shopdawhop
Goto Top

Cisco EWC RADIUS-Benutzer auf SSID beschränken

Hallo zusammen,

vorhanden sind Cisco 9105AX Access Points mit installiertem EWC (17.5.1) in einer kleinen Heiminstallation.
Mehrere SSID’s werden getrennt durch VLANs, bereit gestellt.

U. a. SSID1 mit eingestellter 802.1x Authentifizierung, an einen FreeRadius-Server angebunden (Synology RADIUS-Server -> Lokale Benutzer),
sowie ein Gastnetz, an dem sich die Clients per WebAuth, ebenfalls am selben RADIUS-Server authentifizieren können.

Funktioniert, allerdings sollen sich die Gastnutzer nicht an SSID1 anmelden dürfen, umgekehrt auch nicht.
Ist eine Umsetzung per Policy oder Ähnlichem auf dem EWC möglich um das zu verhindern?

Oder bleibt hier nur der Weg, die SSID’s per NAS-ID dem RADIUS-Server mitzugeben, damit dieser die Anfragen unterscheiden kann und bei Übereinstimmen der SSID Zugriff erteilt?

Eventuell beiden SSID’s einen eigenen RADIUS-Server zuweisen, Gast und Privat-User trennen?

Über Lösungsvorschläge und Ideen wäre ich sehr dankbar.


Gruß

Content-ID: 935370012

Url: https://administrator.de/forum/cisco-ewc-radius-benutzer-auf-ssid-beschraenken-935370012.html

Ausgedruckt am: 23.12.2024 um 16:12 Uhr

aqui
Lösung aqui 07.07.2021 aktualisiert um 19:08:17 Uhr
Goto Top
Nein, das geht in der Tat so nicht. Du kannst ja nicht verhindern das User doch mal auf die nicht gewünschten SSIDs klicken. Das könntest du nur unterbinden indem du das SSID Beaconing unterbindest so das du offen nur die SSID ausstrahlst die klickbar sein soll und die anderen als hidden SSID betreibst. Diese "versteckten" SSIDs musst du dann aber am Client immer explizit angeben um eine Connection herzustellen. Mit einem WiFi_Scanner kann man sie auch trotzdem sehen.

Viel einfacher und auch eleganter löst du das mit dynamischen VLANs !
Du hast nur eine SSID und die Nutzer kommen dann je nach Authentisierung in die entsprechenden Segmente. Unregistrierte landen an einem Captive Portal.
Dieses Tutorial beschreibt so ein Setup:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Das ist auch mit Cisco Hardware problemlos umzusetzen.
solo404
Lösung solo404 07.07.2021 um 19:38:15 Uhr
Goto Top
Hi

du kannst am radius server das radius Attribut "called-station-id" auswerten. Bei cisco ist das im Default <ap-mac>:<ssid>.
Sinngemäß: gast user nur erlauben wenn gast im called-station-id attribut steht

LG
aqui
aqui 08.07.2021 aktualisiert um 12:02:27 Uhr
Goto Top
So gehts natürlich auch ! Verhindert aber nicht das User natürlich auch immer die anderen SSIDs klicken zum Verbinden egal ob mit guten oder bösen Absichten. Gut, dort bekommen sie dann vermutlich eh eine Abfuhr je nachdem ob Radius oder PSKs.
shopdawhop
shopdawhop 08.07.2021 um 14:38:34 Uhr
Goto Top
Hallo,

hab es nun folgendermaßen gelöst. Einen neuen FreeRADIUS-Server in einer VM aufgesetzt und den Synology eigenen runtergeschmissen, da man kaum Möglichkeiten hat diesen anzupassen.
Den NAS-ID im EWC auf "SSID" abgeändert und im FreeRADIUS dem jeweiligen Benutzer noch die erlaubte SSID angehängt. ("NAS-Identifier == "Erlaubte-SSID")

Funktioniert einwandfrei face-smile
Danke

Gruß