mehrere VLAN in einer WLAN SSID

hbauer

@alexbeer ich würde den Radius Server nicht auf die Firewall packen (schon aus prinzip nicht). Ich selbst betreibe für mein Heimnetzwerk eine pfsense mit Radius (on Raspberry Pi) der eine einfache Text Datei als "Datenbank" hat. Aber auf die Idee mein IOT VLAN aus Performance gründen nicht in über eine eigene SSID zu betreiben käme ich erst wenn ich in reale Performance Probleme bekäme. Wahrscheinlich würde ich eher einen zweiten AP kaufen als mich auf die Spezialkonfiguration einzulassen.

alexbeer

@jegr said in mehrere VLAN in einer WLAN SSID:

Warum LDAP? Was hat das an der Stelle denn damit zu tun?

... Hatte das als verpflichtend im Hinterkopf. Ist aber optional und ich kann darauf verzichten.

@hbauer :
Ich steh auf dem Schlauch. Warum rätst du mir aus Prinzip ab, den RADIUS auf der pfSense zu installieren? Du verwendest den doch auch? Habe da auf die schnelle mehrere Threads zB im Ubiquiti Forum, dir gerade in Verbindung mit der pfSense davon sehr angetan sind.
P.S. habe bereits zwei AP im Einsatz - über die Provisionierung sind beide identisch konfiguriert. Auf zusätzliche Hardware würde ich gerne verzichten

VG und Danke für euren Input.

hbauer

@alexbeer Bei mir läuft der Radius Server wie schon geschrieben auf einem Rasperry Pi. Für mich gehört ein Anmelde Server nicht auf eine Firewall.

alexbeer

OK, danke.
Ist wohl ne Philosophie Frage und es gibt unterschiedliche Ansichten. Hast du Erfahrung mit dem Docker Container https://hub.docker.com/r/freeradius/freeradius-server? Das wäre etwas, was ich mir noch vorstellen könnte...

hbauer

@alexbeer Ich mache gerade meine ersten Erfahrungen mit Docker für Anwendungen. Für den privaten Bereich könnte ich mir auch gut einen Freeradius Server in Docker vorstellen.

JeGr

@hbauer said in mehrere VLAN in einer WLAN SSID:

@alexbeer ich würde den Radius Server nicht auf die Firewall packen (schon aus prinzip nicht)

Und welches Prinzip ist das? Radius wird an der Stelle zur Authentifizierung eingesetzt - und hat damit durchaus seine Berechtigung auf einer Firewall. Im Gegensatz zu Proxies und sonstigen Diensten wo man fabulös streiten und argumentieren kann, ob das auf der Firewall selbst laufen muss, sehe ich da bei Radius - schon alleine weil man diesen auch bei VPN und Co einsetzt/einsetzen kann - wenig Reibungspunkte. Zumal es kein "Anmeldeserver" ist, sondern credentials verwaltet - was die Firewall eh tut. Für die WebUI, für VPN, für Captive Portal etc. etc. Hier nutzen kommerzielle Lösungen großer Anbieter bspw. bereits von Anfang an Radius als Backend. Zudem muss der Zugriff auf Radius regeltechnisch wie auch durch Anlage des Client erst einmal erlaubt werden, also alles schön abgesichert.

Docker als Alternative ringt mir fast schon ein Schmunzeln ab. Ich glaube ich habe mehr Systeme und Architekturen netzwerk- und sicherheitstechnisch baden gehen sehen auf Grund des ganzen "Yeah Container!" Hypes als durch einen sinnvollen Dienst auf einem Border Gateway

hbauer

@jegr Wenn ich den Radius Server nur für die Anmeldung auf pfsense einsetze dann ist es wirklich egal. Der Topic Opener möchte dort aber Anmeldedaten für andere Anwendungen (hier WLANs) auf die Firewall packen. Das finde ich aus einer Architekturperspektive "nicht günstig". Wenn man für 30Eur eine preiswerte stromsparende Alternative (Radius auf RPI) gibt ist es für mich keine Frage. Für die "Kosten" würde ich die Systeme entkoppeln.

alexbeer

Hallo Jens,
ich bin überzeugt. Ich werde es einfach mal ausprobieren.
Ich habe auf die schnelle dieses (etwas ältere) Tutorial gefunden.
Ich werde das mal in Rue durchlesen.
Spricht aus deiner Erfahrung etwas dagegen - die Autehntifizierung von USer/PW und Client-Zertifikaten zu mischen.
Die mobilen Geräte haben zur Noutzung von openVPN bereits ein Client-Zertifikat (von der pfSense-CA ausgestellt).
Nach Möglichkeit würde ich dass dann zur Authentifizierung verwenden.

VG Alex

JeGr

@alexbeer said in mehrere VLAN in einer WLAN SSID:

Spricht aus deiner Erfahrung etwas dagegen - die Autehntifizierung von USer/PW und Client-Zertifikaten zu mischen.

Wie ist das gemeint? Den Satz verstehe ich in dem Zusammenhang gerade nicht ganz :)

alexbeer

Hi, vermutlich liegt der fehlende Zusammenhang an meinen Verständnislücken.
Ich würde gerne EAP-TLS, PEAP und MAC-Authentifizierung mischen.
Nach Möglichkeit würde ich gerne die Authentifzierung per Zertifikat (da sgleiche wie bei openVPN oder dem ReverseProxy) verwenden. Kann ein Gerät da mit nicht umgehen, dann PEAP und wenn das nicht geht, dann halt via MAC-Adresse.

Konkrete Frage noch:
In einem Tutorial hatte ich gesehen, dass die Clients im RADIUS wie folgt definiert wurden:

client 192.168.100.0/24 {
       secret          = radiustest
       shortname       = Testnetz
}

Die Netzwerkmaske lässt sich aber nicht per GUI definieren. Editiere ich die clients.conf, wird das Ergebnis nicht in der GUI angezeigt.
Ich hätte diesen Weg charmant gefunden, da ich die IP-Adressen der APs ber DHCP und nicht fest vergeben habe.
Wie macht man dass denn derzeit am "besten"?
VG Alex

alexbeer

Hallo,
Habe jetzt Mal angefangen den Radius zu konfigurieren, beim Testversuch bekomme ich zu der Eingabe

radtest test test 127.0.0.1:1812 0 secret

Folgendes Ergebnis:

(0) No reply from server for ID 47 socket 3
Sent Access-Request Id 47 from 0.0.0.0:14417 to 127.0.0.1:1812 length 74
	User-Name = "test"
	User-Password = "test"
	NAS-IP-Address = 192.168.1.1
	NAS-Port = 0
	Message-Authenticator = 0x00
	Cleartext-Password = "secret"

Ich habe diesen Fehler bislang nur in sehr alten Threads gefunden.
In den Logs habe ich keine Ursache gefunden - habe aber ggf noch nicht das richtige Log gefunden.
Ich vermute, dass die Firewall ursächlich ist.
Auf WAN und LAN Seite habe ich eine neue Regel : UDP von:* nach:* Port: 1812-1813
definiert. Geholfen hat es nicht. Habt ihr eine Idee, was hier mein Fehler ist?