichten !!
Und dann erst der NPS Radius Server auf Windows. Rein Klicki Bunti und am einfachsten von allen einzurichten !
Radius-Server (der von Synology hat nur Basisfunktionen)
Das ist Unsinn, da rennt ein FreeRadius und über den Shellzugriff ist der granular einzurichten. Wenn du Klicki Bunti Knecht bist und eh einen Winblows laufen hast nimm den NPS.
Die Linksammlung hier:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
hat die weiteren Infos dazu.
Bitte warten ..
Mitglied: sk
LÖSUNG 30.12.2014, aktualisiert 02.01.2015
Zitat von inwafture:
Also mit allem was ich jetzt so neu erfahren habe würde ich es so planen:
  • 1 Wlan für alle Radius-User, mit WPA2-Enterprise, die dann abhängig von der Gruppe automatisch in ihr Vlan umgeleitet
...
... wobei bei Zyxel nicht klar scheint ob das mit der Radius-Authentifizierung funktioniert, bei Lancom scheint das kein Problem zu sein

Bei den alten ZyNOS-basierenden Accesspoints war dies möglich und war auch im Handbuch klar dokumentiert. Für die aktuellen ZLD-basierenden Accesspoints finde ich leider nirgends einen dementsprechenden Hinweis. Weder im Datenblatt, noch im Handbuch oder allen sonstigen Supportdokumenten. Ohne es selbst ausprobiert zu haben (könnte ich wie gesagt erst Februar), würde ich daher im Zweifel sagen: Nein, geht nicht!

Gruß
sk
Bitte warten ..
Mitglied: inwafture
02.01.2015 um 12:05 Uhr
Ok ich werde mir das mit Lancom mal ansehen.
Vielen Dank für eure Hilfe und die neuen Ideen.


Liebe Grüße,
Bernhard
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows 10
Finde keine Geräte im Netzwerk über WLAN (5)

Frage von mixmastertobsi zum Thema Windows 10 ...

Router & Routing
gelöst WLAN AP einrichten aber ohne zweites Netzwerk (7)

Frage von NetNewbie zum Thema Router & Routing ...

LAN, WAN, Wireless
WLAN-Ortung ohne Anmeldung am WLAN-Netzwerk? (13)

Frage von daniel2104 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Tipps und Hinweise - Internet - Netzwerk - WLAN - 3xAP - Spanien (2)

Frage von herrmeier zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...