Pfsense freeradius 802.1x



  • Arkadaşlar Merhaba;

    Şimdi Şöyle bir olay var fikirlerinizi paylaşabilirseniz sevinirim. Pfsense üzerinde proxy dhcp captiva portal çalışır durumda ve 2 adet vlan tanmlı
    switch üzerindede gerekli vlan ayarlarmaları yapılmış durumda vlan 10 şirket ağı iken vlan 20 misafir ağı dhcp üzerinden gerekli ip blocklarından iplerini alıyor captiva portal vlan 20 dinlemekte. şimdi sıkıntının olduğu kısım ise access point üzerinde vlan 10 veya vlan 20 den gelen makine otomatik ip alıp internete çıkabiliryor. benim yapmak istediğim dhcp den ip almadan önce bir kimlik doğrulamasından geçşin access point üzerindeki kimlik doğrulama metodlarından birini kullanabilirim ama misafir veya şirket wirelles ağından gelen tekrar şifrelemeye maruz kalacak squid veya captiva portal tarafında. tek şifreleme ile bu işi nasıl çözebilirim.
    Vlan 10 Şirket ağı squid tarafından ldap aracılığı ile active directory üzerinde kimlik doğrulama yapıyor.
    vlan 20 misafir ağı ise freeradius captiva portal aracılığı ile internete çıkış yatırılıyor.
    amac dhcpden ip almadan sisteme giriş olmasın… Umarım anlatabilmişimdir.
    Şimdiden teşekkür ederim



  • @vgumus:

    Arkadaşlar Merhaba;

    Şimdi Şöyle bir olay var fikirlerinizi paylaşabilirseniz sevinirim. Pfsense üzerinde proxy dhcp captiva portal çalışır durumda ve 2 adet vlan tanmlı
    switch üzerindede gerekli vlan ayarlarmaları yapılmış durumda vlan 10 şirket ağı iken vlan 20 misafir ağı dhcp üzerinden gerekli ip blocklarından iplerini alıyor captiva portal vlan 20 dinlemekte. şimdi sıkıntının olduğu kısım ise access point üzerinde vlan 10 veya vlan 20 den gelen makine otomatik ip alıp internete çıkabiliryor. benim yapmak istediğim dhcp den ip almadan önce bir kimlik doğrulamasından geçşin access point üzerindeki kimlik doğrulama metodlarından birini kullanabilirim ama misafir veya şirket wirelles ağından gelen tekrar şifrelemeye maruz kalacak squid veya captiva portal tarafında. tek şifreleme ile bu işi nasıl çözebilirim.
    Vlan 10 Şirket ağı squid tarafından ldap aracılığı ile active directory üzerinde kimlik doğrulama yapıyor.
    vlan 20 misafir ağı ise freeradius captiva portal aracılığı ile internete çıkış yatırılıyor.
    amac dhcpden ip almadan sisteme giriş olmasın… Umarım anlatabilmişimdir.
    Şimdiden teşekkür ederim

    yalnış anlamadıysam eğerki ip almadan nasıl bir doğrulamaya sayfasına gitsinki bir ip alması şart bence



  • 802.1x teknolojisi ayrı bir protokol kullanarak radius sunucular üzerinden kimlik doğrulama yapabiliyorlar.çok bilmemek kaydıyla. üstatlar gerekli açıklamayı yaparlar umarım



  • Kullanıcıların radius sunucusuna ulaşabilmesi için dhcp den ip alması gerekmez mi?



  • Merhaba,

    IEEE 802.1X standardı;  noktadan noktaya bağlantılara sahip LAN portuna takılmış cihazların kimlik doğrulama ve yetkilendirilmesine olanak sağlayan  port tabanlı ağ erişim denetimidir. Ağda port tabanlı kullanıcı doğrulayabilmek, herhangi bir kullanıcıya ya da gruba ‘ağa erişim politikaları’ uygulamaya imkan tanır. Kimlik doğrulama ve yetkilendirme başarısızsa o port erişime kapatılır ve bu sayede yerel ağ altyapısı korunmuş olur. Kullanıcı doğrulama; MAC adresi, switch portu ya da harici bir yetkilendirme politikası ile sağlanır. Ağa kimin hangi hakla gireceğinin belirlenmesi, denetlenmesi ve yetkilendirmesi; kullanıcı odaklı, ağ tabanlı erişim kontrolü olan NAC tarafından belirlenir.
    Genişletilebilir Kimlik Kanıtlama Protokolü (EAP-Extensible Authentication Protocol), 802.1X’in kullanıcı doğrulama işlemi boyunca PPP (Point-to-Point) iletim katmanı üzerinde IP’ye ihtiyaç duymadan genel bir çerçevede kimlik tanımlama sistemi olan iyileştirilmiş bir iletim protokolü standardıdır.

    İstemci (kimlik doğrulaması yapmak isteyen kullanıcı) ve kimlik denetiminin yapıldığı sunucu (Authentication Server) arasında bulunan denetleyici (authenticator) cihaz, bağlantı durumunda istemciye EAP-Request/Identity paketi gondererek kendisini tanıtmasını ister.
    İstemci,kimliğini tanıtan EAP-Response/Identity paketi ile cevap verir. Ve bu paket enkapsüle edilerek sunucuya gönderilir.
    Sunucu, denetleyiciye şifreli token sistemi gibi bir davetiye atar. Denetleyici bu paketi açıp EAPOL (LAN üzerinden EAP) içerisinde istemciye gönderir. İstemci davetiyeye denetleyici üzerinden cevap gönderir.
    Eğer istemci gerekli kullanıcı tanımına ve haklarına sahipse, sunucunun gönderdiği doğrulayıcı mesaj denetleyicinin istemciye LAN’a erişim izni vermesiyle sonuçlanır.

    alıntıdır…...



  • HP MSM 310 serisi access point var elimde üzerindeki radius yapılandırmasını pfsense göre göre ayarlıyorum (Radius MAC Doğrulaması). Bir kullanıcı wifi olrak bağlanmaya kalkınca otomatikman Radius MAC doğrulamasını geçiyor ve ardından Kullanıcının MAC adresi Captive portalda tanımlı ise interneti hiç bir doğrulama yapmadan veriyor eğer Captive portal'a MAC adresini yazmamış isem hali ile şifre ekranı geliyor. Burda üzerinde durmam gereken bir nokta bir çoğu kurumsal access pointte bunu yapabilirsiniz. Ama linksys,usrobotics bv çözümler ile bunu yapamazsınız.



  • Burada üzerinde dd-wrt yülkü bir cihaz ile pfsense ve radius kullanımını anlatmışlar.

    http://www.gridstorm.net/quick-tip-dd-wrt-radius-pfsense/

    Saygılarımla.


Locked