Cisco EWC RADIUS-Benutzer auf SSID beschränken
Hallo zusammen,
vorhanden sind Cisco 9105AX Access Points mit installiertem EWC (17.5.1) in einer kleinen Heiminstallation.
Mehrere SSID’s werden getrennt durch VLANs, bereit gestellt.
U. a. SSID1 mit eingestellter 802.1x Authentifizierung, an einen FreeRadius-Server angebunden (Synology RADIUS-Server -> Lokale Benutzer),
sowie ein Gastnetz, an dem sich die Clients per WebAuth, ebenfalls am selben RADIUS-Server authentifizieren können.
Funktioniert, allerdings sollen sich die Gastnutzer nicht an SSID1 anmelden dürfen, umgekehrt auch nicht.
Ist eine Umsetzung per Policy oder Ähnlichem auf dem EWC möglich um das zu verhindern?
Oder bleibt hier nur der Weg, die SSID’s per NAS-ID dem RADIUS-Server mitzugeben, damit dieser die Anfragen unterscheiden kann und bei Übereinstimmen der SSID Zugriff erteilt?
Eventuell beiden SSID’s einen eigenen RADIUS-Server zuweisen, Gast und Privat-User trennen?
Über Lösungsvorschläge und Ideen wäre ich sehr dankbar.
Gruß
vorhanden sind Cisco 9105AX Access Points mit installiertem EWC (17.5.1) in einer kleinen Heiminstallation.
Mehrere SSID’s werden getrennt durch VLANs, bereit gestellt.
U. a. SSID1 mit eingestellter 802.1x Authentifizierung, an einen FreeRadius-Server angebunden (Synology RADIUS-Server -> Lokale Benutzer),
sowie ein Gastnetz, an dem sich die Clients per WebAuth, ebenfalls am selben RADIUS-Server authentifizieren können.
Funktioniert, allerdings sollen sich die Gastnutzer nicht an SSID1 anmelden dürfen, umgekehrt auch nicht.
Ist eine Umsetzung per Policy oder Ähnlichem auf dem EWC möglich um das zu verhindern?
Oder bleibt hier nur der Weg, die SSID’s per NAS-ID dem RADIUS-Server mitzugeben, damit dieser die Anfragen unterscheiden kann und bei Übereinstimmen der SSID Zugriff erteilt?
Eventuell beiden SSID’s einen eigenen RADIUS-Server zuweisen, Gast und Privat-User trennen?
Über Lösungsvorschläge und Ideen wäre ich sehr dankbar.
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 935370012
Url: https://administrator.de/forum/cisco-ewc-radius-benutzer-auf-ssid-beschraenken-935370012.html
Ausgedruckt am: 23.12.2024 um 16:12 Uhr
4 Kommentare
Neuester Kommentar
Nein, das geht in der Tat so nicht. Du kannst ja nicht verhindern das User doch mal auf die nicht gewünschten SSIDs klicken. Das könntest du nur unterbinden indem du das SSID Beaconing unterbindest so das du offen nur die SSID ausstrahlst die klickbar sein soll und die anderen als hidden SSID betreibst. Diese "versteckten" SSIDs musst du dann aber am Client immer explizit angeben um eine Connection herzustellen. Mit einem WiFi_Scanner kann man sie auch trotzdem sehen.
Viel einfacher und auch eleganter löst du das mit dynamischen VLANs !
Du hast nur eine SSID und die Nutzer kommen dann je nach Authentisierung in die entsprechenden Segmente. Unregistrierte landen an einem Captive Portal.
Dieses Tutorial beschreibt so ein Setup:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Das ist auch mit Cisco Hardware problemlos umzusetzen.
Viel einfacher und auch eleganter löst du das mit dynamischen VLANs !
Du hast nur eine SSID und die Nutzer kommen dann je nach Authentisierung in die entsprechenden Segmente. Unregistrierte landen an einem Captive Portal.
Dieses Tutorial beschreibt so ein Setup:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Das ist auch mit Cisco Hardware problemlos umzusetzen.