Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Über WLAN mit RADIUS in VLAN mit Zugriff auf Kabelgebundenes Netzwerk

Frage Linux Linux Netzwerk

Mitglied: felixcc

felixcc (Level 1) - Jetzt verbinden

02.02.2011, aktualisiert 18.10.2012, 5768 Aufrufe, 6 Kommentare, 1 Danke

Hallo Zusammen,

nach langer Recherche über RADIUS-Server bin ich des öfteren über dieses Board gestolpert.
Da ich eine Lösung auf meine Fragestellung nicht finden konnte, hoffe ich nun, dass ihr -wie mir scheint- sehr kompetenten Mitglieder mir ein wenig helfen könnt.

Ich habe sowohl die Boardsuche, als auch Google bereits bemüht, konnte allerdings keine Lösungen für mein Problem finden.
Das könnte allerdings auch dran liegen, dass ich mich auf diesem Bereich so gut wie garnicht auskenne und deswegen vielleicht nach den falschen Begriffen gesucht habe.
Sollte dieses Thema also schon angesprochen worden sein, würde ich mich über einen Link dorthin sehr freuen.
Ansonsten bin ich natürlich über jeden hilfreichen Hinweis dankbar!!


So, nun kommen wir mal zu meinem Problem.
Ich bin auf der Suche nach einer sicheren Lösung für folgende Anforderungen:
1) sicheres WLAN
2) weiträumige Abdeckung von WLAN
3) Zugriff von festgelegten Geräten (2-5 Stück) über das WLAN auf einen mit Kabel verbunden PC
4) Andere Geräte (ca. 50 oder mehr) dürfen auf keinen Fall Zugriff auf diesen PC bekommen und nutzen WLAN nur, um in das Internet zu kommen.

Das ist mal ganz grob zusammengefasst die Anforderung.
Ich habe mir dazu folgendes überlegt.
1) WPA2-Verschlüsselung, da viele Endgeräte im Spiel sind mit RADIUS-Server.
2) mehrere APs mit Lankabel über Switch verbunden (Netzplan weiter unten im Beitrag)
3/4) VLANs für die beiden Benutzergruppen einrichten.

Ich habe leider momentan kein Visio oder ähnliches zur Verfügung und versuche deshalb den Plan hier recht einfach zu skizzieren.

- - - - = Lankabel
) ) ) ) = WLAN-Verbindung



_ _ _ _ AP2 ) ) ) ) ) ) Laptop3
|
|
Switch - - - - - - - - - - RADIUS-Server
| | |- - - - - - - - - - - - Router ? - - - - - Internet?
| | - - - - - - - - PC1
|
AP3 ) ) ) ) ) Laptop2
) ) ) ) ) ) ) Laptop 1

Ich werde wohl einige APs mehr benötigt, aber fürs Prinzip sollte die Zeichnung genügen.
Die Sache mit dem Internet ist mir nicht ganz so wichtig.
Wichtig ist folgende Sache:
- Laptop2 soll nach der Authentifizierung über RADIUS eine sichere Verbindung zu PC1 bekommen, eine Verbindung zu anderen Geräten im Netztwerk ist nicht erwünscht.
- Laptop 1 und 3 hingegen, sollen sich auch Authentifizieren können und den Zugriff auf das WLAN gestattet bekommen, sie sollen allerdings nichts von PC1 oder Laptop3 mitbekommen. Eine Internetverbindung für diese beiden Laptops wäre optional (ist wie gesagt aber nicht ganz so wichtig)


Für den RADIUS-Server habe ich FreeRadius gefunden, was mir sehr gut gefällt (Ich hab aber noch keinerlei Erfahrung auf diesem Gebiet.)
Die APs müssen hierzu auch RADIUS-FÄHIG sein und werden als Radius-Clients eingetragen. Soviel ist mir auch schon klar.
Ich weiß auch, dass man im Radius-Server nun konfigurieren kann welcher Benutzer in welches VLan gesteckt wird.
Prinzipiell ist mir also die Vorgehensweise klar, wie ich mein Problem lösen könnte, wenn der PC über einen AP verbunden wäre.

Wie ist es nun aber mit einem lokal im Netz angeschlossenen PC. Geht das überhaupt, neben den APs einen PC anzuschließen?
Wenn nein, wie muss ich es dann machen und wenn ja, wie bekomme ich es dann hin, dass er im gleichen VLan landet wie der Laptop2 und auf garkeinen Fall von den anderen Geräten auf ihn zugegriffen werden kann?
Wo müsste ich denn hier Firewalls richtig einsetzen?
Ist das Konzept, so wie ich es mir überlegt hab überhaupt möglich?



So viele Fragen... ich hoffe ihr könnt mir helfen!
Vielen Dank

Felixcc
Mitglied: aqui
02.02.2011, aktualisiert 18.10.2012
Dieses Tutorial hast du gelesen ??

http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...

In Kombination mit:

http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

ist die Umsetzung deines Vorhabens ein Kinderspiel....
Bitte warten ..
Mitglied: felixcc
07.02.2011, aktualisiert 18.10.2012
Vielen Dank für die schnelle Antwort.

Ich habe mich jetzt überall durchgearbeitet und mir ist zusammen mit diesem Artikel:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
das Funktionsprinzip klargeworden.
Leider habe ich noch keine Hardware da, um zu testen....

Nur noch eine kleine Frage:
In einem wie oben beschriebenen Netzt mit 802.1x Authentifizierung, ist da WLAN-Roaming möglich, bzw was muss ich beachten um eine Neuanmeldung an jedem AP zu vermeiden?
Bitte warten ..
Mitglied: aqui
07.02.2011 um 21:38 Uhr
Das ist mit Konsumer standalone APs nicht zu machen ohne Neuanmeldung. Alternative ist du benutzt Zertifikate zur Anmeldung dann musst du nix eintippen.
Ansonsten geht das nur mit Roaming fähigen oder Controller basierten APs...die dann aber etwas teuerer sind
Bitte warten ..
Mitglied: felixcc
08.02.2011 um 13:40 Uhr
Vielen Dank für deine schnelle und informative Antwort, aqui.

Meinst du mit Zertifikat-basierende Anmeldung z.B. Authentifizierung über EAP-TLS oder verwechsel ich da jetzt etwas?
Was wäre denn die aktuellste und sicherste Möglichkeit eine solche zertifizierte Authentifizierung zu realisieren? EAP-TTLS?

Wird dabei Roaming unterstützt oder kommt es dem Benutzer nur so vor, weil er von der Neuanmeldung nichts mitbekommt?
Prinzipiell müsste es möglich sein, eine VNC-Verbindung ohne Verbindungsabbruch aufrecht zu erhalten, wenn der ClientPC sich frei zwischen den APs bewegt.

Das ganze sollte den höchstmöglichen aktuellen Sicherheitsmaßnahmen gerecht werden.
Ist bei einer RADIUS-Authentifizierung fürs WLAN noch ein VPN-Tunnel zwischen dem VNC-Server und VNC-Client zu empfehlen?
Bitte warten ..
Mitglied: aqui
08.02.2011, aktualisiert 18.10.2012
Zu deinen obigen Fragen siehe dies Tutorial:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Dort ist die Zertifikats Variante detailiert erklärt !
Ein wirkliches Roaming gibt es bei Konsumer APs nicht, deshalb kommt es dem Nutzer nur so vor, da er kein Passwort eingeben muss. Einen kleinen Hänger wirst du also immer haben.
Zudem kommt es auf dein Client Roaming Verhalten an im Treiber des Rechners. Die meisten Billigchipsätze wie Realtek, Ralink und Co. sind da wirklich mies. Die roamen erst wenn wenn die Bandbreite unter 1 oder 2 Mbit sinkt und der andere AP schon um die Ecke ist.
Bessere Clients wie die von Atheros und Intel bieten in den Treiber Settings oft den Button "Agressive Roaming" den man immer aktivieren sollte wenn ein schnelles Roaming erforderlich ist.
Leider ist das komplett Client abhängig wenn du keine Controller basierende WLAN Lösung hast !
VNC ist schon verschlüsselt allerdings hängt der Grad der Verschlüsselung von der verwendeten Version ab zu der du leider nix sagst
http://de.wikipedia.org/wiki/Virtual_Network_Computing
Letztlich ist damit dann kein Tunnel notwendig aber mit einem entsprechend sicher verschlüsselten VPN ist es dann absolut wasserdicht. Muss aber nicht unbedingt sein.
Bitte warten ..
Mitglied: felixcc
08.02.2011 um 16:03 Uhr
Lieber aqui,

schon wieder so schnell so gut geholfen!!!
Vielen Dank dafür!!

Ich kann weder zu der verwendeten VNC-Version noch zu der verwendeten Hardware Aussagen treffen, da sie noch garnicht angeschaft worden sind.
Bzw Es wird das beschafft, was die Anforderungen erfüllen kann.


Soweit ist dann alles klar,
ich danke die sehr für deine kompetente und qualifizierte Hilfe!
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
Zugriff auf Netzwerk ohne public-IP (14)

Frage von tr1plx zum Thema Router & Routing ...

Windows Server
Kein Zugriff auf Netzwerk-Unterordner - trotz Berechtigung?! (4)

Frage von ordi303 zum Thema Windows Server ...

LAN, WAN, Wireless
Kein Zugriff im Netzwerk auf externe Festplatte (2)

Frage von achklein zum Thema LAN, WAN, Wireless ...

Windows Server
Nicht Domänencomputer verkabelt und NPS (und WLAN RADIUS)

Frage von derLenhart zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (10)

Frage von 1410640014 zum Thema Backup ...