4
Cisco EWC RADIUS-Benutzer auf SSID beschränken
Hallo zusammen,
vorhanden sind Cisco 9105AX Access Points mit installiertem EWC (17.5.1) in einer kleinen Heiminstallation.
Mehrere SSID’s werden getrennt durch VLANs, bereit gestellt.
U. a. SSID1 mit eingestellter 802.1x Authentifizierung, an einen FreeRadius-Server angebunden (Synology RADIUS-Server -> Lokale Benutzer),
sowie ein Gastnetz, an dem sich die Clients per WebAuth, ebenfalls am selben RADIUS-Server authentifizieren können.
Funktioniert, allerdings sollen sich die Gastnutzer nicht an SSID1 anmelden dürfen, umgekehrt auch nicht.
Ist eine Umsetzung per Policy oder Ähnlichem auf dem EWC möglich um das zu verhindern?
Oder bleibt hier nur der Weg, die SSID’s per NAS-ID dem RADIUS-Server mitzugeben, damit dieser die Anfragen unterscheiden kann und bei Übereinstimmen der SSID Zugriff erteilt?
Eventuell beiden SSID’s einen eigenen RADIUS-Server zuweisen, Gast und Privat-User trennen?
Über Lösungsvorschläge und Ideen wäre ich sehr dankbar.
Gruß
vorhanden sind Cisco 9105AX Access Points mit installiertem EWC (17.5.1) in einer kleinen Heiminstallation.
Mehrere SSID’s werden getrennt durch VLANs, bereit gestellt.
U. a. SSID1 mit eingestellter 802.1x Authentifizierung, an einen FreeRadius-Server angebunden (Synology RADIUS-Server -> Lokale Benutzer),
sowie ein Gastnetz, an dem sich die Clients per WebAuth, ebenfalls am selben RADIUS-Server authentifizieren können.
Funktioniert, allerdings sollen sich die Gastnutzer nicht an SSID1 anmelden dürfen, umgekehrt auch nicht.
Ist eine Umsetzung per Policy oder Ähnlichem auf dem EWC möglich um das zu verhindern?
Oder bleibt hier nur der Weg, die SSID’s per NAS-ID dem RADIUS-Server mitzugeben, damit dieser die Anfragen unterscheiden kann und bei Übereinstimmen der SSID Zugriff erteilt?
Eventuell beiden SSID’s einen eigenen RADIUS-Server zuweisen, Gast und Privat-User trennen?
Über Lösungsvorschläge und Ideen wäre ich sehr dankbar.
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 935370012
Url: https://administrator.de/contentid/935370012
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
4 Kommentare
Neuester Kommentar
Nein, das geht in der Tat so nicht. Du kannst ja nicht verhindern das User doch mal auf die nicht gewünschten SSIDs klicken. Das könntest du nur unterbinden indem du das SSID Beaconing unterbindest so das du offen nur die SSID ausstrahlst die klickbar sein soll und die anderen als hidden SSID betreibst. Diese "versteckten" SSIDs musst du dann aber am Client immer explizit angeben um eine Connection herzustellen. Mit einem WiFi_Scanner kann man sie auch trotzdem sehen.
Viel einfacher und auch eleganter löst du das mit dynamischen VLANs !
Du hast nur eine SSID und die Nutzer kommen dann je nach Authentisierung in die entsprechenden Segmente. Unregistrierte landen an einem Captive Portal.
Dieses Tutorial beschreibt so ein Setup:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Das ist auch mit Cisco Hardware problemlos umzusetzen.
Viel einfacher und auch eleganter löst du das mit dynamischen VLANs !
Du hast nur eine SSID und die Nutzer kommen dann je nach Authentisierung in die entsprechenden Segmente. Unregistrierte landen an einem Captive Portal.
Dieses Tutorial beschreibt so ein Setup:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Das ist auch mit Cisco Hardware problemlos umzusetzen.
Hi
du kannst am radius server das radius Attribut "called-station-id" auswerten. Bei cisco ist das im Default <ap-mac>:<ssid>.
Sinngemäß: gast user nur erlauben wenn gast im called-station-id attribut steht
LG
du kannst am radius server das radius Attribut "called-station-id" auswerten. Bei cisco ist das im Default <ap-mac>:<ssid>.
Sinngemäß: gast user nur erlauben wenn gast im called-station-id attribut steht
LG
So gehts natürlich auch ! Verhindert aber nicht das User natürlich auch immer die anderen SSIDs klicken zum Verbinden egal ob mit guten oder bösen Absichten. Gut, dort bekommen sie dann vermutlich eh eine Abfuhr je nachdem ob Radius oder PSKs.
Hallo,
hab es nun folgendermaßen gelöst. Einen neuen FreeRADIUS-Server in einer VM aufgesetzt und den Synology eigenen runtergeschmissen, da man kaum Möglichkeiten hat diesen anzupassen.
Den NAS-ID im EWC auf "SSID" abgeändert und im FreeRADIUS dem jeweiligen Benutzer noch die erlaubte SSID angehängt. ("NAS-Identifier == "Erlaubte-SSID")
Funktioniert einwandfrei
Danke
Gruß
hab es nun folgendermaßen gelöst. Einen neuen FreeRADIUS-Server in einer VM aufgesetzt und den Synology eigenen runtergeschmissen, da man kaum Möglichkeiten hat diesen anzupassen.
Den NAS-ID im EWC auf "SSID" abgeändert und im FreeRADIUS dem jeweiligen Benutzer noch die erlaubte SSID angehängt. ("NAS-Identifier == "Erlaubte-SSID")
Funktioniert einwandfrei
Danke
Gruß
