gelöst Fragen zu Netzwerkanmeldung mit Radiusserver

Mitglied: Epigenese

Epigenese (Level 1) - Jetzt verbinden

23.07.2017, aktualisiert 24.07.2017, 980 Aufrufe, 6 Kommentare, 1 Danke

Hallo zusammen,

danke fürs Lesen der Frage.

Ich möchte für eine Lehrlingsgruppe folgendes einrichten.
12 Laptops und 4 PCs mit einem Netzwerk/Internetzugang ausstatten.
Internetanschluss für Router in der Werkstatt ist vorhanden.
Betriebssysteme gemischt Windows und/oder Linux auf PCs und Laptops.

Die Geräte sollen über Wlan und Lan angeschlossen werden können.

Dafür habe ich zum lernen und probieren einen Mikrotik hAP lite RB941-2ND gekauft und nach folgendem Video den Radiusserver aufgesetzt.
MikroTik Hotspot Radius Server
(Es wäre aber für die tatsächliche Umgebung kein Problem Geräte wie den Mikrotik RouterBoard RB951Ui-2nD hAP oder RB962UiGS-5HacT2HnT zu kaufen.)

Die Videoumsetzung hat bis auf den Usermanager funktioniert. Den Usermanager gibts nicht für smips.
Ich habe die User unter dem Reiter "IP" und dann Reiter "Hotspot" unter "User" angelegt.
Somit funktioniert das Ganze.

Wenn ich mich nun mit einem Laptop per WLAN verbinde muss ich, für einen Internetzugang, an einem Portal Benutzername und Passwort eingeben.

Das Problem ist, dass ich gerne die Geräte kontrollieren würde, die generell an dem Netzwerk angeschlossen werden können.
Bei der jetzigen Konstellation kann jeder der ein Laptop mit Zugangsdaten hat, auch z.B. sein Smartphone nehmen und sich einloggen.
Ich dachte an MAC Filter, denke aber dass die zu einfach umgangen werden können.

Ich habe nun in Aquis Anleitung ( Aquis Anleitung ) gelesen aber habe dazu Fragen.

Fragen:
1) Ist das Vorhaben mit einem der Mikrotik Router RB951Ui-2nD hAP oder RB962UiGS-5HacT2HnT möglich?
2) Bietet der Usermanager der unter meinem Testrouter nicht läuft die geforderten Optionen?
3) Über welche Authentifizierung muss ich mich einlesen um die Geräte am Netz zu kontrollieren?
4) Ist das Vorhaben an Wlan und LAN gleichermaßen umsetzbar oder ist er einfacher alles über Wlan zu machen und die Lan Anschlüsse komplett zu sperren?

Vielen Dank erstmal fürs Lesen.
Leider ist mein Englisch grottig, so dass ich überwiegend auf deutschsprachige Inhalte angewiesen bin, falls einer einen Tipp postet.

Danke und Grüße
Epi
Mitglied: 108012
LÖSUNG 23.07.2017, aktualisiert um 21:35 Uhr
Hallo,

Leider ist mein Englisch grottig, so dass ich überwiegend auf deutschsprachige Inhalte angewiesen bin, falls einer einen Tipp postet.
Das wird dann mit anderen Routern ähnlich "nett" werden, aber man könnte auch eine kleine pfSense Firewall auf einem APU2C4 installieren
und dann zusätzlich dazu den kleinen MikroTik WLAN AP auch wirklich als AP benutzen! Wäre mein Vorschlag hier dazu.

Dann hast Du auch zusätzlich zum Radius Server der an alle Deine (Euro) Geräte ein Zertifikat "verteilt" noch ein "Captive Portal"
was die Gäste gleich mit abfackelt. So eine APU2C4 kostet zwischen 190 Euro und 200 Euro und kommt auch fertig
zusammengebaut also "Bundle" daher. Noch ein kleiner 5 Port oder 8 Port Switch dazu und fertig ist das ganze.
Netgear GS105E
Netgear GS108E
Netgear GS108Tv2

Cisco SG200-10
Cisco SG300-10
Cisco SG220-10
Cisco SG350-10

D-Link DGS1510-20
MikroTik CRS210-8G-2S+IN

Ist das Vorhaben an Wlan und LAN gleichermaßen umsetzbar oder ist er einfacher alles über Wlan zu machen und die Lan
Anschlüsse komplett zu sperren?
Radius Server mit Zertifikat und Verschlüsselung hauen einem schon ganz schön einen Schlag auf Kabel, aber bei den 16 Klienten
ist das auch nicht soooo schlimm. Also ich würde da dann das beste aus zwei Welten benutzen und dann ist man wenigstens sicher.

Wäre mir an Deiner Stelle lieber, denn;
- MikroTik hat eine etwas steilere Lernkurve
- pfSense hat das auch, aber man hat auch deutschsprachiges Forum zusätzlich hier zu diesem Forum
- Und auch noch drei Bücher dazu die man mit etwas Geduld und Dict.de hat man das auch alles schnell abgefackelt
- @aqui hat natürlich auch hierzu die recht viele Anleitungen geschrieben und kann Dir dazu bestimmt auch noch Fragen beantworten

Gruß
Dobby
Bitte warten ..
Mitglied: Epigenese
24.07.2017 um 17:44 Uhr
Hallo Dobby,

vielen Dank für deine Unterstützung.
Dann werde ich mich mit pfsense weiter beschäftigen.
Habe damit auch schon ein Captive Portal umgesetzt.

Verstehe ich das richtig, dass die "Hardwareüberwachung" von der pfsense dann mit Radiusserver, mit Zertifikaten gelöst wird.

D.h. ich lese mich in "pfsense, Radius, Zertifikate" ein?

Ich werde mal mit dem Thread anfangen --> zu pfsense

Danke dir und Grüße
Epi
Bitte warten ..
Mitglied: 108012
LÖSUNG 24.07.2017 um 18:20 Uhr
Verstehe ich das richtig, dass die "Hardwareüberwachung" von der pfsense dann mit Radiusserver, mit Zertifikaten gelöst wird.
Definiere mal bitte Hardwareüberwachung! Wenn man nicht möchte, dass andere Leute oder Benutzer das eigene WLAN einfach
mitbenutzen, denn kann man auch dafür sorgen, und zwar mittels Radius Server und Zertifikaten, dass jedes eigene Gerät ein
solches Zertifikat erhält und alle anderen WLAN Benutzer werden dann eben nicht mehr in das Netzwerk gelassen, und wenn
man hier noch ein "paar" LAN Geräte mit abwickelt ist das schon in Ordnung. Jetzt aber hat man das Problem dass man wenn
einmal Gäste vor Ort sind, diesen nicht auch ein Zertifikat ausstellen bzw. installieren möchte, also setzt man zusätzlich noch
einen HotSpot auf mittels des Captive Portals und verteilt dort zeitlich begrenzte Vouchers!

D.h. ich lese mich in "pfsense, Radius, Zertifikate" ein?
Kann man machen, Radius Zertifikate und Captive Portal (für Gäste) wenn man damit arbeitet wäre es auch nicht schlecht
etwas darüber zu wissen. Nur man kann auch einfach eine Anleitung von @aui hier im Forum benutzen und dann ist das auch
ruck zuck umgesetzt was Du da vor hast.

Ich werde mal mit dem Thread anfangen --> zu pfsense 
Hier sind die Links zu den Anleitungen von @aqui und damit ist das recht schnell umgesetzt, fertig zum abtippen.

Sichere WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Gruß
Dobby
Bitte warten ..
Mitglied: Epigenese
24.07.2017 um 19:47 Uhr
Hallo Dobby,


Zitat von 108012:
Definiere mal bitte Hardwareüberwachung! Wenn man nicht möchte, dass andere Leute oder Benutzer das eigene WLAN einfach
mitbenutzen, denn kann man auch dafür sorgen, und zwar mittels Radius Server und Zertifikaten, dass jedes eigene Gerät ein
solches Zertifikat erhält und alle anderen WLAN Benutzer werden dann eben nicht mehr in das Netzwerk gelassen, ........

Ja so soll es sein. Ist im Rahmen von Qualifizierung/Ausbildung.
Es sollen nur die vorgegebenen Geräte ins Netz. Und es soll möglich sein einzelne auch wieder zu sperren, wenn nötig.

Ich danke dir für deine Hilfe.

Grüße
Epi
Bitte warten ..
Mitglied: 108012
24.07.2017 um 20:16 Uhr
Es sollen nur die vorgegebenen Geräte ins Netz.
Ist mit dem FreeRadius Server ja möglich.

Und es soll möglich sein einzelne auch wieder zu sperren, wenn nötig.
Zertifikate kann man auch auf eine RCL Liste setzen und dann gilt das Zertifikat als zurückgezogen und funktioniert
nicht mehr und die Vouchers vom "Captive Portal" laufen nach xyz Stunden ab, man kann auch diverse Gruppen
im Captive Portal anlegen und denen dann unterschiedliche Zeiten zuweisen, also für sagen wir mal, Gruppe 1
für 2 Stunden, Gruppe 2 für 4 Stunden usw......

Gruß
Dobby
Bitte warten ..
Mitglied: hildefeuer
26.07.2017, aktualisiert um 12:38 Uhr
Erwähnt werden sollten auch die negativen Nachteile einer Verbindung per Radius Server:
Der Radius Server sollte sich ja melden beim Aufruf der ersten Webside im Browser, es sei denn die Verbindung ist Verschlüsselt.
Also bekommen alle die user, die google als Startseite haben, den Radius Server login nicht zu sehen, nur eine Fehlermeldung. Da google via https Zeritfikat verschlüsselt aufgerufen wird. Chrome ist dann meist unbrauchbar, da ja immer bei google gesucht wird, wenn man nicht korrekt eine url eingibt. Ebenso bei Linux das Aufrufen der Standard Startseite von Mozilla.
Ebenso wer eine Bank- Seite als erste aufruft oder eine andere verschlüsselte url.
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Wireguard VPN (oder andere alternative) - Kompletter Traffic routen
gelöst KodaCHFrageRouter & Routing15 Kommentare

Guten Morgen Ich habe bisher mit OpenVPN und mit Wireguard VPN einige Tests gemacht. OpenVPN (Kostenlose Version): Hier habe ...

Server-Hardware
Konfiguration und Stromverbrauch ML350 Gen10
kosta88FrageServer-Hardware13 Kommentare

Hallo, ich versuche mal zu berechnen was ein ML350 verbrauchen würde. Ich weiß dass es von der Konfiguration und ...

Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server12 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Server
Kein Zugriff auf NAS bei DS Lite
martingerdesFrageServer11 Kommentare

Hallo liebe Gemeinde, dieses Thema kennen wahrscheinlich viele und ich selbst habe schon viele Forenbeiträge zu diesem Thema gelesen. ...

Grafikkarten & Monitore
Grafikkarte kaputt? Hier muss noch etwas hin, weil der andere Titel schon vergeben ist :)
Sir.classicFrageGrafikkarten & Monitore9 Kommentare

Hallo an alle, ich habe einen selbst gebauten PC und mein Problem ist, dass meine Monitore regelmäßig (alle 3h) ...

LAN, WAN, Wireless
Spanning Tree Probleme
predator66FrageLAN, WAN, Wireless9 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Ähnliche Inhalte
Windows Netzwerk

Netzwerkanmeldung als Standard am Anmeldebildschirm

manuelwFrageWindows Netzwerk1 Kommentar

Hallo, ich richte hier gerade ein Windows 10 Pro Notebook ein, welches hauptsächlich per VPN-Verbindung auf das Netzwerk zugreifen ...

Microsoft Office

Verständnis Frag MS 365 ohne Exchange nutzen aber mit eigener Email

OSelbeckFrageMicrosoft Office11 Kommentare

Hallo zusammen, ich habe ein Office 365, möchte nicht immer die .onmicrosfotblabla adresse eingeben, ist ja auch nicht ganz ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT