Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Anfängerfragen zu freeRADIUS auf pfSense im Heimnetzbetrieb

Mitglied: th30ther

th30ther (Level 1) - Jetzt verbinden

17.10.2019 um 18:21 Uhr, 303 Aufrufe, 6 Kommentare

Moinsen,
nach langer Leserei hier und im Netz zum Thema Radius habe ich leider doch noch ein paar Fragen, die ich bislang nicht beantworten kann.
Mein Szenario: es läuft eine Fritzbox als Router und Modem, dahinter eine pfSense, daran ein switch (cisco SG-250), der das Netz im Haus auf die Zimmer verteilt, da dann günstige TP-Link switche. An einem dann ein unifi AP Pro und Cloudkey angeschlossen, der das Haus mit WLANs versorgt. All diese strukturellen Geräte im eigenen VLAN 1 (Management). Auf der pfSense laufen insgesamt 5 VLANs. Der cisco läuft im L2-Modus.
Ich möchte nun zunächst das VLAN SOHN mit dem Radius überwachen: hier wählt sich per LAN der Sohnemann am PC ein (soll nicht / kann nicht überwacht werden, da der switch nicht 802.1x fähig ist. Später ggf. den Port am cisco, welcher den SOHN-LAN-Anschluss beherbergt auch per RADIUS überwachen...). Auf dem AP ist eine SSID ebenfalls dem VLAN SOHN zugeteilt. Dieses soll überwacht werden, damit der Schlingel seine WPA2-Credentials nicht doch mal an die Gäste weitergibt und diese dann im Heimnetz Zugriff auf das NAS und andere Clients haben. Aktuell erfolgt dies nur in schwacher Form per ARP Liste mit MACs und abgeschaltetem DHCP.

Natürlich könnte ich Trial-And-Error-mäßig so lange probieren, bis sich einige Antworten ergeben...aber warum den Löffel neu erfinden, wenn es doch bestimmt schon genug Menschen mit Erfahrungen dahingehend gibt. Verzeiht also bitte die folgenden Fragen, die sich für die Profis hier bestimmt nach Freitags-Fragen lesen:

1. überwacht werden soll im VLAN SOHN nur das WLAN (SSID SOHN). Der unifi AP ist angeblich dazu fähig als Authenticator. Kann ich den PC völlig unbehelligt weiter über das VLAN Management laufen lassen (am nicht 802.1x switch), oder sperrt Radius auf dem VLAN SOHN dann alles aus, was sich nicht via Radius anmeldet? Oder kümmert sich Radius dann nur um die WLAN Anmeldung am AP?
2. Demnächst soll ein SONOS im VLAN SOHN integriert werden per WLAN SOHN. Diese könnte ich ja lediglich per MAC Prüfung anmelden, da kein WPA2enterprise mit Credentials möglich. Hat jemand Erfahrungen mit unifi Aps bezüglich Mischanmeldungen (Handy per User/Password, da Android kein Zertifikat möglich; Sonos per MAC-Authentifizierung)?
3. Dazu noch die Frage, die mir eben erst in den Sinn kommt: wenn der Sohn sich am Handy bei laufendem Radius via User/Password anmeldet...was wenn er diese Credentials auch weitergibt? Zertifikatsanmeldung scheiden wegen Android AFAIK aus, gibt es eine andere zweite Sicherheitsebene (zB zusätzlich MAC-Authentifizierung)?


Vermutlich habe ich bei der ganzen Leserei alle Antworten auf meine Fragen schon mehrfach gelesen, nur stehe ich mal wieder auf dem Schlauch vor der Scheune und vor lauter Information sehe ich den Wald nicht mehr...verzeiht also wie gesagt, wenn ich (kein Admin, nur Heimnetz, will dazulernen, kein IT-Hintergrund) hier für euch oberflächliche oder gar in sich nicht schlüssige Fragen poste. Und ja, ich weiß, dass mein Szenario mit dem geschilderten Vorhaben etwas großkotzig anmutet, ist wie gesagt ein Freizeit-Lern-Hobby Projekt, kein professioneller Background.
Danke für Anregungen und Geduld!!

Grüßle
th30ther
Mitglied: aqui
LÖSUNG 17.10.2019 um 19:05 Uhr
es läuft eine Fritzbox als Router und Modem, dahinter eine pfSense
Sprich eine klassische Kaskaden Konfig mit doppeltem NAT wie sie hier zu sehen ist, richtig ?
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
daran ein switch (cisco SG-250), Der cisco läuft im L2-Modus.
Also als reiner Layer 2 Switch und die VLANs sind auf der pfSense terminiert wie hier beschrieben ?
OK, ein klassisches Design.
soll nicht / kann nicht überwacht werden, da der switch nicht 802.1x fähig ist.
Das wäre Blödsinn wenn du den Cisco SG-250 meinst, denn der ist sehr wohl 802.1x fähig !
sg - Klicke auf das Bild, um es zu vergrößern
Aber vermutlich hast du dich hier missverständlich ausgedrückt ?!
1.)
oder sperrt Radius auf dem VLAN SOHN dann alles aus, was sich nicht via Radius anmeldet?
Nur das was an Ports des Sohn VLANs angeschlossen wird die für 802.1x Authentisierung scharfgeschaltet sind. Wo du .1x machen willst ist immer Port bezogen !
Guckst du hier:
https://administrator.de/content/detail.php?id=500006&token=166#comm ...
Oder kümmert sich Radius dann nur um die WLAN Anmeldung am AP?
Es geht sowohl als auch. Natürlich kannst du das parallel auch auf dem WLAN AP einsetzen:
Guckst du hier:
https://administrator.de/content/detail.php?id=503461&token=446#comm ...
Der Radius Server kann alles beides kontrollieren.
Diese könnte ich ja lediglich per MAC Prüfung anmelden, da kein WPA2enterprise mit Credentials möglich
Dot1x mit Mac Bypath würde gehen via Radius aber m.E. supportet der 250er kein Mac Bypath, das ist erst in den 350ern implementiert. War jedenfalls auch mal so bei den 200ern und 300ern. (Siehe Threads vom User @Nachtfalkeaw in den weiterführenden Links des LAN_Radius_Tutorials.)
was wenn er diese Credentials auch weitergibt?
Dann hast du Pech. Das ist so wenn du deine Kreditkarten Pin an den Sohn gibst. Der generelle Nachteil von Usernamen und Passwort. Willst du das wasserdicht machen musst du immer mit Zertifikaten im WLAN arbeiten.
Zertifikatsanmeldung scheiden wegen Android AFAIK aus,
Das das ziemlicher Unsinn ist ist dir vermutlich selber klar. Das Gros der Firmen WLANs arbeitet aus guten Grund mit Zertifikaten. Die Masse der Firmen hat eine BYOD Policy. Jetzt stelle dir mal vor Androiden würden sowas nicht supporten sondern nur iPhones...?!
verzeiht also wie gesagt
Kein Problem...dafür ist das Forum da.
Also alles obige nochmal in Ruhe lesen und verstehen.
ich weiß, dass mein Szenario mit dem geschilderten Vorhaben etwas großkotzig anmutet
Nein, ganz im Gegenteil. Du machst dir Gedanken um die Sicherheit und hast das Heimnetz vorausschauend segmentiert. Es wäre wünschenswert andere hätten auch solche Einstellung dazu. Alles gut also...
Bitte warten ..
Mitglied: th30ther
17.10.2019 um 19:41 Uhr
Moinsen aqui,
ja, es läuft als Kaskade und die VLANs sind via pfSense angelegt, nicht am cisco.
Missverständlich ausgedrückt: der cisco ist 802.1x fähig, aber der am Wandanschluss angebrachte TP-Link nicht, also kann ich später nur den cisco Port "sohn lan" per Radius prüfen lassen (was ja auch zielführender wäre). Das war mir klar, sorry.

Danke auf jeden Fall ein weiteres Mal für deine konstruktiven Antworten und deinen Motivationsanschub!

Ich habe mittlerweile in Erfahrung gebracht, dass die unifi APs nur entweder oder können, also muss ich ggf. die Sonos per LAN (VLAN SOHN) anbinden, was aber nicht weiter stören würde.

Zu den Zertifikaten auf den Androiden noch eine weitere Rückfrage: ich installiere dort doch zunächst das Zertifikat für den Radius-Server, richtig? Ich dachte, dass dieses der reinen Absicherung des Kontaktes zwischen Server und Client dient...in meiner Denke benötige ich also ein Zweites Zertifikat, dass eben die reine Anmeldung ermöglicht. Ist das so korrekt? Also: ein Zertifikat, um sicherzustellen, dass der richtige Server vorliegt und dann ein weiteres, was eine sichere Anmeldung ohne User/Passwort Weitergaberisiko ermöglicht? Oder denke ich wieder viel zu kompliziert?

Besten Dank und liebes
Grüßle
th30ther
Bitte warten ..
Mitglied: th30ther
17.10.2019 um 19:49 Uhr
Moinsen, grummel...
Bevor es mir jemand anderes um die Ohren haut, tu ich das verdient selber. Hab die Antwort auf die Rückfrage selber gefunden, jaja, google ist mein Freund, ich weiß.

Hier wird es ja erklärt für dummies wie mich:

https://www.heise.de/ct/hotline/FAQ-Radius-2081948.html

Sorry, vielen Dank an aqui für die schnelle und gewohnt freundliche und hilfreiche Antwort...

Grüßle
th30ther
Bitte warten ..
Mitglied: BirdyB
18.10.2019 um 10:05 Uhr
Hi,
ich bin mir nicht 100%ig sicher, aber müsste 802.1x nicht mit openwrt auf dem TP-Link gehen?

VG
Bitte warten ..
Mitglied: aqui
18.10.2019, aktualisiert um 10:34 Uhr
ich installiere dort doch zunächst das Zertifikat für den Radius-Server, richtig?
Jein. Hier waren natürlich WLAN mit Clientzertifikaten gemeint. Also die wasserdichte Option auf den Clients. Damit hast du eine Geräte Authentisierung und keine auf User bezogene die sie sharen oder kopieren könnten. Das ist die Option wie es in der Regel in Firmen WLANs gemacht wird. Aber auch damit müsste der Sohnemann das Server Zertifikat weitergeben. Ob er das kann...?
Und richtig, du machst die etwas einfachere Variante mit User/Passwort. Da benötigt man nur das Server Zertifikat damit dir dein Sohnemann nicht schnell mal einen selbstgebauten Server unterschieben kann um seinen Freunden Zugang zu deinem Netz zu verschaffen.
aber müsste 802.1x nicht mit openwrt auf dem TP-Link gehen?
Ja, das geht natürlich !
Ich denke aber er meint mit dem TP-Link einen Switch ? Oder ist damit ein WLAN AP gemeint ? Die TP-Links supporten eigentlich durch die Bank WPA2-Enterprise (Radius) auf ihren APs.
Versteht man den Thread Text richtig //(Zitat: "...auf die Zimmer verteilt, da dann günstige TP-Link switche.") sind das Switches und keine APs.
Bitte warten ..
Mitglied: BirdyB
18.10.2019 um 12:27 Uhr
Zitat von aqui:
aber müsste 802.1x nicht mit openwrt auf dem TP-Link gehen?
Ja, das geht natürlich !
Ich denke aber er meint mit dem TP-Link einen Switch ? Oder ist damit ein WLAN AP gemeint ? Die TP-Links supporten eigentlich durch die Bank WPA2-Enterprise (Radius) auf ihren APs.
Versteht man den Thread Text richtig //(Zitat: "...auf die Zimmer verteilt, da dann günstige TP-Link switche.") sind das Switches und keine APs.

Sorry, mein Fehler... Da hatte ich nicht gründlich genug gelesen...
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Linux Netzwerk
FreeRadius Lokal
Frage von D1-aB-loLinux Netzwerk7 Kommentare

Ich habe hier schon ein Thema erstellt das sich mit dem FreeRadius beschäftigt in Verbindung mit LDAP. Nun erstelle ...

Firewall
PFSense 2.3.2 Freeradius
Frage von horstvogelFirewall7 Kommentare

Hallo, ich suche nach einer Anleitung wie ich über die Weboberfläche der PFSense einer Radius Server aufsetzen kann. PFSense ...

LAN, WAN, Wireless

Freeradius + PostgreSQL, Verständnisfrage

Frage von mrserious73LAN, WAN, Wireless3 Kommentare

Hallo zusammen, möchte bald Freeradius in Verbindung mit PostgreSQL nutzen, um beides zusammen an einen WLAN-Controller zu binden. Bisher ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 7 StundenHumor (lol)

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 17 StundenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 23 StundenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 1 TagGrafik1 Kommentar

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Ubuntu
Ubuntu-Putty hilfe
Frage von Nickolas.GroheUbuntu29 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 725 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...

Windows Tools
Suche Suchprogramm
Frage von tsunamiWindows Tools24 Kommentare

Hallo, ich brauche einen Tipp für ein profesionelles Suchprogramm. Es geht um rund 3 TB Dokiumente auf ner externen ...