Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense freeradius 802.1x

    Scheduled Pinned Locked Moved Turkish
    7 Posts 5 Posters 4.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      vgumus
      last edited by

      Arkadaşlar Merhaba;

      Şimdi Şöyle bir olay var fikirlerinizi paylaşabilirseniz sevinirim. Pfsense üzerinde proxy dhcp captiva portal çalışır durumda ve 2 adet vlan tanmlı
      switch üzerindede gerekli vlan ayarlarmaları yapılmış durumda vlan 10 şirket ağı iken vlan 20 misafir ağı dhcp üzerinden gerekli ip blocklarından iplerini alıyor captiva portal vlan 20 dinlemekte. şimdi sıkıntının olduğu kısım ise access point üzerinde vlan 10 veya vlan 20 den gelen makine otomatik ip alıp internete çıkabiliryor. benim yapmak istediğim dhcp den ip almadan önce bir kimlik doğrulamasından geçşin access point üzerindeki kimlik doğrulama metodlarından birini kullanabilirim ama misafir veya şirket wirelles ağından gelen tekrar şifrelemeye maruz kalacak squid veya captiva portal tarafında. tek şifreleme ile bu işi nasıl çözebilirim.
      Vlan 10 Şirket ağı squid tarafından ldap aracılığı ile active directory üzerinde kimlik doğrulama yapıyor.
      vlan 20 misafir ağı ise freeradius captiva portal aracılığı ile internete çıkış yatırılıyor.
      amac dhcpden ip almadan sisteme giriş olmasın… Umarım anlatabilmişimdir.
      Şimdiden teşekkür ederim

      1 Reply Last reply Reply Quote 0
      • A
        arakis
        last edited by

        @vgumus:

        Arkadaşlar Merhaba;

        Şimdi Şöyle bir olay var fikirlerinizi paylaşabilirseniz sevinirim. Pfsense üzerinde proxy dhcp captiva portal çalışır durumda ve 2 adet vlan tanmlı
        switch üzerindede gerekli vlan ayarlarmaları yapılmış durumda vlan 10 şirket ağı iken vlan 20 misafir ağı dhcp üzerinden gerekli ip blocklarından iplerini alıyor captiva portal vlan 20 dinlemekte. şimdi sıkıntının olduğu kısım ise access point üzerinde vlan 10 veya vlan 20 den gelen makine otomatik ip alıp internete çıkabiliryor. benim yapmak istediğim dhcp den ip almadan önce bir kimlik doğrulamasından geçşin access point üzerindeki kimlik doğrulama metodlarından birini kullanabilirim ama misafir veya şirket wirelles ağından gelen tekrar şifrelemeye maruz kalacak squid veya captiva portal tarafında. tek şifreleme ile bu işi nasıl çözebilirim.
        Vlan 10 Şirket ağı squid tarafından ldap aracılığı ile active directory üzerinde kimlik doğrulama yapıyor.
        vlan 20 misafir ağı ise freeradius captiva portal aracılığı ile internete çıkış yatırılıyor.
        amac dhcpden ip almadan sisteme giriş olmasın… Umarım anlatabilmişimdir.
        Şimdiden teşekkür ederim

        yalnış anlamadıysam eğerki ip almadan nasıl bir doğrulamaya sayfasına gitsinki bir ip alması şart bence

        1 Reply Last reply Reply Quote 0
        • V
          vgumus
          last edited by

          802.1x teknolojisi ayrı bir protokol kullanarak radius sunucular üzerinden kimlik doğrulama yapabiliyorlar.çok bilmemek kaydıyla. üstatlar gerekli açıklamayı yaparlar umarım

          1 Reply Last reply Reply Quote 0
          • M
            MrPerFormance
            last edited by

            Kullanıcıların radius sunucusuna ulaşabilmesi için dhcp den ip alması gerekmez mi?

            1 Reply Last reply Reply Quote 0
            • V
              vgumus
              last edited by

              Merhaba,

              IEEE 802.1X standardı;  noktadan noktaya bağlantılara sahip LAN portuna takılmış cihazların kimlik doğrulama ve yetkilendirilmesine olanak sağlayan  port tabanlı ağ erişim denetimidir. Ağda port tabanlı kullanıcı doğrulayabilmek, herhangi bir kullanıcıya ya da gruba ‘ağa erişim politikaları’ uygulamaya imkan tanır. Kimlik doğrulama ve yetkilendirme başarısızsa o port erişime kapatılır ve bu sayede yerel ağ altyapısı korunmuş olur. Kullanıcı doğrulama; MAC adresi, switch portu ya da harici bir yetkilendirme politikası ile sağlanır. Ağa kimin hangi hakla gireceğinin belirlenmesi, denetlenmesi ve yetkilendirmesi; kullanıcı odaklı, ağ tabanlı erişim kontrolü olan NAC tarafından belirlenir.
              Genişletilebilir Kimlik Kanıtlama Protokolü (EAP-Extensible Authentication Protocol), 802.1X’in kullanıcı doğrulama işlemi boyunca PPP (Point-to-Point) iletim katmanı üzerinde IP’ye ihtiyaç duymadan genel bir çerçevede kimlik tanımlama sistemi olan iyileştirilmiş bir iletim protokolü standardıdır.

              İstemci (kimlik doğrulaması yapmak isteyen kullanıcı) ve kimlik denetiminin yapıldığı sunucu (Authentication Server) arasında bulunan denetleyici (authenticator) cihaz, bağlantı durumunda istemciye EAP-Request/Identity paketi gondererek kendisini tanıtmasını ister.
              İstemci,kimliğini tanıtan EAP-Response/Identity paketi ile cevap verir. Ve bu paket enkapsüle edilerek sunucuya gönderilir.
              Sunucu, denetleyiciye şifreli token sistemi gibi bir davetiye atar. Denetleyici bu paketi açıp EAPOL (LAN üzerinden EAP) içerisinde istemciye gönderir. İstemci davetiyeye denetleyici üzerinden cevap gönderir.
              Eğer istemci gerekli kullanıcı tanımına ve haklarına sahipse, sunucunun gönderdiği doğrulayıcı mesaj denetleyicinin istemciye LAN’a erişim izni vermesiyle sonuçlanır.

              alıntıdır…...

              1 Reply Last reply Reply Quote 0
              • B
                blasterreal
                last edited by

                HP MSM 310 serisi access point var elimde üzerindeki radius yapılandırmasını pfsense göre göre ayarlıyorum (Radius MAC Doğrulaması). Bir kullanıcı wifi olrak bağlanmaya kalkınca otomatikman Radius MAC doğrulamasını geçiyor ve ardından Kullanıcının MAC adresi Captive portalda tanımlı ise interneti hiç bir doğrulama yapmadan veriyor eğer Captive portal'a MAC adresini yazmamış isem hali ile şifre ekranı geliyor. Burda üzerinde durmam gereken bir nokta bir çoğu kurumsal access pointte bunu yapabilirsiniz. Ama linksys,usrobotics bv çözümler ile bunu yapamazsınız.

                1 Reply Last reply Reply Quote 0
                • G
                  gsezen
                  last edited by

                  Burada üzerinde dd-wrt yülkü bir cihaz ile pfsense ve radius kullanımını anlatmışlar.

                  http://www.gridstorm.net/quick-tip-dd-wrt-radius-pfsense/

                  Saygılarımla.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.