Userberechtigungen Freeradius (Mehrere SSIDs und Switchports mit 802.1x und AAA)
-
Nachdem mich JeGr mit den Unifi APs angefixt hat, musste ich mir direkt Einen zulegen. (JeGr du bist schuld :P )
Gesagt getan, heute ist das Teil angekommen.
Ziel ist/war es, eine Radius Authentifizierung (802.1x EAP) mit mehreren SSids und/oder User-Based VLAN.
Prinzipiell hab ich das auch erstmal hinbekommen, nur hab ich jetzt das Problem, dass ein Radius User auf alle Wifi-Netze kann, auf denen eine Radius Authentifizierung läuft. :-[
Bei User-Based VLAN gibts das Problem natürlich nicht, da ja der User in das ensprechende Vlan geschoben wird, aber ich wollte noch ein weiteres Gast-Netz erstellen incl. Radius.Wie bekomme ich es hin, dass nicht jeder User alles darf ? Eine Auswahl, welcher User z.b. welches NAS benutzen darf gibt es in der Webui nicht.
-
Nachdem mich JeGr mit den Unifi APs angefixt hat, musste ich mir direkt Einen zulegen. (JeGr du bist schuld :P )
Wuuuaaaas? :o :D
Ziel ist/war es, eine Radius Authentifizierung (802.1x EAP) mit mehreren SSids und/oder User-Based VLAN.
Das eine brauchst du nicht, wenn du das andere machst :) Sprich: es genügt eine SSID, die die User rausgibt und dann anhand des Users diesen in das entsprechend hinterlegte VLAN prügelt.
Bei User-Based VLAN gibts das Problem natürlich nicht, da ja der User in das ensprechende Vlan geschoben wird, aber ich wollte noch ein weiteres Gast-Netz erstellen incl. Radius.
Warum brauchst du bei Gast Radius? Ich würde für Gäste generell einfach ein Gäste VLAN machen und eine eigene SSID. Alternativ - wenn du keine Identifikation willst/brauchst - geht auch ein Gast User der dann ins Gäste VLAN gemappt wird und entsprechend noch ein Portal vor die Nase bekommt. Wie haben das mit dem Portal via Controller Software gelöst (weil mapping und Portal da schöner zu realisieren war) und ein eigene Gast SSID mit WPA2 Passwort. Gäste bekommen dann nen schicken Voucher für 2,4,8,24h (oder unlimited) und gut :)
Wie bekomme ich es hin, dass nicht jeder User alles darf ?
Über die Zuordnung in VLANs? Oder ist das zu grob/komplex?
Gruß
-
Ich hab die User/Vlan Zuordnung ja schon am laufen, das funktioniert soweit auch zufriedenstellend.
Mein Problem ist, dass ich dem Radius User keine granuliertere Berechtigungen zuteilen kann.
Zb. kann das Radius Zertifikat für das Handy meines Sohnes auch für die 802.1x Switchport Authentifizierung benutzt werden.
Oder ein User mit Passwort, kann sowohl für WLAN als auch für Portsecurity als auch für den AAA Zugang auf meinem Switch genutzt werden.Auf einer Cisco ACS bzw. ISE z.b. kannst du sagen, der User darf das und das nicht. (Und nein, ich will sowas nicht Zuhause installieren)
Leider kenne ich mich mit Freeradius überhaupt nicht aus und habe mich gestern mal ein wenig damit befasst. In der Theorie ist sowas auch möglich, wenn auch nicht einfach.
Nur mit einem Spruch im User wie z.B. Called-Station-SSID != "VerboteneSSID" ist es nicht getan.Hätte ja sein können, dass sich hier eine Freeradius Spezi befindet und mir gegebenefalls auf die Sprünge hilft.
-
Soo, ich bin mal einen Schritt weiter,
nachdem ich gestern meinen neuen 8Port Switch (Linksys LGS308) für das Dachgeschoss bekommen habe, konnte ich die ersten Tests mit 802.1x und dynamic Vlan Port Assignment durchführen.
Der Linksys ist im Übrigen einer von wenigen bezahlbaren 8pot Switches, die dieses Feature anbieten. Das Webif und das CLI ist zwar noch immer Linksys based (Das ist kein Pluspunkt ;) ), aber einige Netzwerk Features wurden wohl von Cisco übernommen.
Ergebnis, es funktioniert erstmal, aber …....
Leider habe ich historisch bedingt mein Home-LAN auf Vlan 1 und das stellt sich im nachhinein als Nachteil heraus.
Problem ist nämlich, für den Switch muss ich, wenn ich dynamic Vlan Port Assignment durchführen möchte, im Radius Server die 1 bei Vlans eintragen (Ist ja nicht weiter schlimm), jedoch will dann der Ubiquiti AP das Vlan 1 taggen und das scheitert, da ich Vlan 1 als Nativ Vlan (untagged) eingerichtet habe.
Ich dachte mir kein Problem, biege ich das Nativ Vlan in ein Management Netz um und tagge dann Vlan 1 (Bei meiner SSID mit fixem VLan und WPA-PSK für dumme IOT Geräte) , doch das funktioniert auch nicht, da der Unifi AP das (noch) nicht kann :/So muss ich jetzt in den sauren Apfel beissen und mein HomeLan auf ein anderes VLan schieben (Kotz)
Wie dem auch sei, grundsätzlich geht es jedenfalls.
Im Zuge dessen, habe ich noch die AAA Radius Authentifizierung am Linksys mit Freeradius getestet, mit einem positiven Ergebnis, es hat nicht funktioniert.
Womöglich benötigt der Linksys vom Radius noch zusätzliche Angaben. Was gut ist, da sonst jeder User mit Passwort auf den Switch käme.Ach nochwas, wer auch sowas ähnliches plant und vor der Auswahl preiswerter Switche mit 802.1x steht, kauft euch keine TP-Link Switche. Diese können nur 802.1x mit einer proprietären TP-Link Software plus WinPcap. Unter Linux oder anderen Systemen, die kein Windows sind, wird das meiner Erkenntnis nach, nicht funktionieren.
Heute kommt noch mein neuer 24Port Hauptswitch (Zyxel GS1920), der meinen TP-Link ablösen soll und auch dynamisch die Vlans vergeben kann. Mal schauen ob er hält was er verspricht.
Da ich jetzt nur eine SSID mit WPA-EAP betreibe, die Switche demnächst auch dynamic Vlan beherrschen und mit der normalen Userkennung mit Passwort kein AAA Login möglich ist, hat sich mein Anliegen prinzipiell erledigt. Auch wenn es zukünfig eventuell noch relevant wird.
-
Ach nochwas, wer auch sowas ähnliches plant und vor der Auswahl preiswerter Switche mit 802.1x steht, kauft euch keine TP-Link Switche. Diese können nur 802.1x mit einer proprietären TP-Link Software plus WinPcap.
Unter Linux oder anderen Systemen, die kein Windows sind, wird das meiner Erkenntnis nach, nicht funktionieren.Kann ich so nicht bestätigen. Manche älteren TP-Link Switche brauchen ein Windows Tool, richtig, aber alles was ich von denen aktuell gesehen habe, hat eine recht moderat bedienbare (auch nicht schlechter als HP und Co) WebUI die problemlos alle Einstellungen zur Verfügung stellt.
-
Kann ich so nicht bestätigen. Manche älteren TP-Link Switche brauchen ein Windows Tool, richtig, aber alles was ich von denen aktuell gesehen habe, hat eine recht moderat bedienbare (auch nicht schlechter als HP und Co) WebUI die problemlos alle Einstellungen zur Verfügung stellt.
Hi, ich glaube wir reden aneinander Vorbei ;)
Ich rede nicht von dem Webui oder einem Configuration Tool. Ich rede hier von dem "TP-Link 802.1x Client". Ich hatte 2 recht aktuelle TP-Links mit Webui. Aber auch die neuesten benötigen für 802.1x (LAN) diesen Client.
Siehe hier….
http://www.tp-link.es/faq-787.htmlDavon abgesehem beherrschen die TP-Links kein 802.1x Based VLAN Assignment.
Wenn jedoch 802.1x keine Rolle spielt, kann beruhigt TP-Link Switche benutzen, bei dem Preis was die kosten, hat man viel Switch fürs Geld.Mein aktueller Status ist im Übrigen folgender….
Der neue Hauptswitch (Zyxel GS1920-24) ist mittlerweile eingebaut. 802.1x based Vlan Assignment funktioniert.
Ein Wlan Gast-Netz mit Voucher Access ist auch eingerichtet und das neue Kindernetz läuft auch.
Was noch fehlt, ist der Wechsel meines HomeNet vom VLan1 auf ein Anderes. Das dauert noch ein wenig.Gruß
Rubinho -
Ah my bad. Das hab ich tatsächlich überlesen. Danke für die Korrektur :)